Proyecto de ley, iniciado en mensaje de S. E. el Presidente de la República, que establece nomas sobre delitos informáticos, deroga la ley N° 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al convenio de Budapest. Boletín N° 12.192-25

MENSAJE Nº 164-366/

A S.E. EL PRESIDENTE DEL H. SENADO.

Honorable Senado:

En uso de mis facultades constitucionales, tengo el honor de someter a vuestra consideración un proyecto de ley que deroga la ley N° 19.223, establece normas sobre delitos informáticos y modifica otros cuerpos legales con el objeto de adecuar su regulación al Convenio de Budapest.

I. ANTECEDENTES

Las nuevas tecnologías desarrolladas en la economía digital permiten recolectar, tratar, almacenar y transmitir grandes cantidades de datos a través de sistemas informáticos, cambiando la forma de comunicarse entre las personas, así como también la manera en que se llevan a cabo diversas actividades laborales, comerciales y de servicios, incluidos aquellos de carácter o utilidad pública.

Tal situación también ha implicado el surgimiento de nuevos riesgos y ataques contra bienes jurídicos social y penalmente relevantes, algunos de los cuales no se encuentran protegidos desde la óptica penal.

Estas formas delictivas han sido categorizadas por la doctrina dentro del concepto amplio de “criminalidad mediante computadoras”, considerando en ella a “todos los actos antijurídicos según la ley penal vigente (o socialmente perjudiciales y por eso penalizables en el futuro), realizados con el empleo de un equipo automático de procesamiento de datos” (Tiedemann, Kaus, Poder Económico y Delito, pág. 122).

El Convenio sobre la Ciberdelincuencia del Consejo de Europa, conocido como el “Convenio de Budapest”, constituye el primer tratado internacional sobre delitos cometidos a través de Internet y de otros sistemas informáticos. Fue elaborado por expertos del Consejo de Europa, con ayuda de especialistas de otros países ajenos a la organización, como Estados Unidos, Canadá y Japón.

El Convenio de Budapest entró en vigor el 1° de julio de 2004 y, a la fecha, ha sido ratificado por cincuenta y tres Estados. Además, cabe señalar que han sido invitados a hacerse Parte del referido Convenio otros Estados no miembros del Consejo de Europa, entre ellos Argentina, Chile, Colombia, México y Perú.

En estos términos, el principal objetivo del Convenio es el desarrollo de una política criminal común frente a la ciberdelincuencia, mediante la homologación de los conceptos fundamentales y del tratamiento de la legislación penal, sustantiva y procesal, así como del establecimiento de un sistema rápido y eficaz de cooperación internacional.

Nuestro país promulgó el Convenio a través del Decreto Nº 83 del Ministerio de Relaciones Exteriores, con fecha 27 de abril del 2017, entrando posteriormente en vigencia el 28 de agosto del mismo año. En ese orden de ideas, el contenido del mismo y los compromisos internacionales adquiridos por nuestro país –sin perjuicio de las reservas hechas en su oportunidad- se han vuelto mandatorios.

Lo anterior tiene lugar en un mundo globalizado, en el cual Chile no se encuentra ajeno a este fenómeno criminal, unido al aumento del acceso a Internet y otros dispositivos electrónicos, de modo que resulta indispensable una actualización a nuestra legislación en esta materia.

A mayor abundamiento, de acuerdo a la IX Encuesta Acceso y Uso Internet (diciembre de 2017), encargada por la Subsecretaría de Telecomunicaciones, el 87,4% de los hogares chilenos manifiesta tener acceso a Internet. En ese mismo orden de ideas, estudios realizados por la propia Subsecretaría de Telecomunicaciones dan cuenta que, en el periodo comprendido entre diciembre de 2013 y septiembre de 2017, aumentó en más de 9,3 millones de accesos el índice de penetración a Internet.

Asimismo, el Programa de Gobierno 2018-2022, Construyamos Tiempos Mejores para Chile, en el capítulo “Un Chile seguro y en paz para progresar y vivir tranquilos”, entre los principales objetivos y medidas para la seguridad ciudadana, comprometió actualizar la ley de delitos informáticos y crear una fuerza de respuesta ante ciberemergencias (pág. 137).

Desde el año 1993, Chile cuenta con la ley N° 19.223, que tipifica Figuras Penales Relativas a la Informática, legislación que no ha sido modificada desde su dictación, debiendo tenerse a la vista que en la época de su entrada en vigencia, Internet era apenas un fenómeno incipiente y de escaso acceso a la ciudadanía. En el mismo sentido, las herramientas de persecución penal en esta materia datan del año 2000, fecha de dictación del Código Procesal Penal, que han devenido en insuficientes para una adecuada investigación en este tipo de ilícitos y con ello, resguardar los derechos de todos los intervinientes en el respectivo procedimiento.

Todo esto se sitúa en un contexto de ataques cibernéticos en nuestro país, que han afectado a algunas entidades privadas que desarrollan actividades económicas sensibles para las personas, que han sido de público conocimiento y de alto interés para la ciudadanía, situaciones que hemos condenado enérgicamente y han motivado acelerar nuestra agenda de trabajo en estas materias, en sintonía con nuestro compromiso de progresar y vivir tranquilos en un Chile seguro y en paz, lo que naturalmente también se extiende al ciberespacio y a la economía digital.

II. FUNDAMENTOS

El cibercrimen es un fenómeno que se caracteriza por un fuerte componente de naturaleza transnacional, pues el ciberespacio no reconoce fronteras físicas, permitiendo iniciar la ejecución de una conducta ilícita en un Estado, generar sus efectos en otro y aprovecharse de las ganancias en un tercero, pudiendo producirse todo en forma instantánea, debido a que el desarrollo tecnológico basado en la interconexión global permite lograrlo a bajo costo, con menores riesgos y con altos niveles de eficacia. Lo anterior hace imperativo actualizar nuestra normativa de conformidad a los estándares internacionales vigentes.

En dicho contexto, y como se ha señalado precedentemente, nuestro país ha ratificado el Convenio sobre la Ciberdelincuencia del Consejo de Europa y, en consecuencia, su normativa se ha vuelto imperativa luego de su aprobación por parte del Congreso Nacional. Aquello, por sí mismo, debiese ser argumento y sustento suficiente para la promoción de profundas medidas normativas en materia de delitos informáticos en nuestro país.

En ese marco de ideas, se hace presente que el propio Convenio de Budapest hace un relevante hincapié en que una legislación sobre la materia no puede únicamente contener tipos penales, sino que aquéllos deben ser complementados con una normativa procesal que entregue recursos que permitan investigaciones eficaces atendidas las especiales características de la ciberdelincuencia. La ley N° 19.223 no contiene ninguna modificación o referencia al Código Procesal Penal, así como tampoco dispone por sí de modificaciones en relación al tratamiento de la recopilación de antecedentes de investigación en el marco de este tipo de delitos.

Pero la relevancia de esta materia no se radica exclusivamente en dar cumplimiento a este compromiso internacional asumido por nuestro país. En efecto, de conformidad a un informe presentado por la Policía de Investigaciones de Chile en abril de 2018, los delitos informáticos habrían aumentado en un 74% en el año 2017, en relación al 2016. Entre ambos años, también resulta relevante que dicho aumento se vio reflejado en todas las regiones del país, con excepción de la Región de Arica y Parinacota.

Adicionalmente, la actualización de la regulación normativa atingente a los delitos informáticos forma parte de los pilares de la Política Nacional de Ciberseguridad 2017-2022, cuyo texto señala de forma textual: “La actualización de nuestra legislación, impulsada por la decisión de adherir a la Convención sobre Ciberdelitos del Consejo de Europa, la mejor y fortalecimiento de normativa actual y la creación de medidas transversales en lugares de sectoriales, constituyen importantes objetivos en este ámbito”, de forma que la actualización de nuestra normativa sobre delitos informáticos no puede ser entendida sino como parte integrante de esta política nacional.

La ley Nº 19.223, que Tipifica Figuras Penales Relativas a la Informática, creó los primeros delitos que se consideraron propios del ámbito informático, sobre la base de la realidad de la época, centrando su protección en el sistema de tratamiento de información. En cuatro artículos, sanciona el acceso –con ánimo de apropiación, uso o conocimiento– a información contenida en redes informáticas, el daño de los sistemas de tratamiento de información, así como el daño y divulgación de los datos contenidos en dichos sistemas.

Las virtudes de la ley N° 19.223 han sido opacadas con el paso del tiempo y avance tecnológico, no sólo por las nuevas formas de criminalidad cibernética, sino también porque tempranamente se detectaron vacíos legales, cuya inconveniencia se fue acentuando con el tiempo, pues mientras los medios tecnológicos se sofisticaban, junto con las prácticas delictuales asociados a ellas, la ley previamente citada se ha mantenido inalterada y sin modificación alguna a lo largo de todos estos años. Actualmente, es unánime la conclusión que se requiere de una actualización del catálogo de delitos informáticos, teniendo a la vista la evolución de las tecnologías de la información y la comunicación, y de dar un trato más comprensivo del contexto en que este tipo de ilícitos son cometidos, pues las actuales carencias no sólo se radican en la falta de una tipificación moderna y eficaz, sino también en la falta de medios suficientes para desarrollar las investigaciones penales relativas a delitos informáticos.

Se hace presente que la necesidad de actualizar nuestra legislación penal en estas materias ha sido un diagnóstico compartido por diversos mensajes y mociones parlamentarias, tales como el Mensaje N° 13-348, de 25 de septiembre de 2002, presentado en el gobierno del ex presidente Ricardo Lagos Escobar; el Boletín N° 2974-19, de 19 de junio de 2002, presentado por los en ese entonces honorables diputados señores Darío Paya Mira, Sergio Correa de la Cerda, Camilo Escalona Medina, Patricio Walker Prieto, Iván Norambuena Farías, Juan Bustos Ramírez, Andrés Egaña Respaldiza, Pablo Longueira Montes, Iván Moreira Barros y Rosauro Martínez Labbé; y el Boletín N° 10145-07, de 18 de junio de 2015, presentado por los honorables diputados de la época, señora Marisol Turres Figueroa y señor Arturo Squella Ovalle.

Finalmente, sobre la discusión en torno a la posibilidad de incluir estas materias en nuestro actual Código Penal, se ha estimado pertinente y en consideración de las características propias de estos tipos de delito, mantenerlo como una ley de carácter especial, en atención a los múltiples bienes jurídicos protegidos, no sólo la integridad o confiabilidad de la información contenidas en sistemas de información. Asimismo, esta regulación a través de una ley especial permite generar un sistema normativo que fomente la compresión y especialización en estas materias, con el propósito de proteger de manera más efectiva los derechos de los usuarios de la red.

III. CONTENIDO DE LA PROPUESTA

El proyecto de ley deroga la ley N° 19.223, con el objeto de establecer una ley especial que contenga de manera integral las nuevas formas delictivas surgidas a partir del desarrollo de la informática. De esta manera se pretende llenar los vacíos o dificultades que ha tenido nuestro ordenamiento penal en la persecución de ciertas conductas que, incluso, no eran concebibles a la época de dictación de la ley N° 19.223.

1. Enmiendas sustantivas

a. Reformulación de los tipos penales contenidos actualmente en la ley N° 19.223 y adecuación de la nueva normativa a las disposiciones del Convenio de Budapest

Se modifica el tratamiento que se entrega actualmente al sabotaje y espionaje informático, contenidos en los artículos 1, 2 y 3 de la ley N° 19.223, adecuándolos a las figuras penales reconocidas en el Convenio de Budapest, a saber: acceso ilícito a todo o parte de un sistema informático, ataque a la integridad del sistema y de los datos informáticos.

b. Interceptación ilícita

Se agrega el delito de interceptación o interferencia indebida y maliciosa de las transmisiones no públicas entre sistemas informáticos, y la captación ilícita de datos transportados mediante emisiones electromagnéticas de sistemas informáticos, en concordancia con el delito de interceptación ilícita contenido en el Convenio de Budapest.

c. Falsificación Informática

Se incorpora el delito de falsificación informática, contenido en el Convenio de Budapest, que comprende la maliciosa introducción, alteración, borrado o supresión que genere datos no auténticos con el propósito de hacerlos pasar como “auténticos o fiables” por un tercero.

d. Fraude informático

Tal como se explicaba latamente en el Mensaje N° 13-348, enviado durante el Gobierno del ex presidente Lagos, la figura conocida como “fraude informático”, a juicio de algunos puede considerarse incluida dentro del tipo penal de estafa, pero en “aquellos ámbitos donde se han automatizado procesos de trabajo que antes desarrollaban personas físicas, al punto que en muchos casos la actividad autónoma de un sistema informático no sólo sirve de apoyo para la toma de decisiones, sino que dentro de determinado marco es el encargado de tales “decisiones”. En este contexto, la manipulación informática puede ciertamente dar lugar a resultados perjudiciales para el patrimonio de determinadas personas, pero sin que resulte clara la concurrencia de un engaño ni del error correlativo ni, consecuentemente, de una disposición patrimonial fundada en un error, tal como requiere el tipo penal de estafa”.

Por lo anterior, se considera relevante agregar un delito específico para sancionar este tipo de conductas, consistente en la defraudación a otro utilizando la información contenida en un sistema informático al que se hubieren introducido ilegítimamente datos informáticos o aprovechándose de la alteración, daño o supresión de documentos electrónicos o de datos transmitidos o contenidos en un sistema informático.

e. Abuso de dispositivos

El Convenio de Budapest, en su artículo 6, señala que “Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para tipificar como delito en su derecho interno la comisión deliberada e ilegítima de los siguientes actos:

a. la producción, venta, obtención para su utilización, importación, difusión u otra forma de puesta a disposición de:

i. cualquier dispositivo, incluido un programa informático, concebido o adaptado principalmente para la comisión de cualquiera de los delitos previstos en los artículos 2 a 5 del presente Convenio;

ii. una contraseña, código de acceso o datos informáticos similares que permitan acceder a todo o parte de un sistema informático, con intención de que sean utilizados para cometer cualquiera de los delitos contemplados en los artículos 2 a 5, y

iii. la posesión de alguno de los elementos contemplados en los incisos i) o ii) del apartado a) del presente artículo con intención de que sean utilizados para cometer cualquiera de los delitos previstos en los artículos 2 a 5. Las Partes podrán exigir en su derecho interno la posesión de un número determinado de dichos elementos para que se considere que existe responsabilidad penal.”.

Al respecto, nuestro país formuló la siguiente reserva: “La República de Chile expresa, de conformidad al artículo 6, párrafo 3 del Convenio sobre la Ciberdelincuencia, que no aplicará el párrafo 1 del mismo Artículo, en la medida que ello no afecte la venta, distribución o cualesquiera otras formas de puesta a disposición de los elementos mencionados en el inciso 1 a) ii) del citado Artículo 6”.

Debido a la reserva expresada respecto del denominado delito de “abuso de los dispositivos”, se propone al Honorable Congreso Nacional tipificar a quien para la perpetración de los delitos de ataque a la integridad del sistema o datos informáticos, acceso ilícito e interceptación ilícita, o aquellos contenidos en el artículo 5º de la Ley sobre Extravío, Robo o Hurto de Tarjetas de Crédito o Débito, ley N° 20.009, entregare u obtuviere para su utilización, importare, difundiere o realizare otra forma de puesta a disposición un dispositivo, programa computacional, una contraseña, código de acceso o datos informáticos similares que permitan acceder a todo o parte de un sistema informático, creados o adaptados principalmente para la perpetración de los delitos ya señalados.

f. Establecimiento de circunstancias modificatorias de la responsabilidad penal

Se agregan circunstancias modificatorias de responsabilidad penal, ya sea para atenuar o agravar la misma. En efecto, se establece como atenuante la colaboración relevante que permita el esclarecimiento de los hechos, la identificación de sus responsables; o sirva para prevenir o impedir la perpetración o consumación de otros delitos de igual o mayor gravedad contemplados en el nuevo cuerpo legal, pudiendo rebajar hasta un grado la pena.

A su vez, se disponen agravantes relativas al uso de tecnologías de encriptación con la finalidad de inutilizar u obstaculizar la acción de la justicia, así como la comisión del delito abusando de una posición privilegiada de garante o custodio de los datos contenidos en un sistema de información, en razón del ejercicio de un cargo o función.

Finalmente, debido a los últimos ataques informáticos que se han conocido en nuestro país, se ha hecho evidente la relevancia de prevenir y proteger especialmente ciertos servicios de utilidad pública. Es por ello, que se establece una regla para aumentar la pena en un grado cuando se afecte o altere la provisión o prestación de servicios de utilidad pública por delitos de perturbación al sistema informático o ataque a los datos informáticos.

2. Reglas de procedimiento

El proyecto dispone la creación de un Título II, en el cual se incorporan reglas especiales para esta clase de procedimientos junto con modificaciones al Código Procesal Penal como se indicará posteriormente, orientadas a permitir una adecuada y eficaz investigación de esta clase de delitos, tal como se ha comprometido internacionalmente nuestra país, a través de la suscripción del Convenio de Budapest.

De esta manera, la propuesta normativa que por este acto sometemos a vuestra consideración, dispone:

a. Sin perjuicio de la aplicación de las reglas generales que contiene nuestra normativa adjetiva criminal, se concede legitimación activa al Ministerio del Interior y Seguridad Pública, delegados presidenciales regionales y delegados presidenciales provinciales cuando las conductas afecten servicios de utilidad pública.

b. Se permite el uso de técnicas especiales de investigación cuando existan sospechas fundadas, basadas en hechos determinados, de la participación de asociaciones ilícitas o agrupaciones de dos o más personas que realicen alguno de los delitos descritos en la ley, siempre y cuando medie la respectiva autorización judicial. Esto se refiere a agentes encubiertos, informantes, entregas vigiladas y controladas e interceptación de comunicaciones.

c. Se fija una regla especial de comiso, relacionada con los instrumentos del delito informático, los efectos y demás utilidades que se hubieran originado. En caso que ello fuese imposible, se podrá decomisar una suma de dinero equivalente al valor de los bienes mencionados.

d. Sobre la evidencia digital, se señala que los procedimientos para su preservación y custodia deberán ajustarse a las instrucciones generales que dicte el Fiscal Nacional, con el objeto de evitar que producto de su carácter volátil y su fácil destructibilidad, terminen haciendo naufragar las indagatorias.

3. Otras disposiciones

a. Se fija un artículo que incluye las definiciones de “datos informáticos” y “sistema informático”, idénticas a los contenidos en el Convenio de Budapest. Estas definiciones son relevantes en atención al contenido de esta propuesta legislativa.

b. Se realizan ciertas modificaciones en el Código Procesal Penal, a saber:

i. Se agrega el artículo 218 bis sobre preservación provisoria de datos informáticos, en concordancia con los artículos 16 y 17 del Convenio de Budapest.

ii. Se modifica en su integridad el artículo 219, fijando un procedimiento detallado para la entrega, previa autorización por parte de un juez de garantía, de datos o información acerca de las comunicaciones transmitidas o recibidas por las empresas concesionarias de servicio público de telecomunicaciones que presten servicios a los proveedores de acceso a Internet y también a estos últimos. Además, se establecen sanciones en caso de incumplimiento de dichas medidas.

iii. Se modifica el artículo 222, tanto en el epígrafe como en el inciso quinto, reemplazándolo por nuevos incisos “quinto, sexto, séptimo y octavo”, que, a modo general, obligan a las empresas concesionarias de servicio público de telecomunicaciones que presten servicios a los proveedores de acceso a Internet y también a estos últimos a cumplir las medidas de investigación señaladas en dicho artículo; establecen la obligación de retener datos relativos al tráfico en ciertas circunstancias; definen a este tipo de dato; y fijan la obligación de secreto de este tipo de medidas por los encargados de realizar las respectivas diligencias.

c. Se agregan los delitos informáticos en la ley Nº 20.393 sobre Responsabilidad Penal de las personas jurídica.

En consecuencia, tengo el honor de someter a vuestra consideración, el siguiente

PROYECTO DE LEY:

“TÍTULO I

DE LOS DELITOS INFORMÁTICOS Y SUS SANCIONES

Artículo 1°.-Perturbación informática. El que maliciosamente obstaculice o perturbe el funcionamiento de un sistema informático, a través de la introducción, transmisión, daño, deterioro, alteración o supresión de datos informáticos, será castigado con la pena de presidio menor en su grado medio a máximo. Si además se hiciere imposible la recuperación del sistema informático en todo o en parte, se aplicará la pena de presidio menor en su grado máximo.

Artículo 2°.-Acceso ilícito. El que indebidamente acceda a un sistema informático será castigado con presidio menor en su grado mínimo o multa de once a veinte unidades tributarias mensuales.

El que indebidamente acceda con el ánimo de apoderarse, usar o conocer la información contenida en un sistema informático, será castigado con presidio menor en su grado mínimo a medio.

Si en la comisión de las conductas descritas en este artículo se vulnerasen, evadiesen o transgrediesen medidas de seguridad destinadas para impedir dicho acceso, se aplicará la pena de presidio menor en su grado medio.

Artículo 3°.-Interceptación ilícita. El que indebida y maliciosamente intercepte o interfiera la transmisión no pública de información entre los sistemas informáticos, será castigado con presidio menor en su grado mínimo a medio.

El que capte ilícitamente datos contenidos en sistemas informáticos a través de las emisiones electromagnéticas de los dispositivos, será castigado con presidio menor en su grado medio a máximo.

Artículo 4°.-Daño informático. El que maliciosamente altere, borre o destruya datos informáticos, será castigado con presidio menor en su grado medio, siempre que con ello se cause un daño serio al titular de los mismos.

Artículo 5º.-Falsificación informática. El que maliciosamente introduzca, altere, borre, deteriore, dañe, destruya o suprima datos informáticos con la intención de que sean tomados o utilizados a efectos legales como auténticos, será sancionado con la penas previstas en el artículo 197 del Código Penal, salvo que sean o formen parte de un instrumento, documento o sistema informático de carácter público, caso en que se sancionará con las penas previstas en el artículo 193 de dicho cuerpo legal.

Artículo 6°.-Fraude informático. El que, causando perjuicio a otro y con la finalidad de obtener un beneficio económico ilícito para sí o para un tercero, utilice la información contenida en un sistema informático o se aproveche de la alteración, daño o supresión de documentos electrónicos o de datos transmitidos o contenidos en un sistema informático, será penado:

1)Con presidio menor en sus grados medio a máximo y multa de once a quince unidades tributarias mensuales, si el valor del perjuicio excediera de cuarenta unidades tributarias mensuales.

2)Con presidio menor en su grado medio y multa de seis a diez unidades tributarias mensuales, si el valor del perjuicio excediere de cuatro unidades tributarias mensuales y no pasare de cuarenta unidades tributarias mensuales.

3)Con presidio menor en su grado mínimo y multa de cinco a diez unidades tributarias mensuales, si el valor del perjuicio no excediere de cuatro unidades tributarias mensuales.

Si el valor del perjuicio excediere de cuatrocientas unidades tributarias mensuales, se aplicará la pena de presidio menor en su grado máximo y multa de veintiuna a treinta unidades tributarias mensuales.

Artículo 7º.-Abuso de los dispositivos. El que para la perpetración de los delitos previstos en los artículos 1 a 4 de esta ley o de las conductas señaladas en el artículo 5° de la ley N° 20.009, entregare u obtuviere para su utilización, importare, difundiera o realizare otra forma de puesta a disposición uno o más dispositivos, programas computacionales, contraseñas, códigos de seguridad o de acceso u otros datos similares, creados o adaptados principalmente para la perpetración de dichos delitos, será sancionado con la pena de presidio menor en su grado mínimo y multa de cinco a diez unidades tributarias mensuales.

Artículo 8°.-Circunstancia atenuante especial. Será circunstancia atenuante especial de responsabilidad penal, y permitirá rebajar la pena hasta en un grado, la cooperación eficaz que conduzca al esclarecimiento de hechos investigados que sean constitutivos de alguno de los delitos previstos en esta ley o permita la identificación de sus responsables; o sirva para prevenir o impedir la perpetración o consumación de otros delitos de igual o mayor gravedad contemplados en esta ley; siempre que, en todo caso, dichos delitos fueren a ejecutarse o se hubieren ejecutado por una agrupación u organización conformada por dos o más personas, o por una asociación ilícita.

Se entiende por cooperación eficaz el suministro de datos o informaciones precisas, verídicas y comprobables, que contribuyan necesariamente a los fines señalados en el inciso anterior.

El Ministerio Público deberá expresar, en la formalización de la investigación o en su escrito de acusación, si la cooperación prestada por el imputado ha sido eficaz a los fines señalados en el inciso primero.

La reducción de pena se determinará con posterioridad a la individualización de la sanción penal según las circunstancias atenuantes o agravantes comunes que concurran; o de su compensación, de acuerdo con las reglas generales.

Artículo 9°.-Circunstancias agravantes. Constituyen circunstancias agravantes de los delitos de que trata esta ley:

1)Utilizar tecnologías de encriptación sobre datos informáticos contenidos en sistemas informáticos que tengan por principal finalidad la obstaculización de la acción de la justicia.

2)Cometer el delito abusando de una posición privilegiada de garante o custodio de los datos informáticos contenidos en un sistema informático, en razón del ejercicio de un cargo o función.

Asimismo, si como resultado de la comisión de las conductas contempladas en los artículos 1° y 4°, se interrumpiese o altere el funcionamiento de los sistemas informáticos o su data y esto afectase o alterase la provisión o prestación de servicios de utilidad pública, tales como electricidad, gas, agua, transporte, telecomunicaciones o financieros, la pena correspondiente se aumentará en un grado.

TÍTULO II

DEL PROCEDIMIENTO

Artículo 10º.-Sin perjuicio de las reglas contenidas en el Código Procesal Penal, las investigaciones a que dieren lugar los delitos previstos en esta ley también podrán iniciarse por querella del Ministro del Interior y Seguridad Pública, de los delegados presidenciales regionales y de los delegados presidenciales provinciales, cuando las conductas señaladas en esta ley interrumpieren el normal funcionamiento de un servicio de utilidad pública.

Artículo 11º.-Cuando la investigación de los delitos contemplados en esta ley lo hiciere imprescindible y existieren fundadas sospechas, basadas en hechos determinados, de la participación en una asociación ilícita, o en una agrupación u organización conformada por dos o más personas, destinada a cometer estos ilícitos, el Ministerio Público podrá aplicar las técnicas previstas y reguladas en los artículos 222 a 226 del Código Procesal Penal, conforme lo disponen dichas normas, y siempre que cuente con autorización judicial.

De igual forma, cumpliéndose las mismas condiciones establecidas en el inciso anterior, el Ministerio Público, y siempre que cuente con autorización judicial, podrá utilizar las técnicas especiales de investigación consistentes en entregas vigiladas y controladas, el uso de agentes encubiertos e informantes, en la forma regulada por los artículos 23 y 25 de la ley N° 20.000, siempre que fuere necesario para lograr el esclarecimiento de los hechos, establecer la identidad y la participación de personas determinadas en éstos, conocer sus planes, prevenirlos o comprobarlos.

Los resultados de las técnicas especiales de investigación establecidas en este artículo no podrán ser utilizados como medios de prueba en el procedimiento cuando ellos hubieren sido obtenidos fuera de los casos o sin haberse cumplido los requisitos que autorizan su procedencia.

Artículo 12º.-Sin perjuicio de las reglas generales, caerán especialmente en comiso los instrumentos de los delitos penados en esta ley, los efectos que de ellos provengan y las utilidades que hubieren originado, cualquiera que sea su naturaleza jurídica.

Cuando por cualquier circunstancia no sea posible decomisar estas especies, se podrá aplicar el comiso a una suma de dinero equivalente a su valor.

Artículo 13º.-Sin perjuicio de las reglas generales, los antecedentes de investigación que se encuentren en formato electrónico y estén contenidos en documentos electrónicos o sistemas informáticos o que correspondan a datos informáticos, serán tratados en conformidad a los estándares definidos para su preservación o custodia en el procedimiento respectivo, de acuerdo a las instrucciones generales que al efecto dicte el Fiscal Nacional.

TÍTULO III

DISPOSICIONES FINALES

Artículo 14º.-Para efectos de esta ley, se entenderá por:

a)Datos informáticos: Toda representación de hechos, información o conceptos expresados en cualquier forma que se preste a tratamiento informático, incluidos los programas diseñados para que un sistema informático ejecute una función.

b)Sistema informático: Todo dispositivo aislado o conjunto de dispositivos interconectados o relacionados entre sí, cuya función, o la de alguno de sus elementos, sea el tratamiento automatizado de datos en ejecución de un programa.

Artículo 15º.-Sin perjuicio de lo dispuesto en el artículo primero transitorio de esta ley, derógase la ley N° 19.223. Toda referencia legal o reglamentaria a dicho cuerpo legal debe entenderse hecha a esta ley.

Artículo 16º.-Modifícase el Código Procesal Penal en el siguiente sentido:

1)Agrégase el siguiente artículo 218 bis:

“Artículo 218 bis.- Preservación provisoria de datos informáticos. El Ministerio Público con ocasión de una investigación penal podrá requerir, a cualquiera de las empresas concesionarias de servicio público de telecomunicaciones que presten servicios a los proveedores de acceso a Internet y también a estos últimos, la conservación o protección de datos informáticos o informaciones concretas incluidas en un sistema informático, que se encuentren a su disposición hasta que se obtenga la respectiva autorización judicial para su entrega. Los datos se conservarán durante un período de 90 días, prorrogable una sola vez, hasta que se autorice la entrega o se cumplan 180 días. La empresa requerida estará obligada a prestar su colaboración y guardar secreto del desarrollo de esta diligencia.”.

2)Reemplázase el artículo 219, por el siguiente:

“Artículo 219.- Copias de comunicaciones o transmisiones. El juez de garantía podrá autorizar, a petición del fiscal, que cualquier empresa concesionaria de servicio público de telecomunicaciones que preste servicios a los proveedores de acceso a Internet y también estos últimos, facilite datos o informaciones acerca de las comunicaciones transmitidas o recibidas por ellas. Respecto de las comunicaciones a que hace referencia el artículo 222 de este Código, se regirán por lo señalado en dicha disposición. Del mismo modo, podrá ordenar la entrega de las versiones que existieren de las transmisiones de radio, televisión u otros medios.

La entrega de los antecedentes previstos en el inciso anterior deberá realizarse en el plazo que disponga la resolución judicial. Si el requerido estimare que no pudiere cumplir con el plazo, en atención al volumen y la naturaleza de la información solicitada, deberá comunicar de dicha circunstancia fundadamente al tribunal, dentro del término señalado en la resolución judicial respectiva.

Para dar cumplimiento a lo previsto en los incisos precedentes, las empresas señaladas en el inciso primero deberán disponer de una persona que tendrá a su cargo, no necesariamente de forma exclusiva, dar respuesta a los requerimientos del Ministerio Público. Asimismo, las empresas deberán tomar las medidas pertinentes para que dicho encargado cuente con las atribuciones y las competencias que le permitan entregar de manera expedita la información que sea requerida.

La negativa o retardo injustificado de entrega de la información señalada en este artículo facultará al Ministerio Público para requerir al juez de garantía, autorización para el ingreso al domicilio, sin restricción de horario, de la empresa en que se encuentren los sistemas informáticos que contengan la información requerida y copiarla. El juez autorizará esta medida en caso que se cumplan los supuestos previstos en este artículo, debiendo comunicar dicha autorización por la vía más expedita posible, sin perjuicio de remitir con posterioridad la resolución respectiva.

Si, a pesar de las medidas señaladas en este artículo, la información no fuere entregada, podrá ser requerida al representante legal y al gerente general de la empresa de que se trate, bajo apercibimiento de arresto.”.

3)Modifícase el artículo 222 de la siguiente manera:

a)Reemplázase el epígrafe por el siguiente: “Intervención de las comunicaciones y conservación de los datos relativos al tráfico.”.

b)Reemplázase el inciso quinto actual por los siguientes incisos quinto, sexto, séptimo y octavo nuevos:

“Las empresas concesionarias de servicio público de telecomunicaciones que presten servicios a los proveedores de acceso a Internet y también estos últimos, deberán dar cumplimiento a esta medida, proporcionando a los funcionarios encargados de la diligencia las facilidades necesarias para que se lleve a cabo con la oportunidad con que se requiera.

Las empresas y proveedores mencionados en el inciso anterior deberán mantener, con carácter reservado y adoptando las medidas de seguridad correspondientes, a disposición del Ministerio Público a efectos de una investigación penal en curso, por un plazo no inferior a dos años, un listado y registro actualizado de sus rangos autorizados de direcciones IP y de los números IP de las conexiones que realicen sus clientes o usuarios, con sus correspondientes datos relativos al tráfico, así como los domicilios o residencias de sus clientes o usuarios. La infracción a lo dispuesto en este inciso será castigada según las sanciones y el procedimiento previsto en los artículos 36 y 36 A de la ley Nº 18.168, General de Telecomunicaciones.

Para efectos de este artículo se entenderá por datos relativos al tráfico, todos los datos relativos a una comunicación realizada por medio de un sistema informático, generados por este último en tanto elemento de la cadena de comunicación, y que indiquen el origen, la localización del punto de acceso a la red, el destino, la ruta, la hora, la fecha, el tamaño y la duración de la comunicación o el tipo de servicio subyacente.

Asimismo, los encargados de realizar la diligencia y los empleados de las empresas mencionadas en este artículo deberán guardar secreto acerca de la misma, salvo que se les citare como testigos al procedimiento.”.

Artículo 17º.-Modifícase la ley N° 20.393, que establece la responsabilidad penal de las personas jurídicas en los delitos de lavado de activos, financiamiento del terrorismo y delitos de cohecho que indica, en el siguiente sentido:

1)Intercálase en el inciso primero del artículo 1, entre “Nº 18.314” y “y en los artículos 250”, la expresión “, en el Título I de la ley que sanciona delitos informáticos”.

2)Intercálase en el inciso primero del artículo 15, entre “Código Penal,” y “y en el artículo 8°”, la expresión “en el Título I de la ley que sanciona delitos informáticos”.

ARTÍCULOS TRANSITORIOS

Artículo primero transitorio.- Las modificaciones introducidas por el Título I de la presente ley solo se aplicarán a los hechos delictivos cometidos con posterioridad a la entrada en vigencia de la misma. En consecuencia, las normas de la Ley N° 19.223, continuarán vigentes para todos los efectos relativos a la persecución de los delitos perpetrados con anterioridad a la entrada en vigencia de la presente ley.

Artículo segundo transitorio.- Mientras no sean nombrados los delegados presidenciales regionales y provinciales a los que se refiere esta ley, se entenderá que dichos cargos corresponderán a los intendentes y gobernadores, respectivamente.

Artículo tercero transitorio.- El artículo 16 de la presente ley comenzará a regir transcurridos 90 días desde su publicación.”.

Dios guarde a V.E.

SEBASTIÁN PIÑERA ECHENIQUE

Presidente de la República

ANDRÉS CHADWICK PIÑERA

Ministro del Interior y Seguridad Pública

HERNÁN LARRAÍN FERNÁNDEZ

Ministro de Justicia y Derechos Humanos

INFORME FINANCIERO

INFORME DE LA COMISIÓN DE SEGURIDAD PÚBLICA recaído en el proyecto de ley, en primer trámite constitucional, que establece normas sobre delitos informáticos, deroga la ley N° 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al Convenio de Budapest.

BOLETÍN N° 12.192-25

________________________________

HONORABLE SENADO:

La Comisión de Seguridad Pública tiene el honor de informaros acerca del proyecto de ley de la referencia, en primer trámite constitucional, iniciado en Mensaje de S.E. el Presidente de la República.

Se dio cuenta de esta iniciativa ante la Sala del Honorable Senado en sesión celebrada el 7 de noviembre de 2018, disponiéndose su estudio por la Comisión de Seguridad Pública y la de Hacienda, en su caso.

- - -

Este proyecto de ley se discutió sólo en general, de conformidad con lo dispuesto en el artículo 36 del Reglamento del Senado.

- - -

Concurrieron a sesiones de la Comisión, los siguientes personeros:

- El Ministro del Interior y Seguridad Publica, señor Andrés Chadwick, acompañado por la Jefa de Gabinete, señora María José Gómez; el Jefe de Asesores, señor Pablo Celedón; el entonces Asesor Presidencial en Ciberseguridad, señor Jorge Atton, y los asesores legislativos señorita Katherina Canales y señores Diego Izquierdo, Juan Pablo González y Gonzalo Santini.

- El Presidente del Consejo para la Transparencia, señor Marcelo Drago, acompañado del Director Jurídico (S) señor Pablo Contreras; el Secretario Ejecutivo, señor José Ruiz; el Jefe de Comunicaciones, señor Emilio Espinoza, y el abogado señor Alejandro González.

- El Jefe de la Unidad Jurídica de la Policía de Investigaciones de Chile, Prefecto Luis Silva, acompañado del Jefe de la Brigada Investigadora del Cibercrimen Metropolitano, Subprefecto señor Rodrigo Figueroa; el Jefe de la Brigada Congreso Nacional, Comisario señor Silvio Copello; los Comisarios señores Cristián González y Danic Maldonado; la Subcomisario señora Pamela Figueroa, y los inspectores señora Constanza Lagos y señores Claudio Toledo y Esteban Andrade.

- El Director de la Unidad de Análisis Financiero (UAF), señor Javier Cruz.

- El Gerente General de la Asociación de Bancos e Instituciones Financieras, señor Juan Esteban Laval.

- El encargado de Políticas Públicas de la ONG Derechos Digitales, señor Pablo Viollier.

- La académica de la Facultad de Derecho de la Pontificia Universidad Católica de Chile, señora Verónica Rosenblut.

- El académico de la Facultad de Derecho de la Universidad de Chile, señor Gonzalo Medina.

- El Coordinador académico del Centro de Derecho Informático de la Universidad de Chile, señor Daniel Álvarez.

- El investigador de la Facultad de Ingeniería de la Universidad de Chile, señor Alejandro Hevia.

- La asesora legislativa de la SEGPRES, señorita María Fernanda González.

- Los asesores legislativos de la Fundación Jaime Guzmán, señorita Magdalena Moncada y señor Matías Quijada.

- Los siguientes asesores parlamentarios: de la Oficina del Senador señor Insulza, las señoras Lorena Escalona y Ginette Joignant y los señores Guillermo Miranda y Nicolás Godoy; de la Oficina del Senador señor Kast, la señorita Bernardita Molina y el señor Javier de Iruarrizaga; de la Oficina del Senador señor Allamand, el señor Francisco Bedecarratz; del Comité DC, el señor Gerardo Bascuñán; del Comité PPD, el señor Gabriel Muñoz.

- El asesor de la Cámara Nacional de Comercio, señor Nicolás Yuraszek.

- Los analistas sectoriales de la Biblioteca del Congreso Nacional, señora Verónica Barrios y señor Guillermo Fernández.

- El periodista de TV Senado, señor Christian Reyes.

- Los periodistas de TVN, del Diario Financiero y de El Mercurio, señores Daniel Soza, Vicente Vera y Manuel Muga, respectivamente.

- - -

OBJETIVO DEL PROYECTO

Actualizar la legislación chilena en materia de delitos informáticos y ciberseguridad y adecuarla tanto a las exigencias del Convenio sobre la Ciberdelincuencia del Consejo de Europa, conocido como “Convenio de Budapest”, del cual Chile es parte, cuanto a la evolución de las tecnologías de la información y la comunicación, todo ello para dar un tratamiento más comprensivo del contexto en que se cometen estos ilícitos y subsanar la carencia de medios suficientes para su investigación.

- - -

NORMAS DE QUÓRUM ESPECIAL

Se hace presente que los artículos 8°, inciso tercero; 11, y 13, así como los artículos 218 bis, 219 sustitutivo y el nuevo inciso sexto del artículo 222 (contenidos en los numerales 1), 2) y 3), letra b), del artículo 16, respectivamente), tienen carácter orgánico constitucional, de conformidad con lo prescrito en los artículos 84 y 66, inciso segundo, de la Constitución Política de la República, en concordancia con la ley N° 19.640, Orgánica Constitucional del Ministerio Público.

Además, el artículo 219 sustitutivo, contenido en el numeral 2) del artículo 16, ostenta rango orgánico constitucional por incidir en la organización y atribuciones de los tribunales de justicia, al tenor de lo dispuesto en los artículos 77 y 66, inciso segundo, de la Carta Fundamental.

- - -

Cabe consignar que por oficio N° CSP/62/2018, de 4 de enero de 2019, se consultó a la Excma. Corte Suprema su parecer acerca de la iniciativa, de conformidad con lo dispuesto en los artículos 77, de la Carta Fundamental, y 16 de la ley N° 18.918, Orgánica Constitucional del Congreso Nacional.

- - -

ANTECEDENTES

I. Normativos.

1) Ley N° 19.223, que tipifica figuras penales relativas a la informática.

2) Decreto N° 83, del Ministerio de Relaciones Exteriores, de 2017, que promulga el Convenio sobre la Ciberdelincuencia, denominado “Convenio de Budapest”.

3) Código Procesal Penal.

4) Ley N° 20.393, que establece la responsabilidad penal de las personas jurídicas en los delitos de lavado de activos, financiamiento del terrorismo y delitos de cohecho que indica.

II. Informe financiero.

Este documento, suscrito por el Director de Presupuestos del Ministerio de Hacienda, señor Rodrigo Cerda Norambuena, luego de efectuar una relación sucinta de las principales modificaciones que propone el proyecto de ley, declara que tales enmiendas no implican un mayor gasto fiscal.

III. Contenido principal del proyecto.

El proyecto, que consta de diecisiete artículos permanentes y tres artículos transitorios, resumidamente, propone derogar la ley N° 19.223, que tipifica figuras penales relativas a la informática, con el objeto de establecer una ley especial que contenga de manera integral las nuevas formas delictivas surgidas a partir de recientes desarrollos de esta área del conocimiento científico. De esta manera se pretende llenar los vacíos o dificultades que muestra el ordenamiento penal en la persecución de ciertas conductas que, incluso, no eran concebibles a la época de dictación de la citada ley.

En ese marco, la iniciativa contempla enmiendas tales como la reformulación de tipos penales y su adecuación al Convenio de Budapest, por ejemplo, en el ámbito del sabotaje y espionaje informático en relación con el acceso ilícito a un sistema informático y el ataque a la integridad del sistema y de los datos; la interceptación o interferencia indebida y maliciosa de transmisiones no públicas entre sistemas informáticos y la captación ilícita de datos transportados; la falsificación informática (que comprende la maliciosa introducción, alteración, borrado o supresión que genere datos no auténticos con el propósito de hacerlos pasar como “auténticos o fiables” por un tercero), y el llamado “fraude informático”.

Además, se incluyen circunstancias modificatorias especiales de responsabilidad penal, sea para atenuarla o agravarla. En el caso de las primeras, la colaboración relevante que permita el esclarecimiento de los hechos, la identificación de sus responsables o sirva para prevenir o impedir la perpetración o consumación de otros delitos de igual o mayor gravedad; en el de las segundas, el uso de tecnologías de encriptación con la finalidad de inutilizar u obstaculizar la acción de la justicia, así como la comisión del delito abusando de una posición privilegiada de garante o custodio de los datos contenidos en un sistema de información, en razón del ejercicio de un cargo o función.

También, se incorporan reglas especiales para esta clase de procedimientos junto con modificaciones al Código Procesal Penal, que permitan una eficaz investigación de estos delitos. Entre ellas, conceder legitimación activa al Ministerio del Interior y Seguridad Pública, delegados presidenciales regionales y delegados presidenciales provinciales cuando las conductas afecten servicios de utilidad pública; permitir el uso de técnicas de investigación –mediando autorización judicial- cuando existan sospechas fundadas de la participación de asociaciones ilícitas o agrupaciones de dos o más personas que cometan alguno de los delitos descritos en la ley (agentes encubiertos, informantes, entregas vigiladas y controladas e interceptación de comunicaciones), y establecer una regla especial de comiso vinculada con los instrumentos del delito informático, los efectos y demás utilidades que se hubieren originado, o una suma de dinero equivalente al valor de los bienes mencionados.

En lo tocante a la evidencia digital, los procedimientos para su preservación y custodia deberán ajustarse a las instrucciones generales que dicte el Fiscal Nacional, para evitar que producto de su carácter volátil y fácil destructibilidad se frustren las indagatorias.

Por último, se incluyen definiciones de “datos informáticos” y “sistema informático”, idénticas a las contenidas en el Convenio de Budapest, y se introducen algunas modificaciones en el Código Procesal Penal.

IV. Mensaje.

El Mensaje con que se origina esta iniciativa legal comenta que las nuevas tecnologías desarrolladas en la economía digital permiten recolectar, tratar, almacenar y transmitir grandes cantidades de datos a través de sistemas informáticos, cambiando la forma de comunicarse entre las personas, así como también la manera en que se llevan a cabo diversas actividades laborales, comerciales y de servicios, incluidos aquellos de carácter o utilidad pública. Tal situación, según el Ejecutivo, ha implicado el surgimiento de nuevos riesgos y ataques contra bienes jurídicos social y penalmente relevantes, algunos de los cuales no se encuentran penalmente protegidos.

Estas formas delictivas, prosigue el Mensaje, han sido categorizadas por la doctrina dentro del concepto amplio de “criminalidad mediante computadoras”, considerando en ella a “todos los actos antijurídicos según la ley penal vigente (o socialmente perjudiciales y por eso penalizables en el futuro), realizados con el empleo de un equipo automático de procesamiento de datos” (Tiedemann, Kaus, Poder Económico y Delito, pág. 122).

El Convenio sobre la Ciberdelincuencia del Consejo de Europa, conocido como “Convenio de Budapest”, constituye el primer tratado internacional sobre delitos cometidos a través de Internet y de otros sistemas informáticos. Fue elaborado por expertos del Consejo de Europa, con ayuda de especialistas de otros países ajenos a la organización, como Estados Unidos, Canadá y Japón. Este instrumento jurídico entró en vigor el 1 de julio de 2004 y, a la fecha, ha sido ratificado por cincuenta y tres Estados. Han sido también invitados a hacerse Parte de este Convenio otros Estados no miembros del Consejo de Europa, entre ellos, Argentina, Chile, Colombia, México y Perú. Su principal objetivo es el desarrollo de una política criminal común frente a la ciberdelincuencia, mediante la homologación de conceptos fundamentales en la materia, el tratamiento a su respecto de la legislación penal sustantiva y procesal y el establecimiento de un sistema rápido y eficaz de cooperación internacional.

Nuestro país, explica el Mensaje, promulgó el Convenio a través del decreto N° 83, del Ministerio de Relaciones Exteriores, de 2017, y entró en vigencia el 28 de agosto del mismo año. Su contenido y los compromisos internacionales adquiridos por nuestro país, sin perjuicio de las reservas hechas en su oportunidad, se han vuelto mandatorios. Lo anterior tiene lugar en un mundo globalizado: Chile no se encuentra ajeno a este fenómeno criminal, unido al aumento del acceso a Internet y otros dispositivos electrónicos, de modo que resulta indispensable una actualización de nuestra legislación en esta materia. A mayor abundamiento, arguye el Ejecutivo, de acuerdo a la IX Encuesta sobre Acceso y Uso de Internet, de diciembre de 2017, que fuera encargada por la Subsecretaría de Telecomunicaciones, el 87,4% de los hogares chilenos manifiesta tener acceso a Internet, y estudios realizados por la propia Subsecretaría de Telecomunicaciones dan cuenta que, en el periodo comprendido entre diciembre de 2013 y septiembre de 2017, aumentó en más de 9,3 millones de accesos el índice de penetración a Internet.

El Programa de Gobierno 2018-2022, Construyamos Tiempos Mejores para Chile, en el capítulo “Un Chile seguro y en paz para progresar y vivir tranquilos”, entre los principales objetivos y medidas para la seguridad ciudadana, comprometió actualizar la ley de delitos informáticos y crear una fuerza de respuesta ante ciberemergencias. Si bien desde 1993 Chile cuenta con la ley N° 19.223, es una legislación que no ha sido modificada desde su dictación, debiendo tenerse presente que en la época de su entrada en vigencia Internet era un fenómeno incipiente y de escaso acceso ciudadano. Las herramientas de persecución penal datan del año 2000 cuando se dictó el Código Procesal Penal, pero han devenido insuficientes para una adecuada investigación de estos ilícitos y, con ello, resguardar los derechos de todos los intervinientes en el respectivo procedimiento.

Lo expuesto, continúa el Mensaje, se sitúa en un contexto de ataques cibernéticos que han afectado a entidades privadas que desarrollan actividades económicas sensibles para las personas, los cuales han sido de público conocimiento y de alto interés para la ciudadanía. El Gobierno ha condenado estos hechos y lo ha motivado a acelerar su agenda de trabajo en estas materias. El cibercrimen es un fenómeno que se caracteriza por un fuerte componente de naturaleza transnacional, pues el ciberespacio no reconoce fronteras físicas, permitiendo iniciar la ejecución de una conducta ilícita en un Estado, generar sus efectos en otro y aprovecharse de las ganancias en un tercero, pudiendo producirse todo en forma instantánea, debido a que el desarrollo tecnológico basado en la interconexión global permite lograrlo a bajo costo, con menores riesgos y con altos niveles de eficacia. Por eso debe actualizarse la normativa chilena con arreglo a los estándares internacionales vigentes.

Como lo advierte el propio Convenio de Budapest, una legislación sobre la materia no puede únicamente contener tipos penales, sino que aquéllos deben ser complementados con una normativa procesal que entregue recursos que permitan investigaciones eficaces atendidas las especiales características de la ciberdelincuencia. La ley N° 19.223 no contiene ninguna modificación o referencia al Código Procesal Penal, así como tampoco dispone de herramientas relativas al tratamiento de la recopilación de antecedentes de investigación en el marco de este tipo de delitos. Y un informe presentado por la Policía de Investigaciones de Chile en abril de 2018 sostiene que los delitos informáticos habrían aumentado en un 74% en el año 2017, en relación al 2016. Entre ambos años, también resulta relevante que dicho aumento se vio reflejado en todas las regiones del país, con excepción de la Región de Arica y Parinacota.

Adicionalmente, como la actualización de la regulación atingente a los delitos informáticos forma parte de la Política Nacional de Ciberseguridad 2017-2022, la puesta al día de la normativa sobre delitos informáticos ha de ser entendida como parte integrante de esta política nacional. La ley N° 19.223 creó los primeros delitos que se consideraron propios del ámbito informático, sobre la base de la realidad de la época, centrando su protección en el sistema de tratamiento de información. Sus virtudes han sido opacadas con el paso del tiempo y avance tecnológico, no sólo por las nuevas formas de criminalidad cibernética, sino también porque tempranamente se detectaron vacíos legales, cuya inconveniencia se fue acentuando con el tiempo, pues mientras los medios tecnológicos se sofisticaban, junto con las prácticas delictuales asociados a ellas, la ley se mantuvo inalterada. Hoy, dice el Mensaje, es unánime la conclusión de que se requiere actualizar el catálogo de delitos informáticos, teniendo a la vista la evolución de las tecnologías de la información y la comunicación, y dar un trato más comprensivo del contexto en que este tipo de ilícitos son cometidos, pues las actuales carencias no sólo radican en la falta de una tipificación moderna y eficaz, sino también en la falta de medios suficientes para desarrollar las investigaciones penales relativas a delitos informáticos. La necesidad de actualizar nuestra legislación penal en la materia ha sido un diagnóstico compartido por diversos mensajes y mociones parlamentarias, tales como el Mensaje N° 13-348, de 25 de septiembre de 2002; el Boletín N° 2974-19, y el Boletín N° 10145-07.

Finalmente, aduce el Ejecutivo, sobre la discusión en torno a la posibilidad de incluir estas materias en nuestro actual Código Penal, se estimó pertinente en consideración a las características propias de este tipo de delitos, mantenerlas como una ley especial por los múltiples bienes jurídicos protegidos. La regulación mediante una ley especial permite generar un sistema normativo que fomente la compresión de estas materias, con el propósito de proteger de manera más efectiva los derechos de los usuarios de la red.

- - -

DISCUSIÓN EN GENERAL

Al iniciarse la discusión en general del proyecto de ley en informe, el señor Ministro del Interior y Seguridad Pública destacó que, en esencia, su objetivo es reemplazar la ley N° 19.223, que tipifica figuras penales relativas a la informática, en vigencia desde 1993, dado que por el transcurso del tiempo se ha tornado insuficiente para acometer las complejidades surgidas en el intertanto en este ámbito. Dos eventos importantes, ocurridos el año recién pasado, caracterizan la idea de legislar: por una parte, la ratificación que prestó Chile al Convenio sobre Ciberdelincuencia, del Consejo de Europa (conocido como “Convenio de Budapest”), que obliga al país a adecuar nuestra legislación sobre delitos informáticos; por otra, la aprobación de la política nacional de ciberseguridad, en la que se adquirió el compromiso de actualizar nuestro sistema jurídico en la materia.

En ese marco, señaló el señor Ministro, la iniciativa, junto con proponer la derogación de la ley N° 19.223, introduce nuevas definiciones en esta materia; contempla adecuaciones a delitos sobre perturbación informática, acceso ilícito, interceptación ilícita y daño informático; introduce los tipos penales de falsificación, fraude y abuso de dispositivos informáticos; consulta regulaciones procesales referidas a legitimación activa del Ministerio del ramo y otras autoridades, preservación de datos, interrupción de comunicaciones e investigaciones especiales, y establece la responsabilidad penal de las personas jurídicas en esta clase de delitos.

El entonces asesor presidencial en ciberseguridad, señor Atton, precisó que la política nacional sobre ciberseguridad, hoy validada como una política de Estado, considera tres iniciativas legales, a saber: la que modifica la ley N° 19.223 (sobre la que versa este informe); la que configura el marco sobre ciberseguridad y define la gobernanza en esta área, y la que determina las infraestructuras críticas para los sistemas de información. Pero, acotó, existen otros ámbitos para los cuales también es relevante la ciberseguridad, tales son el mercado financiero y la protección de datos personales. De allí que, tratándose de un asunto dinámico que discurre al compás del avance tecnológico, sea necesario mantener una política de Estado acorde con los convenios internacionales, que permita el intercambio de información y mejores prácticas investigativas, en circunstancias que la forma de investigar esta clase de ilícitos se articula bajo otros parámetros pues suceden en tiempo real (lo que facilita la pérdida de la información que permite indagarlos).

Mientras la Convención sobre Ciberdelincuencia, del Consejo de Europa, se suscribió el año 2001, la ley N° 19.223 se publicó en 1993, época en la que prácticamente no existía internet. Hoy, en cambio, la red es móvil y no tiene una ubicación fija, lo que complejiza las correspondientes técnicas de investigación. Por tal razón, por ejemplo, en el programa legislativo del Gobierno se plantea la redacción de una iniciativa legal sobre registro de prepago, ya regulado en muchos países. Lo anterior explica la necesidad de adecuar nuestra legislación a la Convención de Budapest y de capacitar a las policías en la persecución de estos delitos.

Enseguida, el señor Atton arguyó que en este cuerpo legal el término “tráfico” alude a la interconectividad mediante las redes IP o “redes de internet”, adecuándose así los tipos penales existentes para precaver la perturbación informática (interferencia con agravante cuando es servicio de utilidad pública); el acceso ilícito, esto es, la intervención de sistemas para bloquear, afectar o extraer información; la interceptación ilícita destinada a falsear información dentro del sistema, y el daño informático que implica la perturbación del sistema de automatización de procesos. Los nuevos tipos penales que se proponen son los de falsificación informática, fraude informático y abuso de dispositivo. A su turno, las mejoras sustantivas se refieren a atenuantes especiales y agravantes específicas (como entorpecer la investigación y falsearla o encriptarla). Las mejoras procesales se vinculan con la facultad que se entrega al Ministerio del ramo para querellarse en ciertos supuestos; técnicas especiales de investigación en este tipo de delitos; instrucciones generales del Fiscal Nacional para obtener evidencia electrónica; preservación provisoria de datos (mientras se está investigando el Ministerio Público puede solicitar que se guarde información sin esperar la orden del tribunal competente); modificación del artículo 219 del Código Procesal Penal para entrega de copia de las comunicaciones (obligación que recae sobre compañías de telecomunicaciones y proveedores de internet), y definiciones y especificaciones en el artículo 222 del mismo Código para interceptación de comunicaciones.

El Honorable Senador señor Insulza expresó su preocupación por las dificultades que existen para la persecución de este tipo de delitos, caracterizados por su intrincada configuración internacional.

El Honorable Senador señor Huenchumilla requirió antecedentes sobre la eficacia de la respuesta investigativa de las policías cuando se trata de ataques informáticos dirigidos al sistema financiero originados en el extranjero, considerando que las actuales transacciones bancarias consisten en un mero intercambio numérico y estadístico.

En lo que concierne a la gobernanza, la Honorable Senadora señora Aravena abogó por el establecimiento de algún grado de obligatoriedad en la entrega de información: si los propios interesados no contribuyen en este sentido, sostuvo, se afecta la seguridad del país y la de las transacciones financieras.

El asesor en ciberseguridad del Ministerio del Interior y Seguridad Pública aclaró que como lo usual es que se ignore en qué país se ha originado el ataque informático, las investigaciones policiales se canalicen hacia donde existan las suposiciones más consistentes al respecto, en función del destino que se da al dinero objeto del ilícito. Con todo, indicó, desde el punto de vista estadístico el 74% de los ataques informáticos que tienen consecuencias en Chile son realizados por connacionales.

La circunstancia de que nuestro país suscriba el Convenio de Budapest, agregó el personero, constituye uno de los ejes de la política nacional en ciberseguridad: ello permite replicar las mejores prácticas internacionales en la materia, coordinarse y colaborar con otros Estados para el intercambio de información sensible. No obstante, se trata de un desafío mayor, pues también requiere modificar hábitos empresariales para tener acceso expedito y en tiempo real a información relevante, que pueda ser compartida dentro del sistema para incrementar la capacidad de reacción de las autoridades y organismos concernidos y contribuir a minimizar los efectos perniciosos del ilícito. Cuando se retira dinero a distancia, los delicuentes operan mediante softwares que penetran los sistemas financieros de distintas maneras y les permiten ingresar a las cuentas corrientes bancarias que están siendo vulneradas. El ataque puede revertirse, siempre que sea detectado oportunamente, mediante una orden de reversa o una anulación de la operación. El problema se produce cuando transcurre cierto lapso sin reaccionar (24 horas), porque entonces los delincuentes transforman el dinero sustraído en criptomonedas (monedas virtuales), perdiéndose el rastro de la operación.

En Basilea III, en la que se debatieron propuestas de reforma de regulación bancaria, se establecieron exigencias destinadas a precaver estos ilícitos, por ejemplo, los denominados “anillos concéntricos”, que permiten cerrar perímetros de menor tamaño para minimizar los efectos del hecho. Esta es la misma lógica que se aplica a propósito de los mecanismos de control, como ocurre con las grandes empresas eléctricas, donde sólo pueden entrar a los puntos más vulnerables y protegidos personas absolutamente identificadas. Esta tecnología comenzó a exigirse para evitar las filtraciones de tarjetas de crédito: el sistema se conoce como “clave 3.0” y se ocupa para compras no presenciales (el responsable será el banco emisor de la tarjeta). El mecanismo funciona cuando al realizarse la transacción llega un aviso electrónico solicitando una segunda clave en línea. Esta idea supone un cambio completo del modelo vigente, que permite derribar el concepto de “filtración de datos” de tarjetas de crédito.

El señor Atton hizo presente que si bien la política nacional de ciberseguridad no definió la gobernanza, a pesar de ser un aspecto estratégico, el Ejecutivo ha estimado conveniente que sea la futura Ley Marco sobre Ciberseguridad la que la determine. No obstante, se dictó un instructivo presidencial en la materia que estableció exigencias al sector público, y en el que se entiende la ciberseguridad como parte de los activos y se contempla la responsabilidad de los jefes de servicios por éstos. En esta gobernanza provisoria existe un coordinador nacional dedicado a las políticas públicas, junto al Comité Interministerial, y se distinguieron tres áreas: ciberdefensa, entidades de gobierno y organismos autónomos y sector privado (a cargo del Ministerio de Hacienda).

Consultado por el Honorable Senador señor Huenchumilla acerca de la aplicabilidad del principio de territorialidad de la ley penal chilena cuando los delitos se cometen fuera de la frontera nacional y la necesidad de introducir eventuales modificaciones constitucionales al respecto tratándose de estos ilícitos, el señor Atton adujo que los acuerdos internacionales han ayudado a atenuar tales problemas jurídicos y han permitido esclarecer los respectivos tipos penales. Es el caso del Convenio de Budapest que contiene esta clase de figuras penales, las que ahora se busca incorporar a la legislación chilena. Chile, al ser parte de este instrumento jurídico, puede además recibir o dar apoyo en la persecución de estos delitos.

En ese orden de ideas, el Jefe de Asesores del Ministerio del Interior y Seguridad Pública precisó que la iniciativa legal en informe tipifica delitos especiales que actualmente se persiguen a través de las figuras tradicionales de fraude, falsificación y daños, del Código Penal.

El Director de la Unidad de Análisis Financiero (UAF), luego de resaltar la importancia de esta iniciativa legal y recalcar que se enmarca en los estándares de la Convención de Budapest, cuestión necesaria para incrementar el intercambio de información y coordinación internacional, hizo presente la dificultad que entraña la persecución de los grupos organizados que llevan a cabo este tipo de delitos. En este sentido, dijo, en años recientes se ha comenzado a percibir la relación directa que existe entre algunos de estos delitos y el crimen organizado internacional: por los montos involucrados en esta clase de ilícitos hay actividades de ocultamiento y simulación de su origen que trascienden las fronteras nacionales. Estos delitos, comentó, comenzaron en Europa oriental: en un principio Ucrania se constituyó en un país prolífico respecto de estas conductas, y sus víctimas personas naturales e instituciones bancarias. Las técnicas de ocultamiento incluyen la utilización de nombres falsos para abrir cuentas hasta la multiplicidad de éstas, aunque ahora se utilizan criptomonedas por la confidencialidad que otorgan a quienes las poseen.

La iniciativa legal en estudio, prosiguió, establece ciertos tipos penales relacionados con el delito de fraude. En dicho marco, la figura del artículo 6° podría transformarse en un ilícito de base respecto de aquellos contenidos en el artículo 27 de la ley N° 20.818, cuerpo legal que permite a la UAF investigar en sede administrativa los resultados económicos ilícitos derivados de estas actividades, para facilitar las pesquisas que efectua el Ministerio Público con auxilio de las policías. Si no es posible encuadrar la conducta dentro de la hipótesis normativa del citado artículo 27, ni la UAF ni el Ministerio Público podría iniciar una investigación por el delito de lavado de activos. Por esta razón, en opinión del personero, resulta fundamental complementar el catálogo de la ley N° 20.818 con alguno de los tipos penales a que alude el proyecto de ley en informe. El problema central radica en que hoy toda la criminalidad relativa a esta clase de delitos está fuera del ámbito de prevención del concepto de lavado de activos: las instituciones bancarias y los sectores que la UAF supervisa no consideran en sus políticas de prevención instrucciones específicas referidas a tipologías financieras nuevas, como la de las criptomonedas. Lo anterior, sin perjuicio de que bancos e instituciones financieras, corredores de bolsa y otras instituciones hayan adoptado medidas preventivas (hoy en aplicación) no enfocadas en delitos que no son parte del catálogo de la ley N° 20.818.

La figura del artículo 6°, por tratarse de un delito transnacional que requiere interactuar con agentes de jurisdicciones de otros Estados, es básica para los propósitos que se buscan con el concepto de lavado de activos. Parte importante del análisis de la UAF tiene relación directa y automática de intercambio de información con otros países, existiendo una red global integrada por más de sesenta naciones en la que se verifican constantes requerimientos de antecedentes sobre distintos tipos de ilícitos que podrían implicar lavado de activos. La criminalidad asociada a estos ilícitos encaja perfectamente en el combate que se intenta desarrollar por organismos como la UAFy el Grupo de Acción Financiera Internacional (GAFI), por su sofisticación y la rapidez con que se genera. Además, estos ataques son un aspecto fundamental para el financiamiento de grupos terroristas organizados.

Consultado por el Honorable Senador señor Allamand acerca de la posibilidad de trasladar lo dispuesto en el artículo 6° a la ley N° 20.818, el personero de la UAF aclaró que lo que se sugiere es agregar el delito contemplado en la norma señalada dentro del catálogo de delitos establecido en el artículo 27 del citado cuerpo legal. Ello permitiría investigar ese ilícito en particular bajo la forma del lavado de activos.

El asesor del Ministerio del Interior y Seguridad Pública, señor Izquierdo, recordó que dentro del catálogo de delitos contemplado en el artículo 27 de la ley N° 20.818 se encuentra la figura del artículo 468 del Código Penal, relativa a las estafas calificadas por el medio comisivo. Lo anterior es atingente, argumentó, por cuanto al analizar la proporcionalidad de las penas y la naturaleza jurídica del ilícito podría pensarse que (estando incorporado el artículo 468 del Código Penal) la propuesta no sería más que una adaptación o modernización de la norma.

El Director de la Unidad de Análisis Financiero (UAF), si bien coincidió con lo antes expuesto, destacó la clara diferencia entre la forma en que se comete el delito de estafa en la intermediación entre víctima y victimario en comparación con lo que sucede tratándose del medio digital.

A su turno, el Jefe de la Brigada Metropolitana Investigadora del Cibercrimen de la PDI, para quien la presente iniciativa legal favorece la persecución de este tipo de delitos, comentó que la cantidad de órdenes de investigar que tiene la Brigada aumentó desde 349 en 2017 a 382 en 2018. Lo mismo ocurrió en idéntico lapso, agregó, con las instrucciones particulares, que aumentaron de 308 a 423; las denuncias a nivel nacional, de 691 a 772, y las primeras diligencias, de 449 a 468. Las órdenes de investigar e instrucciones respecto conductas que se tipifican como estafa u otras defraudaciones experimentaron un aumento de 184 a 285, aunque las denuncias disminuyeron de 50 a 44 (esta disminución obedecería a que las denuncias pueden hacerse directamente en el Ministerio Público y en Carabineros de Chile).

El personero policial, luego de destacar que en el proyecto se agregan figuras nuevas, como la de falsificación informática, fraude y abuso de dispositivos, afirmó que la “perturbación informática” del artículo 1° se enmarca en la noción de “secuestro de archivos”, consistente en la encriptación total o parcial de datos informáticos incluidos en un sistema para pedir el correspondiente rescate. En estos casos, precisó, se ha dado con frecuencia la denegación de servicios y situaciones donde personas encargadas de las tecnologías de información de una empresa, al tener conocimiento de su despido, encriptan o cambian las claves con el objeto de negociar su desvinculación, provocando un importante perjuicio pecuniario a su empleador. Algo similar ocurre con sujetos que, a fin de constituir una nueva empresa, roban bases de datos de una compañía existente y venden los mismos productos. Tratándose del acceso ilícito del artículo 2°, la figura se expresa mediante ataques por phishing, acceso a redes sociales o correos electrónicos de las víctimas. Así, por ejemplo, en el ataque de los shadows brokers se publicaron y difundieron bases de datos de tarjetas de crédito de usuarios para su comercialización y distribución. Por ello, dijo el personero, sería oportuno añadir en las figuras verbos rectores tales como difundir, comercializar, distribuir o conocer la información contenida en un sistema informático.

En la interceptación ilícita del artículo 3°, se produce la captación de tarjetas de crédito o alteración de cajeros automáticos, aunque es posible también que, mediante la utilización de un dispositivo electrónico, se intercepte la información que va desde el cajero automático al banco, que por regla general está cifrada. Por lo mismo, cabría considerar este modus operandi en la hipótesis normativa. Tratándose del daño informático del artículo 4°, será atribución del tribunal determinar qué ocurrirá si el daño es serio, aunque se han producido casos donde un sujeto, al tener conocimiento de su despido, origina un daño informático para que se le requieran nuevamente sus servicios. A propósito de la falsificación informática del artículo 5°, el personero aludió al caso de un estudiante universitario que accedió al sistema de notas de la correspondiente universidad para modificar sus calificaciones.

El Jefe de la Unidad Jurídica de la PDI arguyó que en circunstancias que el artículo 5° contiene las sanciones previstas en los artículos 197 y 193 del Código Penal (esta última figura se aplica a quien invista la calidad de funcionario público), para que se aplique la sanción los datos informáticos afectados deben ser o formar parte de un instrumento, documento o sistema informático de carácter público. La norma en consecuencia equipara carácter público a funcionario público, por lo que cabría aplicar la sanción del artículo 193 del Código Penal. Lo dicho podría suscitar un conflicto interpretativo: podría presentarse la duda respecto de la base de datos de órdenes de aprehensión o arraigo que posee la PDI, ya que no está zanjada su naturaleza jurídica (esto es, si poseen carácter público o no). Respecto del fraude informático del artículo 6°, adujo que sería conveniente no exigir la individualización del tercero objeto del beneficio. Sobre el abuso de dispositivos del artículo 7°, advirtió acerca de la insuficiencia de los modos comisivos para cubrir la hipótesis normativa, por lo que abogó por su ampliación para incluir el porte, adulteración o fabricación de tales dispositivos.

En lo que atañe a la atenuante especial del artículo 8°, el especialista fue contrario a la idea de establecer una circunstancia modificatoria de la responsabilidad referida a una agrupación u organización conformada por dos o más personas, por cuanto lo usual es que sea una sola persona quien ejecute este tipo de ilícito. Sobre la falsificación informática, sugirió afinar la figura para concordarla exactamente con el artículo del Código Penal a que se hace referencia. Con todo, no compartió las críticas formuladas al acceso ilícito del inciso segundo del artículo 2°, pues contempla finalidades delictivas donde se pueden encajar las conductas típicas de apoderarse, usar o conocer, practicadas por los denominados shadow brokers (el inciso primero no exige una finalidad delictiva sino que penaliza el mero acceso).

En lo que concierne a la seriedad del daño (artículo 4°), si bien admitió la complejidad del término, subrayó su necesidad tanto porque cualquier daño no es punible, cuanto porque es parte de las reservas del Estado de Chile al Convenio de Budapest. Así, respecto de las materias tratadas en este proyecto de ley existen dos reservas al mencionado instrumento internacional: una, acerca de la seriedad del daño; otra, sobre el abuso de dispositivos destinados a la comisión de ilícitos (se emplea una fórmula amplia con la frase “otra forma de puesta a disposición”).

Sobre la cooperación eficaz (artículo 8°), señaló que constituye una herramienta procesal destinada a desarticular o desbaratar bandas. Es difícil, dijo, que haya cooperación eficaz en delitos cometidos individualmente, sin perjuicio de entender la particularidad de quienes cometen estos ilícitos. La singularidad de esta norma radica en que no produce el efecto de una atenuante general. Otra herramienta procesal de utilidad en este tipo de delitos está constituida por las técnicas especiales de investigación, que si bien son útiles para desbaratar organizaciones delictivas, son medidas intrusivas que podrían vulnerar derechos fundamentales.

El Honorable Senador señor Harboe llamó la atención acerca de la técnica legislativa utilizada por el Ejecutivo, enfocada más en determinados casos que en la protección de un bien jurídico específico. Enseguida, señaló que si bien el acceso indebido se asimila a lo contemplado en el artículo 2° del Mensaje, la norma no hace referencia a las características del dato o la información, y fue partidario, en sintonía con los funcionarios de la PDI, de la conveniencia de incorporar criterios objetivos para la calificación de la seriedad de un daño. Lo anterior, porque se trata de un baremo relevante tratándose de un tipo penal: de no existir, el Ministerio Público podría interpretar extensivamente la calidad de serio en sus investigaciones y en la adopción de medidas intrusivas (aun cuando sea previa autorización judicial). Estas acciones podrían afectar el funcionamiento de una empresa o la privacidad de una persona.

Respecto de la defraudación informática, advirtió la necesidad de ser cuidadoso al momento de su tipificación, puesto que también se regula la modificación informática, lo que podría implicar un concurso de delitos. Así, se debe determinar con exactitud cuál es la figura que primará, y aclarar si la modificación se considera un acto preparatorio o una conducta necesaria para la ejecución del delito u otro tipo penal distinto.

En materia de falsificación, el señor Senador estuvo por precisar qué es lo que en concreto se pretende penar, toda vez que la hipótesis normativa no sanciona la revelación del contenido. De manera que podría darse el caso de un individuo que se introduce en un sistema informático para extraer información y revelarla, pero no para apropiársela o almacenarla en un dispositivo del que es dueño. En tal situación habría que sancionarlo sólo por el acceso, no por la revelación de la información.

A continuación, el señor Senador llamó la atención acerca de la incorporación de delitos informáticos dentro de la esfera de la responsabilidad penal de las personas jurídicas: si se considera que estas conductas deben ser sancionadas en este ámbito, deberían incluirse en la regulación sobre lavado de activos. En todo caso, manifestó su preocupación por la utilización del verbo rector “maliciosamente” en el tipo penal principal, que supone dolo directo e impone al Ministerio Público la necesidad de probar el elemento subjetivo, lo que resulta más complejo en sede informática. Por lo mismo, en relación con este aspecto sugirió seguir la lógica del Convenio de Budapest y conferirle a la norma una redacción más sencilla. Además, planteó la idea de incluir en el texto del proyecto de ley la figura de la extorsión informática, cuando se adquieren datos para lucrar, por ejemplo, con secretos industriales.

En el caso del abuso de dispositivo (artículo 7°), el señor Senador sostuvo que en circunstancias que se establece el concepto de programas computacionales, en la actualidad se diseñan estos programas con el objeto de practicar la defensa del correspondiente sistema, simulando ataques de esta clase. Siendo así, en la forma propuesta se estaría sancionando a quienes desarrollan programas de investigación para estos efectos. Para el señor Senador, no obstante, resulta fundamental sancionar el acceso a datos o información no necesariamente vinculados a almacenamiento.

Desde el punto de vista procesal, fue partidario de avanzar más decididamente en lo que se denomina el control material de los jueces: las facultades intrusivas otorgadas al Ministerio Público deben ser autorizadas por el juez y, además, debe existir un control de su ejercicio.

Consultado por el Honorable Senador señor Kast acerca de las herramientas disponibles en la legislación para combatir estos delitos, sin considerar el proyecto de ley en discusión, el Subprefecto Figueroa señaló que este año se detuvo una banda que se dedicaba a sustraer ingentes sumas de dinero de cuentas corrientes y reclutaba a titulares de cuentas RUT para que las facilitaran con el objeto de depositar en ellas parte de los fondos sustraídos. En la actualidad estos individuos son sancionados sólo por receptación: con el proyecto de ley en estudio pueden ser sancionados, conforme al artículo 6°, por fraude informático.

Según el funcionario policial, aun cuando en el mundo académico hay aprensiones acerca del modo de regular el porte de softwares o dispositivos para estudio de vulnerabilidad, podría contemplarse algún registro o mecanismo de identificación de las personas que se dedican a esta actividad.

En otro orden de ideas, el Prefecto señor Silva manifestó su preocupación por el modelo de capacitación que reciben los funcionarios de la unidad especializada en cibercrimen de la PDI, que implica que ellos mismos deben solventar económicamente sus estudios.

El Honorable Senador señor Allamand, luego de advertir acerca de la permanente mutabilidad de los delitos informáticos y de la continua aparición de nuevas figuras delictivas en este ámbito, expresó su preocupación por el alcance y la adaptibilidad que tendrá el articulado del proyecto a esta cambiante realidad.

El Honorable Senador señor Kast planteó la necesidad de contar con tecnología adecuada para interceptar comunicaciones generadas mediante aplicaciones como whatsapp, más difíciles de pesquisar por los mecanismos de encriptación que utilizan.

El Subprefecto señor Figueroa valoró positivamente la amplitud de la cobertura que entrega la iniciativa legal, toda vez que incorpora como agravante la circunstancia de dañar o alterar sistemas informáticos de los servicios de utilidad pública (ataques de infraestructura crítica). Y reiteró que no necesariamente corresponde a una asociación ilícita la conducta de quien efectúa un ciberataque: puede ser una sola persona. Con todo, previno, para solicitar una medida intrusiva, como la interceptación de comunicaciones, debe tratarse de dos o más personas. En la actualidad, adujo, el resguardo de la información de los ISP es de al menos un año: con este proyecto de ley se aumenta a dos. Puede ocurrir que existan investigaciones originadas en otro Estado, a raíz de las cuales Chile recibe requerimientos cuando ya ha transcurrido más de un año.

Sobre la falta de regulación de la telefonía de prepago, el funcionario policial comentó que en muchos países es una situación que ya se encuentra normada, en términos de que quien compra el producto debe presentar su DNI. Hoy se ocupa la tecnología IPv4 en telefonía, porque las direcciones IP no son infinitas. En este sentido, podría hacerse una mayor inversión por parte de las compañías para contar con un registro o mecanismo de identificación del usuario real.

El Prefecto señor Silva, en lo que atañe a la posibilidad de incorporar al texto del Mensaje la extorsión informática, acotó que se halla en discusión un proyecto que regula la llamada “porno venganza”, figura que en alguna medida cabe dentro de aquél concepto.

A continuación el Comisario señor Maldonado, abogó por una legislación que permita contar con un registro de los teléfonos para fines investigativos, si bien es factible que se migre a otras tecnologías. Hoy la complicación es de naturaleza técnica: se requiere no sólo una legislación acorde a los tiempos, sino que también abordar otras aristas tecnológicas, motivo por el cual se precisan autorizaciones o técnicas investigativas especiales tan sofisticadas como la propia criminalidad cibernética.

El Honorable Senador señor Harboe señaló que la técnica legislativa que se utiliza en otros países se construye sobre la idea de dictar leyes marco en las que se establecen los tipos penales y las facultades investigativas, pero sin incluir definiciones acerca de las tecnologías para evitar que la evolución tecnológica deje obsoleta la normativa. En este punto, dijo, el Mensaje acierta, pues no propone diseños tecnológicos.

El Jefe de Asesores del Ministerio del ramo aclaró que respecto de las técnicas especiales de investigación el proyecto reproduce la nomenclatura de la ley N° 20.931, que facilita la aplicación efectiva de las penas establecidas para los delitos de robo, hurto y receptación y mejora la persecución penal de dichos delitos, sin adentrarse en el problema de la asociación ilícita.

En lo que concierne al registro de la telefonía de prepago, el personero acotó que se está avanzando en el proyecto de ley respectivo e hizo presente que la Convención de Budapest no contempla a la extorsión y revelación como delitos informáticos. Por otra parte, dado que el abuso de dispositivos es una de las figuras más cuestionadas nacional e internacionalmente, se prefirió exigir copulativamente que el abuso implique la perpetración de un delito y que los dispositivos estén adaptados o creados para su comisión.

En su exposición el Presidente del Consejo para la Transparencia, si bien expresó su coincidencia con la necesidad de actualizar la normativa sobre delitos informáticos, sostuvo una opinión contraria tanto a la idea de considerar el uso de tecnologías de encriptación para impedir u obstaculizar la acción de la justicia como una agravante de la responsabilidad penal, cuanto a la de imponer a las empresas de telefonía y de telecomunicaciones la obligación de mantener, durante cierto lapso y sin condiciones, datos relativos al tráfico internet de sus clientes. Así, en lo tocante a la encriptación como circunstancia agravante, señaló que se trata de una tecnología actualmente indispensable y positiva, cuando es promovida conforme a estándares internacionales. En este sentido, añadió, el Reglamento General de Protección de Datos de la Unión Europea, fomenta la encriptación como una medida relevante para la protección de datos personales.

Consultado por el Honorable Senador señor Allamand acerca de qué ha de entenderse por encriptación, el Presidente del Consejo para la Transparencia precisó que con dicho término se alude a un mecanismo de ocultamiento de información respecto de terceros para asegurar la privacidad de transacciones de punto a punto. Establecer este mecanismo como agravante de la responsabilidad penal, advirtió, puede constituir una señal equívoca y compleja, dadas las dificultades que hay para determinar el objetivo preciso que se persigue con el uso del mecanismo: usualmente lo que se pretende con la encriptación es precaver la comisión de delitos y no ocultarlos u obstaculizar la acción de la justicia. La propuesta del Consejo es eliminar esta agravante del texto del proyecto de ley, pues no sería un activo indispensable para la actualización de la normativa sobre ciberseguridad y podría prestarse para equívocos sustantivos. En circunstancias que hoy una parte significativa de los sistemas informáticos incorporan y ofrecen medidas de seguridad estándares de encriptación, para cumplir con la ley tendrían que ofrecerse en el mercado sistemas de comunicación no encriptados para evitar hallarse en una situación tal donde se pueda presumir esta agravante de responsabilidad penal.

Posteriormente, recordó que en la Comisión de Constitución, Legislación, Justicia y Reglamento del Senado se encuentra en tramitación el proyecto de ley sobre protección de datos personales (Boletín N° 11.092-07), que, según arguyó, constituye una buena actualización de nuestra legislación en la materia y cumple los mejores estándares de la normativa europea. Chile, agregó, debería comenzar a adecuar sus normas internas al reglamento de Europa, para que sea reconocido como un país con una legislación pertinente en lo relativo a datos personales. Este proceso de adecuación ya lo ha realizado Argentina, Uruguay, Israel, Japón y lo está tratando de implementar México. La ventaja de esta adecuación radica en la libre circulación de datos con la Unión Europea como conjunto, estándar superior al establecido por la Organización para la Cooperación y el Desarrollo Económicos (OCDE) y por el Convenio N° 108 de la Unión Europea. Con todo, acotó, en dicho contexto la carencia de una legislación sobre protección de datos personales, que ha de fijar el marco regulatorio general en este ámbito, deja al país en un notable vacío jurídico.

En lo que atañe a la retención de comunicaciones del artículo 222 del Código Procesal Penal, el personero precisó que el proyecto de ley amplía los tipos de datos que las compañías telefónicas y de telecomunicaciones deben registrar. El citado artículo prescribe que debe mantenerse a disposición del Ministerio Público un listado actualizado de los rangos autorizados de direcciones IP y un registro, no inferior a un año, de los números IP de las conexiones que realicen los abonados. Pues bien, arguyó, la iniciativa legal establece que las empresas concesionarias del servicio público de telecomunicaciones deberán mantener a disposición del Ministerio Público (a efectos de una investigación penal en curso) por un plazo no inferior a dos años, un listado y registro actualizado de sus rangos autorizados de direcciones IP y de los números IP de las conexiones que realicen sus clientes o usuarios, con sus correspondientes datos relativos al tráfico, así como los domicilios o residencias de sus clientes o usuarios. Lo anterior incluye todos los datos relativos a una comunicación realizada por medio de un sistema informático (en tanto elemento de una cadena de comunicación), que indica el origen, la localización del punto de acceso a la red, el destino, la ruta, la hora, la fecha, la duración de la comunicación y el tipo de servicio sobre metadato. La norma no establece una fecha límite sino solo un piso mínimo, y no contempla ninguna medida de protección preestablecida, por cuanto todavía no se ha dictado la ley de protección de datos personales. La cuestión radica en que al no existir regulación marco queda abierta la posibilidad de que los datos se utilicen de cualquier manera, sin que se efectúe distinción si la persona está o no involucrada en una investigación penal.

En ese orden, el artículo en cuestión generará un problema sustantivo para la protección de la vida privada: para establecer herramientas de persecución penal no es necesario tener todos los datos de las comunicaciones electrónicas de la totalidad de los habitantes, guardadas por las empresas de telecomunicaciones por al menos dos años, pudiendo optar la empresa por mantener los referidos datos en forma indefinida. La indeterminación y amplitud de la norma constituye un riesgo fundamental que, incluso, podría adolecer de vicios de constitucionalidad. Al respecto, el personero recordó que el legislador debe promover y proteger los datos personales, y en este caso podría perfectamente no darse cumplimiento a esta obligación. Sobre el particular, hizo presente que el Tribunal Constitucional en reiteradas oportunidades ha resuelto que las comunicaciones privadas, incluida la mensajería instantánea, revisten carácter confidencial.

La intensidad y el grado de instrucción de las medidas que se consultan, prosiguió el Presidente del Consejo, pueden superar ampliamente los beneficios que se pretende alcanzar. Ello, porque lo que se estaría haciendo es consignar una nota de sospecha y de vigilancia sobre las personas sin que existan indicios previos de infracción penal alguna. Además, la modificación propuesta –de extrema amplitud- no se basa en ninguna prueba acerca de la estricta necesidad de conservar estos datos ni explicita que la obligación de conservación excluye el contenido de aquella comunicación electrónica que no es objeto de tráfico y, finalmente, tampoco se limita o condiciona a finalidad específica alguna. Por lo mismo, dijo, habría dos alternativas para abordar esta materia, a saber:

1.Solución alemana, que consiste en desestimar que se retengan estos datos de tráfico y los metadatos que se producen a partir de ello y se contemple otro tipo de herramientas menos lesivas o intrusivas, como los procedimientos de conservación rápida. De esta forma, se otorgan facultades al Ministerio Público para que, respecto de un tipo de investigación particular y sin necesidad de autorización judicial, pueda solicitar a la empresa de telecomunicaciones que no borre un dato particular de un determinado ámbito o de un grupo de personas en específico.

2. Modelo limitado de retención de datos de tráfico, donde se establecen de modo integral, sistemático y exhaustivo los mecanismos que de forma armónica pueda disponerse en la normativa sobre protección de datos personales. Al efecto, se debe precisar el objeto y ámbito de aplicación de la retención de datos; identificar sus finalidades; determinar las categorías de datos sometidos a retención; delimitar la obligación de retención y el ejercicio del acceso de datos por parte de la autoridad o el Ministerio Público; establecer deberes de protección y seguridad de los datos junto con mecanismos de control; reglar el ejercicio de los derechos de los titulares de datos personales; indicar los requisitos que regirán para el almacenamiento de los datos, y contemplar recursos judiciales y responsabilidades civiles, penales y administrativas ante el incumplimiento de obligaciones por parte de los prestadores.

A juicio del personero la norma sobre retención de datos podría incluirse en esta iniciativa legal, pero siempre que exista la correspondiente legislación marco sobre protección de datos personales. Con todo, para proceder a la acumulación de los datos por parte de las empresas de telecomunicaciones previamente se deberán conocer las medidas de seguridad que se articularán para proteger esa información, a quién se las harán exigibles y qué sanciones habrán de aplicarse en caso de incumplimiento. No puede olvidarse que se trata de datos tan sensibles que han llevado a que la Corte Constitucional de Alemania sostenga que con ellos se pueden determinar las preferencias políticas de las personas o sus inclinaciones personales de cualquier naturaleza.

La disposición vigente en materia de retención de datos es más restrictiva y menos intrusiva que la propuesta en la iniciativa legal, porque establece sólo un plazo de un año para la retención y sólo se refiere a IP, no a metadatos. En cambio, según la propuesta del Ejecutivo, la retención de información podrá darse por al menos dos años, y sus retenedores empresas privadas sin deber de cuidado alguno y sometidos únicamente a las normas generales de responsabilidad extracontractual.

El asesor legislativo del Ministerio del Interior y Seguridad Pública, señor Izquierdo, explicó que la agravante sobre encriptación no persigue desincentivar esta tecnología, que se considera fundamental para proteger datos personales. Para que opere como circunstancia modificatoria de la responsabilidad se requerirá intención de obstaculizar la acción de la justicia, lo cual dificultará su prueba y determinará que se aplique sólo en casos calificados. En suma, el establecimiento de este dolo especial impide que se transforme en una agravante de aplicación general: deberán existir, en el proceso judicial, pruebas concretas de actos positivos destinados al uso ilícito de la tecnología.

Ante una inquietud del Honorable Senador señor Kast relativa a las posibilidades de acceso del Ministerio Público a información más restringida o focalizada, el asesor señor Izquierdo indicó que las modificaciones a los artículos 222 y 218 bis del CPP contienen lo que el Convenio de Budapest –en su artículo 17- recomienda incluir en la legislación interna en lo tocante a conservación y revelación parcial rápida de datos sobre tráfico. Enseguida, precisó que la enmienda al artículo 222 del CPP exige autorización judicial, por ende debe haber un criterio de mérito de la información requerida por el Ministerio Público y producirse en el marco de una investigación penal. Además, se impone a los encargados de mantener este sistema la obligación de resguardo del secreto, por lo cual no existe libre disposición del dato retenido. El incumplimiento de esta obligación se traduce en la responsabilidad civil del infractor, aunque podría pensarse en la creación de una figura que sancione la negligencia.

A continuación, el profesional reflexionó sobre la necesidad y proporcionalidad de la medida, en consideración a los tiempos de investigación en el estándar nacional (por lo usual, de más de un año) en comparación con el europeo (comúnmente de nueve meses a un año). Tal motivo justifica establecer una retención de datos de a lo menos dos años. Por lo demás, debe tenerse presente que se trata de normas de aplicación general y existen investigaciones de alta complejidad, como, por ejemplo, aquellas relativas al delito de trata personas. No obstante, el asesor ministerial coincidió en que la iniciativa legal debe ser complementaria a una legislación marco sobre protección de datos personales.

El Presidente del Consejo para la Transparencia comentó que si bien la actual normativa sobre protección de la vida privada ya contempla responsabilidades civiles, en la práctica se han producido pocos casos en que se hayan podido establecer infracciones. Siendo así, el deber de salvaguardar datos de todos los habitantes, que mediante este proyecto de ley se está entregando a empresas de telecomunicaciones, será de compleja aplicación y dejará a la población en notoria indefensión.

El Jefe del Departamento Jurídico del Consejo para la Transparencia señaló que la regla que obliga a guardar secreto a las empresas de telecomunicaciones constituye sólo un deber de confidencialidad de encargados y empleados, no una medida de seguridad de protección de datos. Las medidas de seguridad son más complejas y requieren elementos técnicos y organizativos que no se satisfacen con la mera confidencialidad. Es distinta la finalidad por la cual deben retenerse los datos, lo cual no se encuentra explicitado en el proyecto de ley: de esta manera, la posibilidad de levantar el deber de confidencialidad cuando se es citado como testigo en un proceso penal no significa que la retención de datos tenga especificación en cuanto a su objetivo (que es el estándar básico en esta materia). Respecto de la necesidad y proporcionalidad de la medida, añadió el abogado, mientras el Tribunal de Justicia Europeo declaró nula la directiva europea que fijaba un plazo de entre seis meses y dos años de retención de datos, el proyecto de ley establece un plazo mínimo de dos años sin fijar ningún límite. Al encontrarse completamente indeterminado el plazo máximo de almacenamiento, esta medida de intrusión se torna desproporcionada y afecta el contenido esencial del derecho fundamental afectado. Por otra parte, mientras el mismo Tribunal estimó que no basta una retención masiva para satisfacer el principio de proporcionalidad en esta materia, la iniciativa legal dispone que deba retenerse la información de todos los que tienen un contrato de prestación de servicios con una empresa de telecomunicaciones. Por ello, y atendida la inexistencia de un plazo máximo de retención en el proyecto de ley, no es posible hablar de un término razonable y proporcional. La iniciativa sólo exige un lapso mínimo para una retención generalizada a todos los usuarios de sistemas de telecomunicaciones, por lo cual tampoco es proporcional en función de no encontrarse acotada respecto del sujeto objeto de la medida intrusiva.

A su turno, el académico del Centro de Derecho Informático de la Universidad de Chile, señor Álvarez, expresó que el proyecto de ley, que cumple con el anhelo de actualizar la ley N° 19.223, dictada con anterioridad a la existencia de Internet, satisface la necesidad de adecuar nuestra legislación en la materia a las obligaciones derivadas del Convenio de Budapest. Es también, añadió, una de las acciones destinadas a implementar la política nacional de ciberseguridad aprobada en 2017. De allí es que sea un proyecto de ley esperado por la comunidad técnica y que busca resolver los problemas que la nueva criminalidad informática ha generado. El problema que se observa, advirtió, consiste en que las normas contenidas en el borrador del anteproyecto de Código Penal no son armónicas con las de este proyecto de ley. Así, la política criminal del Gobierno en el modelo de nuevo CP que se ha conocido es distinta a la de la iniciativa legal en discusión: se hace necesario, por tanto, evitar descoordinaciones entre ambos instrumentos jurídicos.

Respecto de la retención de metadatos, explicó que la ley alemana es muy estricta, pues sólo autoriza a guardar origen, destino, IP de conexión e IP de salida. El punto crucial radica en que la metadata revela demasiado de la vida privada de las personas. Si bien esta información, actualmente, las compañías deben resguardarla lo mínimo posible, no sería necesario modificar la norma actual en este aspecto, considerando que con ella se resuelven los problemas investigativos de la mayoría de los delitos que ocurren y que involucran algún tipo de tecnología. Lo que podría discutirse es el plazo durante el cual debe resguardarse la información. Como fuere, la norma propuesta en el proyecto de ley adolece de inconstitucionalidad pues afecta el derecho fundamental a la vida privada. Ello porque el metadato da cuenta de hábitos personales y, según la legislación vigente, éstos son datos sensibles que forman parte de la vida privada de las personas. En este orden de ideas, la sentencia del Tribunal Constitucional Rol N° 1.894, estableció que los metadatos son un componente esencial de la comunicación privada, y agregó que nuestra Carta Fundamental protege en el artículo 19, N° 5°, la inviolabilidad de la comunicación privada, concepto que abarca su contenido, el acto mismo de hablar y todo lo que involucra la comunicación.

Cuando se establece una disposición que permite retener datos de los diecisiete millones de usuarios de telecomunicaciones para eventualmente utilizarlos en el contexto de una investigación criminal, lo que está haciendo el legislador es considerar a esos usuarios como potenciales delincuentes. En Chile se interceptan diez mil teléfonos mensuales, principalmente por drogas. Sin embargo, también se interceptan comunicaciones por otras razones que son dudosas, a pesar de que la norma autoriza dicha medida para delitos que merezcan pena de crimen. Pues bien, dijo, tal como se estructura la norma no se cumple con tres criterios exigidos por el Tribunal Constitucional, a saber: especificidad, determinación y tipificación en la ley de los casos de procedencia. El artículo 222 del CPP dispone una autorización genérica, donde todos los delitos que merezcan pena de crimen pueden ser objeto de interceptación. En tanto, la iniciativa legal dispone la retención respecto de todos, independientemente de la existencia del delito.

En relación con los aspectos sustantivos del proyecto de ley, el académico compartió la preocupación manifestada por el Consejo para la Transparencia referida a la agravante especial que versa sobre la utilización de tecnologías de cifrado. Según señalara, la tecnología no distingue acerca de la destinación que se da a su uso. Dado que nuestro sistema constitucional protege el principio de autoinculpación en el proceso penal, un imputado tiene derecho a guardar silencio y a no aportar pruebas. Por extensión, el imputado también goza del derecho a mantener cifradas sus comunicaciones, como parte de la expresión del derecho a la no autoinculpación. En el derecho comparado, acotó, la infracción de esta regla ha sido resuelta como una afectación al principio de no autoinculpación. La agravante, prosiguió, pensada en la lógica de que la utilización de un mecanismo de cifrado para entorpecer la acción de la justicia merecería una sanción más alta, vulnera el principio de no autoincriminación, considerado una de las garantías básicas de nuestro sistema procesal penal. Una discusión semejante ha tenido lugar en el derecho norteamericano: en él los tribunales han fallado que las personas tienen derecho a no entregar dicha información, siendo responsabilidad del órgano persecutor adoptar las medidas técnicas necesarias para acceder a ella.

Según dijera el académico, la iniciativa legal avanza correctamente en tipificar diversas conductas que son lesivas y deben ser sancionadas por el sistema penal. Pero advirtió que los eventos de ciberseguridad ocurridos en los últimos años en el país han generado una comunidad de investigadores que se ocupan de la seguridad en la red, trabajo que se vería perjudicado si se aplica el proyecto tal como se ha plnateado. Muchas de las acciones que realiza un investigador de seguridad cumplen con los requisitos del tipo, al intentar descubrir la brecha o vulnerabilidad de la red e identificar al responsable. Po lo mismo, cabría incluir una causal de exención de responsabilidad penal para quien, en el ejercicio de una labor investigativa privada, descubre una vulnerabilidad y la reporta inmediatamente al responsable del sistema para adoptar las medidas técnicas de resguardo de la información comprometida, con arreglo a cierto estándar. Una eximente de este tenor permitirá la existencia de una comunidad informática y de una industria nacional de ciberseguridad, en la que se puedan realizar investigaciones sin vínculo contractual. En caso contrario, el investigador quedará expuesto a sanción penal.

Por otra parte, añadió, el debate sobre los llamados “metadatos” ha ocupado un sitio relevante en la Unión Europea: así, el Tribunal de Justicia Europeo señaló que la directiva dictada afecta derechos constitucionales. En nuestro país, el Tribunal Constitucional (mediante la sentencia N° 1.894 y a propósito de la creación de un registro obligatorio de usuarios de cibercafés para facilitar investigaciones penales) determinó que si bien Internet es un espacio público, lo que los usuarios hagan en él tiene carácter privado y se encuentra protegido por el numeral 4, del artículo 19, de la Constitución Política. Si en la red la persona realiza comunicaciones privadas, éstas se encuentran protegidas por el numeral 5, del mismo artículo. De esta manera, para establecer un límite al ejercicio de las garantías constitucionales mencionadas se deben cumplir estándares de especificidad, determinación y legalidad. En el caso del proyecto se cumpliría sólo con la legalidad, por cuanto al dictar una orden general de retención de todos los datos no se satisface ni el estándar de especificidad ni el de proporcionalidad.

Al retener información (más contenido de tráfico) se entrega una responsabilidad a los prestadores de servicios de Internet, sin que se contemple norma alguna de resguardo o confidencialidad por esta circunstancia ni tampoco sanción por su contravención. Cuando se ejercen acciones civiles se debe probar la existencia del daño, en cambio en sede penal no existe un tipo penal que habilite la acción y en sede administrativa no es posible aplicar normas contencioso-administrativas porque no es una obligación vinculada al cumplimiento del contrato de concesión del servicio público de telecomunicaciones. En el proyecto de ley sobre protección de datos personales (Boletín N° 11.092-07) puede establecerse una eximente vinculada a labores investigativas o de ciberseguridad.

El asesor ministerial señor Izquierdo precisó que la falta de coincidencia entre el anteproyecto de nuevo Código Penal y este Mensaje obedece a que el primero corresponde a una propuesta de profesores de Derecho Penal de diversas casas de estudios superiores, que recientemente se entregó al Ministerio de Justicia y Derechos Humanos para su evaluación y estudio.

Sobre la eventual inconstitucionalidad de la retención de metadata, el profesional puntualizó que la definición de datos relativos al tráfico se encuentra transcrita en su integridad del articulado del Convenio de Budapest. Lo mismo ocurre con lo relativo a dato informático y sistema informático. Conforme a la definición, los datos deben indicar el origen, la localización del punto de acceso a red y el destino de la ruta (lo que no constituye geolocalización propiamente tal). En su momento el plazo mínimo de retención vigente, aprobó el examen de constitucionalidad respectivo, derivado de su carácter orgánico constitucional.

En lo que atañe a la agravante especial y la vulneración del principio de no autoincriminación, afirmó que en el Código Penal existen delitos vinculados no sólo a la obstrucción de la investigación, sino también a la destrucción de evidencia. El foco de la norma no es la encriptación de datos sino la utilización de tecnología tendiente a obstaculizar la acción de la justicia (con todo, la norma podría perfeccionarse en la discusión en particular). Existen otros tipos penales en nuestro ordenamiento referidos a la misma materia y que sortearon el correspondiente examen de constitucionalidad. En esta materia deben distinguirse dos exigencias: por una parte, el principio de no autoincriminación; por otra, la sanción que corresponde aplicar por atentar contra la recta administración de justicia.

El artículo 2° del Convenio de Budapest señala que los Estados firmantes pueden sancionar el mero acceso: en la medida que el acto sea ilícito, no se requiere de una finalidad específica. Por lo mismo, sobre el punto debe efectuarse un examen de proporcionalidad en relación al resto del ordenamiento jurídico. Una exención de responsabilidad penal sería discordante con los propios bienes jurídicos que se pretende resguardar, vinculados con la protección de datos personales (derechos a la privacidad, confidencialidad, honor y honra).

El Coordinador académico del Centro de Derecho Informático de la Universidad de Chile hizo presente que el Pentágono le paga a hackers para que ataquen sus sistemas de seguridad y encuentren vulnerabilidades, con el objeto de mejorarlos. Es precisamente la debilidad de los sistemas de seguridad informática la que permite que se desarrollen estos mecanismos. Lo que sucedió fue que las tendencias más actualizadas en el mundo tomaron a las comunidades hackers y las incorporaron dentro del negocio. Hoy existen hipótesis en las que el descubrimiento de vulnerabilidad no requiere acceso autorizado, dado el nivel de negligencia del usuario del sistema. Parte importante de la vulnerabilidad de los bancos se produce mediante el ingreso con una cuenta habilitada, es decir, mediante un ingreso legítimo. En consecuencia, por diseño las plataformas deben tener un estándar mínimo de seguridad y aquello debería estar impedido por defecto.

El académico de la Facultad de Ingeniería de la Universidad de Chile, señor Hevia, señaló, en relación con el abuso de dispositivos, que el proyecto de ley penaliza tanto su utilización, como la de programas computacionales, contraseñas, códigos de seguridad, etc. De este modo, arguyó, el artículo pretende resolver el problema recurriendo al mecanismo incorrecto. Lo que hacen los hackers es descubrir la vulnerabilidad de un sistema como error en un software, hecho lo cual abusan de este error para extraer información o acceder ilícitamente al sistema vulnerado. No encontrar vulnerabilidades es un problema complejo, porque los sistemas poseen millones de líneas de instrucciones. Teóricamente los fabricantes no entregan softwares sin fallas, pero éstas son halladas por hackers y profesionales de seguridad. Las vulnerabilidades se encuentran porque constituyen un estándar para mejorar un sistema: su hallazgo depende de saber cómo atacarlo. La mayoría de los profesionales o investigadores tienen incentivos para encontrar vulnerabilidades y reportarla al fabricante o dueño del sistema. Quienes no reportan, afirmó, son los hackers.

En ese marco, añadió, de aprobarse la norma en los términos en que se encuentra redactada, habrá que entender que para el legislador todos los softwares son seguros. En tal circunstancia nadie se atreverá a analizar si un sistema es seguro o no, a riesgo de quedar involucrado en un asunto penal. El tema central es que en la actualidad existen problemas de ciberseguridad para cuya resolución se requieren más profesionales y especialistas, quienes con esta norma se encontrarán con una barrera de entrada. Encriptar es un proceso que constituye un equivalente digital a colocar la información en un sobre que sólo el receptor puede abrir. Dado que hoy la vida está digitalizada, cabe preguntarse cómo se protege nuestra privacidad. Penalizar la conducta de encriptación no es la respuesta viable. Desde el punto de vista tecnológico se debe proceder con cuidado: todos los mecanismos que se proponen para preservar la privacidad son susceptibles de ser utilizados para ocultar información. Sobre el particular el académico recordó que en el caso de los I-phones después de varios intentos infructuosos para ingresar se borra la información (vale más la información que el dispositivo). La tendencia mundial es utilizar mecanismos de encriptación.

Respecto de la obligación de retener datos, el académico sostuvo que cuando la información de todos los chilenos se almacena en forma masiva el peligro es su hackeo y filtración. En otras palabras, acotó, almacenarlos es colocarlos a disposición de los hackers: acumular datos atractivos es un aliciente para obtenerlos de manera ilícita. Aquí el problema medular es el de la escala del ilícito, porque no se trataría de la filtración de datos de una persona sino que de millones de usuarios. De allí es que, si se exige a los proveedores de Internet o empresas de telecomunicaciones retener información extremadamente valiosa, habrá que incluir normas sobre responsabilidad por el resguardo. En circunstancias que la tendencia internacional es tratar a los datos como residuos tóxicos, se tornan fundamentales las medidas que se adopten para su almacenamiento responsable por el daño significativo que causa su filtración.

Ante la inquietud planteada por el Honorable Senador señor Allamand acerca de la imprecisión que observa en los verbos rectores de las figuras penales y la ambigüedad que –en su concepto- caracterizaría a las definiciones contenidas en el proyecto de ley, el asesor del Ministerio del ramo, señor Celedón, aclaró que los verbos rectores fueron transcritos de modo que respondieran lo más fidedignamente posible al Convenio de Budapest, sin perjuicio de que en algunos casos se corrigieron para evitar redundancias.

El Gerente General (s) de la Asociación de Bancos e Instituciones Financieras, señor Juan Esteban Laval, sostuvo que en Chile existe un crecimiento exponencial en el uso de tarjetas de crédito y débito, y transferencias electrónicas. Entre los años 2000 y 2018 el incremento ha sido acelerado y para el año 2018 se proyectan 1.500 millones de transacciones. De éstas, 1.080 millones se realizan con tarjetas de débito y 404 millones con instrumento de crédito. Hubo un aumento en similares condiciones de las transferencias electrónicas, que alcanzaron a 607 millones en el año recién pasado. Estos datos son coincidentes con la experiencia internacional: la gran mayoría de los países experimentan un alza en esta materia. Nuestro país presenta tasas de fraude en transacciones con tarjetas inferiores al promedio mundial y latinoamericano. De esta forma, por cada cien mil pesos, correspondientes a una transferencia con tarjeta, treinta y cuatro pesos son objeto de fraude. Para la banca es importante invertir en seguridad de los sistemas, para proteger la confianza en el uso de los medios de pago.

En ese marco, dijo, el Mensaje surge como consecuencia de los nuevos riesgos y ataques contra bienes jurídicos social y penalmente relevantes, el compromiso adquirido con la entrada en vigencia del Convenio de Budapest y la necesidad de modificar la ley N° 19.223, que no ha sido objeto de reforma desde su dictación (cuando Internet era un fenómeno incipiente).

La ABIF, comentó, tiene las siguientes observaciones al texto del proyecto de ley:

1.Respecto del acceso Ilícito a un sistema informático, se sugiere incorporar al tipo penal a quien haga pública la información y al que la divulgue, e incrementar el monto de la multa para el acceso indebido, considerando que el fraude promedio de una transferencia electrónica es cercano a un millón de pesos.

2.En relación con la interceptación Ilícita, se recomienda que el tipo penal precise qué se entiende por “transmisión no pública”, e incluir la transmisión de información entre sistemas internos de las instituciones y entre entidades.

3.En daño informático, se plantea incluir las infraestructuras informáticas y eliminar del tipo penal la referencia a que el daño sea “serio”, debido a que condiciona su aplicación.

4.En cuanto al fraude informático, se considera que como la determinación del perjuicio incide en la graduación de la pena, debe aclararse cómo se calcula el perjuicio, para lo cual debe atenderse también al daño reputacional y potencial de la institución bancaria. Además, la figura sólo está dirigida al autor del fraude (desconocido y difícil de identificar). En consecuencia, se debe contemplar al receptador de los dineros y sancionarlo con la misma pena que al autor (por ejemplo, en el caso de las transferencias electrónicas quien facilita su cuenta bancaria, con o sin conocimiento del fraude informático, pero que permite la consumación del delito).

El personero propuso facultar a los bancos originadores y de destino de una transferencia electrónica de fondos fraudulenta para retener y anular la operación. Actualmente, añadió, los tribunales aplican la figura contemplada en el artículo 189 del CPP que no ataca propiamente este ilícito. Lo que hacen los bancos es comunicar a la entidad destinataria que la transferencia correspondiente es fraudulenta y solicitar su congelamiento. El banco destinatario reversa la operación a la entidad originadora, comprometiéndose ésta a devolver los fondos si se comprueba que la transferencia era lícita. En este sentido, esta facultad se puede incluir en este proyecto de ley o bien dentro del tipo penal relativo al lavado de activos.

5.En el tipo penal relativo al abuso de dispositivos, se sugiere que el tipo penal considere el uso indebido de las capacidades de un dispositivo para fines no autorizados por su dueño.

El Honorable Senador señor Insulza, en relación con la figura de fraude informático, si bien concordó con la incorporación de la figura del receptador de los fondos, expresó sus dudas respecto de la facilitación de la cuenta bancaria con o sin conocimiento del fraude informático. Desde el punto de vista penal, advirtió, si no existe dolo no puede haber delito.

El Honorable Senador señor Allamand, acerca de la facultad del banco originador de retener los fondos ante un eventual fraude, consultó quién determina la existencia del ilícito. La importancia de esta determinación radica en que el banco puede considerar fraudulenta una operación lícita, debiendo responder de los perjuicios que de ello deriven.

Seguidamente, inquirió acerca de qué entiende la ABIF por “facilitar la cuenta bancaria”. Al respecto, manifestó su preocupación por la situación de una persona que facilita su cuenta de buena fe. En tal caso sería también responsable del delito, a pesar de no existir dolo.

El Honorable Senador señor Kast estimó que dado que el banco no tiene mayores incentivos en incurrir en errores intencionales, la forma en que usualmente procede es adecuada. El punto alude a la persecución de la persona que origina el fraude, para efectos de evitar nuevos eventos. Al respecto, consideró compleja la prueba de si quien facilita su cuenta tuvo o no conocimiento del ilícito. Desde el punto de vista penal es delicado establecer culpabilidad por un hecho que no se demuestra, sin perjuicio del bajo número de situaciones que ocurren donde el titular de la cuenta bancaria no tiene conocimiento del delito.

La única situación en que podría justificarse una situación como la descrita anteriormente, arguyó, sería si es más sencillo identificar al titular de la cuenta destinataria que al autor del fraude. En este sentido, interrogó acerca de la dificultad de identificar a uno u otro. Si las probabilidades son similares no tendría mayor sentido penalizar al titular de la cuenta de destino, sin perjuicio de caer en una técnica legislativa engorrosa.

El representante de la ABIF explicó que la expresión “con o sin conocimiento” tiene por objeto evitar que el titular de una cuenta bancaria destinataria de los fondos de la operación fraudulenta, eluda su responsabilidad señalando que desconocía la ilicitud de transferencia. Por otra parte, dijo, si el banco originador instruye al destinatario a retener una transferencia, anularla y reversarla, y la instrucción fue errónea, la entidad originadora deberá responder de todos los perjuicios ocasionados. La situación descrita es la que procede en la actualidad, pero la probabilidad de que ocurra es baja: la experiencia demuestra que en ese tipo de transacciones no se cometen errores, porque los bancos cuentan con sistemas capaces de identificar patrones de fraude. En lo que atañe al significado de facilitar la cuenta bancaria, aclaró que se refiere a entregar al autor del fraude el número de cuenta, el banco y el número de cédula de identidad, con el objeto de materializar la transferencia electrónica. En términos sencillos, dice relación con colocar la cuenta a disposición del autor del ilícito para realizar la operación.

En opinión del personero, constituye un avance la propuesta contenida en el Mensaje, sin perjuicio de entender el problema que se puede provocar a una persona que no tiene ninguna responsabilidad. Dentro del mundo de las probabilidades, lo que se ha demostrado según investigaciones de los bancos y del Ministerio Público es que cuando se produce una transferencia electrónica fraudulenta, casi en la totalidad de los casos existe una concertación entra la persona que realiza la operación y la que recibe los fondos en su cuenta (en caso contrario los fondos quedan empozados en la cuenta). Por tal razón sería relevante incorporar dentro de este tipo penal al titular de la cuenta destinataria.

La probabilidad de identificar al destinatario de una operación es más alta. Sin perjuicio de entender las prevenciones realizadas en la materia, advirtió que exigir autorización del juez de garantía para practicar la retención y anulación de una operación significará que, durante el tiempo en que tardará la referida autorización, los fondos habrán salido de la cuenta de destino en dirección a otra.

El asesor ministerial señor Izquierdo señaló que la extensión del ius puniendi del Estado no puede ir más allá del ejercicio de delitos dolosos y culposos, cuando la ley lo señale expresamente. Fuera de la figura de receptación propiamente tal, existen presupuestos de coautoría (persona que dolosamente facilita su cuenta para cometer fraude) y, a su vez, la figura de encubrimiento, constituido por el aprovechamiento material. En estricto rigor, cuando hay un mínimo de contenido de dolo perseguible penalmente, existen los mecanismos persecutorios. Es de interés estudiar la figura de la receptación, pero el delito de receptación no contiene dentro de las figuras bases la estafa, sólo la de apropiación indebida. De allí es que se estaría estableciendo la figura para los fraudes informáticos, pero no para la estafa.

En cuanto a facultar a los bancos para retener y anular una operación que se estime fraudulenta, hizo presente que podría analizarse, Sin embargo, sin autorización de un juez de garantía no sería aceptable: si no es dentro de un proceso penal, como herramienta de investigación, no constituirá un tipo penal. Tendría que ser parte de la regulación que los bancos como legítimos tenedores de los fondos de terceros pudieran modificar.

El encargado de Políticas Públicas de Derechos Digitales América Latina, señor Pablo Violler, luego de comentar que esta entidad que es una organización no gubernamental dedicada a la defensa, promoción y desarrollo de los derechos fundamentales en norma digital, afirmó que el proyecto de ley, que pretende implementar las obligaciones contraídas por Chile al ratificar el Convenio sobre Ciberdelincuencia del Consejo de Europa, o Convenio de Budapest, si bien avanza en distintas áreas de la regulación de delitos informáticos, contiene disposiciones que es necesario corregir por razones de técnica legislativa o de coherencia con lo dispuesto en el Convenio o por resultar lesivas de los derechos fundamentales de las personas.

Enseguida, indicó que en circunstancias que el artículo 1° contempla el delito de perturbación informática, la figura no se encuentra recogida en el Convenio ni en la legislación comparada. Dado que este instrumento jurídico internacional es una iniciativa destinada a promover la homogeneización en la tipificación de los delitos informáticos a nivel comparado, resultaría más conveniente tipificar de forma separada el ataque a la integridad de los datos y a la del sistema (tal como dispone el Convenio). El término "perturbación" es excesivamente amplio: da a entender que cualquier tipo de afectación a un sistema informático, por menor que éste sea, puede constituir una perturbación, incluso cuando carezca de efectos nocivos para el mismo.

Respecto de la tipificación del delito de acceso ilícito (artículo 2°), sostuvo que la iniciativa legal sólo exige que este acceso sea cometido de forma indebida, independientemente de si se realiza de buena o mala fe, o con la intención de apoderarse o conocer indebidamente la información ahí contenida. De esta forma, al considerarse el requisito de "indebido" como sinónimo de "sin permiso", la descripción del tipo puede significar la criminalización de un área clave de la ciberseguridad como es la detección de vulnerabilidades en los sistemas informáticos. Un experto en seguridad informática que acceda a un sistema para probar su seguridad en búsqueda de vulnerabilidades, estará cometiendo la conducta descrita por este artículo, incluso si su actividad es realizada de buena fe, con la intención de reportar la vulnerabilidad al administrador del sistema.

El mismo artículo establece que vulnerar, evadir o transgredir medidas de seguridad informática para lograr dicho acceso, constituye una agravante para la comisión del delito. Esta agravante debería ser en realidad un requisito del tipo del delito de acceso ilícito, pues no puede existir un delito informático si el perpetrador no ha superado algún tipo de barrera técnica. De lo contrario, la simple infracción de una obligación contractual o de los términos y condiciones de un sitio web constituiría un delito castigado por ley.

También debería corregirse el artículo 9°, que establece que la utilización de tecnologías de cifrado se considerará como un agravante de cualquiera de los delitos contenidos en la ley, en la medida que tenga por principal objetivo obstaculizar la acción de la justicia. Al respecto, hizo hincapié en que esta exigencia no se encuentra recogida en el Convenio de Budapest: criminalizar el cifrado atenta contra el principio de no incriminación, al sancionar a aquella persona que no colabora con su propia persecución penal. Por otro lado, el cifrado por defecto se ha transformado en el estándar para la industria a nivel global, por lo que en un futuro cercano simplemente será imposible cometer un delito informático sin haber utilizado alguna forma de tecnología que involucre cifrado. Lo anterior implica que todos los delitos informáticos estarían por defecto agravados por esta causal. La amenaza de incurrir en un delito tipificado de esta forma generaría un desincentivo general al uso de cifrado en Chile, colocaría a la ciberseguridad nacional por debajo de los estándares internacionales y obligaría a los proveedores tecnológicos a degradar sus servicios ofrecidos en el país.

En cuanto al régimen de retención de datos de tráfico por parte de las empresas proveedoras de servicio de internet, explicó que el artículo 16° modifica el artículo 222 del CPP con el fin de aumentar el período de retención de datos de tráfico y los tipos de datos que deben retener las empresas proveedoras de servicio de internet. El Mensaje busca el mismo objetivo que el decreto N° 866, del Ministerio del Interior, de 2017, llamado "decreto espía", que fuera declarado ilegal e inconstitucional por la Contraloría General de la República. Las políticas de retención de datos de tráfico han demostrado ser ineficaces para el combate del delito, costosas para la industria, contrarias a los principios de la ciberseguridad y consistentemente cuestionadas en diferentes jurisdicciones en el mundo. Esta iniciativa aumenta de forma desproporcionada la capacidad de vigilancia del Estado e invierte el principio de inocencia, por lo que su implementación resultaría incompatible con el derecho a la protección de la vida privada de las personas, recogido en el artículo 19, N° 4°, de nuestra Carta Fundamental. Además, la exigencia no se encuentra recogida en el Convenio: en efecto, este instrumento sólo exige un “nivel” de retención de datos.

Por otra parte, dijo, durante la tramitación legislativa del Convenio de Budapest el Ejecutivo se comprometió explícitamente a que su implementación no debilitaría ningún estándar, derecho o garantía al interior del proceso penal. Algunos parlamentarios incluso condicionaron su voto al cumplimiento de dicho compromiso. En ese marco, sugirió modificar este artículo para armonizarlo con el Convenio de Budapest y subsanar aquellas normas que presentan visos de inconstitucionalidad y que eventualmente vulneran derechos fundamentales de las personas.

Con motivo de su exposición, la académica de la Facultad de Derecho de la Pontificia Universidad Católica de Chile, señora Verónica Rosenblut, hizo presente que desde un punto de vista general el Mensaje adopta una opción de técnica legislativa consistente en regular los delitos informáticos, tal como se ha hecho hasta el día de hoy, es decir, bajo una normativa extra Código Penal. Si bien es una opción legítima nos situa en el problema que se presenta en la actualidad relativo a la carencia de una herramienta de interpretación útil de tipos penales, en la medida que no se hace ninguna referencia a los bienes jurídicos amparados. Lo señalado tiene aplicaciones prácticas, como ocurre en la figura de daño informático, donde se supedita la sanción a un grave daño: para determinar la gravedad del daño debemos conocer qué se está amparando.

En cuanto a las escalas de penas señaladas en el Mensaje, recordó los requisitos mínimos que se establecen para la extradición en nuestro CPP, en el Convenio de Budapest y otros instrumentos internacionales, como el Convenio de Montevideo. Lo anterior, porque se trata de delitos de naturaleza transnacional: sería absurdo que para perseguir estos ilícitos originados muchas veces fuera del territorio nacional se carezca de la posibilidad de solicitar extradiciones activas o de conceder una expansiva. La pena mínima asignada a los delitos que exige esta legislación corresponde a un año, pero algunas figuras reguladas en esta iniciativa legal, quizá por temas de proporcionalidad, parten en presidio menor en su grado mínimo.

En relación con la jurisdicción de los tribunales, recordó que cuando nuestro país adhirió al Convenio de Budapest efectuó una reserva expresa de la norma contenida en el artículo 22, que contempla el principio de ubicuidad, que otorga jurisdicción o competencia a los distintos Estados para evitar la impunidad en la persecución de estos delitos. Atendido el principio de territorialidad que rige a la jurisdicción de los tribunales penales, Chile hizo reserva de esta norma. Por ello, sería importante revisar casos de extraterritorialidad, regulados en el artículo 6° del Código Orgánico de Tribunales (COT), e incorporar específicamente una norma que permita a los tribunales nacionales conocer de los delitos cometidos fuera del territorio nacional, por ejemplo, cuando afecten sistemas informáticos que se encuentren en Chile.

Refiriéndose al articulado, la académica de la PUC sostuvo que en relación con el delito de acceso indebido se disponen tres figuras. En primer lugar, se establece una figura base que sanciona el simple hacking, donde podría quedar cubierto el hacking ético. En segundo término, la figura agravada por el objetivo perseguido (conocer información o apropiarse de ella). Finalmente, la figura calificada por vulneración de mecanismos o barreras de protección del sistema. Al respecto, se preguntó dónde quedan los casos en los que se accede a un sistema informático con una clave obtenida fraudulentamente o se utilizan las claves para otros fines distintos para los cuales fue autorizada. La académica cuestionó que exista siempre en todo hacking vulneración o, al menos, evasión de las barreras de seguridad (en este caso, sería ilusorio pensar en la figura base). Por lo tanto, propuso reunir todas estas hipótesis en un antecedente que exija no sólo ausencia de consentimiento del titular del sistema informático, sino también una vulneración o evasión de las barreras de protección.

Enseguida, advirtió que la iniciativa legal olvida sancionar la figura de la revelación. En efecto, dijo, se sancionan los accesos, pero no la revelación de la información contenida en los sistemas informáticos. Esta conducta consiste en dar a conocer o difundir a terceros la información contenida en un sistema.

Respecto del daño informático, acotó que se incluye el concepto normativo del daño “serio”. En derecho comparado existen regulaciones (por ejemplo España) que supeditan la sanción de esta figura a la alteración o modificación de datos o su destrucción. Mientras en otras regulaciones (Argentina o Alemania) no es requisito y se sanciona cualquier tipo de daño. El concepto de daño serio es ajeno al Código Penal, sin perjuicio que en delitos contra la seguridad del Estado o el orden público se hable de daños graves.

En cuanto a la figura de falsificación informática, la señora Rosenblut sostuvo que se mantienen las dudas referentes a los operadores penales respecto de la figura de falsificación corpórea. El problema es qué sucede con las hipótesis de forjamiento o aquellas en que se crea un documento o dato informático privado o público: no existe claridad si queda cubierta esta información. Además, no se distinguen adecuadamente las hipótesis de falsificación de las de uso. Tampoco existe certeza de si la falsificación de sentido del dato queda cubierta por la figura.

En lo que atañe al fraude informático, se alude a utilizar los datos contenidos en un sistema o de aprovechar. Respecto de la utilización debe aclararse si ello puede ocurrir dentro del sistema o del ambiente físico. Con todo, no queda claro si al hablarse de aprovechar, otro debe proceder a la utilización ni qué sucede si la misma persona ejecuta ambas conductas. Además, se debe aclarar qué sucede cuando se ingresan datos falsos en relación a si queda cubierta la conducta por la figura de fraude informático.

En lo concerniente al agravante del artículo 9, que sanciona a quien abusa de posición privilegiada de garante o custodio de la información, arguyó que la posición de garante en derecho penal tiene un significado diverso al utilizado en esta norma, porque la posición de garante es la fuente de responsabilidad en los delitos de omisión o comisión por omisión. En este caso sería más útil mantener el fraseo del artículo 4° de la ley N° 19.223, al agravar la sanción cuando la revelación es hecha, por ejemplo, por el encargado del sistema informático.

Ante la consulta del Honorable Senador señor Insulza, acerca de si la situación descrita se asemeja a lo ocurrido con la red social Facebook, la Profesora Rosenblut aclaró que la agravante exige el abusar, concepto que choca con el de negligencia, por cuanto da a entender una conducta intencional.

En relación con normas procesales relativas al artículo 222 del CPP (interceptación de comunicaciones), hizo presente que el inciso primero restringe toda la regulación a la investigación de delitos con pena de crimen, es decir, no es aplicable a simples delitos. En este sentido, se debe cuestionar si esta restricción se aplica a los incisos que se incorporarán. Del mismo modo, sería más útil separar la nueva regulación en un artículo distinto. Estos incisos nuevos regulan a funcionarios que están a cargo de la implementación de estas medidas de interceptación, como los particulares que trabajan en empresas proveedoras de servicios de telecomunicaciones, los cuales deben guardar estricto secreto de estas medidas, sin embargo no se establece la sanción por el incumplimiento de este deber.

Finalmente, la académica realizó una serie de propuestas al texto del Mensaje, a saber:

1.Consignar, al menos en la historia de la ley, los bienes jurídicos protegidos directamente, como la seguridad de los sistemas informáticos, y aquellos cubiertos indirectamente, como la intimidad, la propiedad, el patrimonio, la seguridad en el tráfico económico y la fe pública.

2. Prestar atención a la pena mínima para la extradición, esto es, presidio menor en su grado medio, cuando las conductas hayan sido perpetradas por su autor fuera del territorio nacional.

3. Agregar un nuevo numeral 12 en el artículo 6° del COT, con el objeto de ampliar la jurisdicción de los tribunales chilenos a los delitos sancionados por la ley de delitos informáticos, cuando afecten sistemas informáticos chilenos, habiéndose cometido en el exterior.

4. Regular el acceso indebido como figura única que sancione los accesos a un sistema informático realizados sin consentimiento de su titular y burlando o vulnerando mecanismos de resguardo que impidieren el libre acceso a éste.

5.Respecto del daño informático, evaluar el término “gravedad” y la eliminación de expresión “maliciosamente”, regulando una figura base de baja penalidad que sancione cualquier daño doloso, y una figura agravada que sancione un daño grave a su titular.

6.En la falsificación informática, aclarar que se trata de falsificación de documentos informáticos o de datos que son parte de un documento informático, públicos o privados, sancionando tanto su forjamiento o creación como su alteración de forma, contenido o sentido, cuando sean utilizados como auténticos.

7.Respecto del fraude informático, incluir una propuesta de descripción de la figura que acentúe la manipulación (de manera de sancionar a quien para obtener un provecho económico para sí o para un tercero, manipule un sistema informático utilizando, alterando o eliminando la información o los datos contenidos o transmitidos en él, o ingresando datos falsos, causando perjuicio a otro).

8.En la agravante del artículo 9°, poner un mayor reproche penal para quien se encuentra a cargo de la seguridad, operación o administración del sistema informático, sin requerir el abuso.

9.En relación con los nuevos incisos del artículo 222 CPP:

a.Regular en un artículo 222 bis lo dispuesto en los incisos 6, 7 y 8 nuevos.

b.Señalar expresamente que la violación del secreto que deben guardar los funcionarios y los particulares, se sancionará con las penas del artículo 247 del CP.

A continuación expuso el Académico de la Facultad de Derecho de la Universidad de Chile, señor Gonzalo Medina, quien cuestionó la conveniencia de crear una nueva ley de delitos informáticos en lugar de incluir esta normativa en el Código Penal. Además, destacó la pertinencia de colocar en discusión la ley N° 20.009, que limita la responsabilidad de los usuarios de tarjetas de crédito por operaciones realizadas con aquellas extraviadas, hurtadas o robadas, cuerpo legal que contiene (artículo 5°) el tipo penal sobre el uso indebido de las claves de estos instrumentos mercantiles.

El Mensaje, precisó, mantiene un problema histórico de la ley N° 19.223, referido al uso sistemático del término “maliciosamente”, en varios delitos. En efecto, se contiene en el delito de perturbación informática y de daño informático. El término malicioso se ocupa para excluir el dolo eventual y exigir dolo directo en la conducta, sin embargo el problema no dice relación con un actuar malicioso, sino uno debido o indebido. La Convención de Budapest y otros textos internacionales fijan el problema en quién tiene permiso para borrar los datos o alterar la información contenida en un sistema informático. Lo fundamental es quién tenía derecho o no a llevar a cabo la conducta. Lo anterior se refleja en una errónea aplicación de los tipos penales de la ley de delitos informáticos por los tribunales de justicia: de mantener el problema en las nuevas formulaciones, se continuarán las discusiones ociosas en tribunales acerca de si la persona actuó con dolo directo o no, mientras que lo importante es determinar si tenía autorización o no para borrar, alterar o suprimir datos de un sistema informático.

En cuanto al acceso ilícito, coincidió con la idea de que ha de ser indebido y con vulneración de barreras informáticas. No obstante, recordó que cuando nuestro país aprobó el Convenio de Budapest declaró expresamente que para este delito iba a exigir una intención delictiva determinada en el sujeto activo, para penar las acciones descritas en los artículos pertinentes del instrumento internacional. Esta intención delictiva corresponde al inciso segundo del artículo 2º, por lo cual no se está siendo leal a la propia declaración realizada al momento de adoptar el Convenio. Una situación similar sucede con la falsificación informática (artículo 5º): Chile declaró que exigiría un ánimo fraudulento que produzca un perjuicio a terceros para penar las acciones descritas en el artículo 7º del Convenio sobre ciberdelincuencia, conforme lo requiere el artículo 197 del Código Penal (delito de falsificación). Pero, en el artículo 5º no aparece ninguna exigencia del ánimo fraudulento.

El acádemico sostuvo que en el supuesto de fraude informático la redacción de la profesora señora Rosenblut es más adecuada que la contenida en el Mensaje, porque implica dos supuestos. El primero, la utilización de información contenida en un sistema informático; el segundo, aprovecharse de la alteración de datos, supresión de documentos electrónicos o datos trasmitidos contenidos un sistema informático. En este caso, se producirá un calce difícil con la ley Nº 20.009 y las claves de tarjetas de crédito, que son claves del sistema informático. En la utilización de información contenida en un sistema informático no debería sancionarse la mera utilización sino aquella que es indebida.

En ese marco, hizo algunas observaciones específicas a la iniciativa:

1. Concordó con la existencia de disposiciones que hacen aplicables las técnicas especiales de investigación de criminalidad organizada para este tipo de delitos.

2. Advirtió que si bien se incluye la ley N° 20.393 sobre responsabilidad penal de las personas jurídicas en este tipo de delitos, no se contemplan los ilícitos informáticos como delitos bases del lavado de activos, siendo natural que así sea considerando la actual regulación en esta materia. El delito de estafa común (artículo 468 del CP) es un delito base y se acaba de incorporar la apropiación indebida y la administración desleal bajo la misma figura. Además, esta regulación permitiría dar una respuesta razonable al dilema que representa la responsabilidad del titular de la cuenta destinataria, por cuanto el lavado de activos es un delito doloso con un estándar mayor de exigencia para el tipo culposo, exigiendo deberes de aseguramiento positivos. La figura permitiría, sin alterar los régimenes de responsabilidad que existen, arribar a una solución intermedia que permita enlazar esa parte de la cadena de responsabilidad.

3. Abogó por una revisión del artículo 12, que establece el comiso de ganancia, puesto que supone un comiso especial, más amplio que el contemplado en el Código Penal: dentro de la figura caben no sólo los instrumentos del delito y los efectos que de ello provengan, sino también las uitilidades que hubiese originado, cualquiera sea su naturaleza jurídica. Cuando por cualquier circunstancia no sea posible decomisar estas especies será posible hacerlo respecto de una suma de dinero equivalente a su valor, es decir, se establece una regla de comiso sustitutivo, la cual constituye el canon más amplio en esta materia. En este sentido, propuso agregar en este artículo una regla del tercero de buena fe: quien reciba fondos en esta circunstancia no debería, en principio, sufrir el comiso de sus bienes. Así, se salvaguarda a los terceros de buena fe vía restricción del alcance del comiso del artículo 12.

4. Respecto de la norma del artículo 10, que habilita al Ministerio del Interior y Seguridad Pública y a los delegados presidenciales regionales para querellarse por delitos de este tipo, señaló que la idea no tendría justificación pues el Ministerio Público ya representa al Estado. Incluso, podría generar conflictos de interés.

5. Por último, respaldó plenamente e hizo suyos los planteamientos del encargado de Políticas Públicas de la ONG Derechos Digitales Latinoamérica, en materia de políticas de almacenamiento y extensión de los datos sobre los que se pretende que recaigan.

El Honorable Senador señor Allamand, luego de destacar la importancia de consignar cuáles son los bienes jurídicos protegidos por este cuerpo normativo, consultó en relación con el delito de fraude informático la razón que explicaría que, no siendo suficiente con la mera manipulación del sistema, se exija además intencionalidad.

El Honorable Senador señor Kast, quien hizo hincapié en la ausencia de la figura de perturbación informática en el Convenio de Budapest y la legislación comparada, planteó su inquietud por la figura alternativa que podría establecerse y por el diseño de una política pública en el ámbito de la acumulación de datos construida a partir de la suposición de que todas las personas son en principio sospechosas.

El asesor ministerial señor Izquierdo, luego de valorar positivamente las ideas planteadas por los especialistas en materia de lavado de activos, precisó respecto de la norma que establece la legitimación activa a favor del Ministerio del Interior y Seguridad Pública que únicamente será sujeto activo cuando se interrumpa el normal funcionamiento de un servicio de utilidad pública.

En lo que concierne a la política de almacenamiento, indicó que el Ejecutivo recogerá las observaciones y se propondrá oportunamente una nueva redacción. Con todo, previno, si la idea es guardar fidelidad al Convenio de Budapest, se debe adoptar la definición de datos relativos al tráfico que contempla este instrumento.

En lo que atañe a las barreras de seguridad, expresó que no necesariamente existen y que exigirlas a propósito de delitos que están en el ámbito de lo virtual podría generar una desproporción respecto de aquellos que no se hallan en él.

La académica de la Facultad de Derecho de la PUC señaló que la importancia del bien jurídico como elemento de interpretación alude a la gravedad del daño y a la posibilidad de conocer su dimensión: para determinarlo se requiere saber qué se está afectando. Ante el silencio del proyecto quedará abierta la puerta a sitaciones concursales: en el Código Penal existen delitos comunes de daño, violación de correspondencia, etc., por lo que se habrá que interpretar y diferenciar cuándo se aplica uno u otro. Respecto de concursos materiales, existen figuras de fraude informático que exigirán determinar si se aplican las penas de agravación respecto de la extensión del mal causado.

En lo que atañe a la incorporación en el fraude informático del beneficio para sí o para un tercero, aclaró que constituye una opción legislativa que remite al ánimo de lucro. En muchas legislaciones, dijo, se observa una tendencia a incorporar este elemento para denotar que existe un mayor reproche cuando los perjuicios patrimoniales a terceros se realizan con el fin de obtener una ventaja personal.

El encargado de Políticas Públicas de la ONG Derechos Digitales Latinoamérica reiteró que el Convenio de Budapest en vez de “perturbación informática” se refiere al ataque a la integridad de datos y sistema. Sobre datos relativos al tráfico, arguyó, el Convenio de Budapest si bien ofrece una definición, entrega mucha flexibilidad para adecuar la noción. El proyecto de ley no utiliza esa flexibilidad al nivel que podría: en la nueva definición de datos relativos al tráfico menciona la idea de “localización”, que actualmente se entiende como una simple triangulación de las antenas pero que en el futuro podría implicar un nivel de intrusión que al Estado no le corresponde.

En cuanto a la superación de la barrera, afirmó que los delitos informáticos por su naturaleza requieren esta circunstancia: al no exigirse esta superación se perfeccionará un delito por el mero hecho de incumplir los términos y condiciones de un sitio. Pero, en estricto rigor, aquello no constituye un ilícito, sino la contravención de una obligación contractual.

A continuación, el señor Presidente declaró cerrado el debate y sometió a votación en general la iniciativa.

- Sometida a votación la idea de legislar en la materia fue aprobada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Allamand, Insulza y Kast.

- - -

TEXTO DEL PROYECTO

En mérito del acuerdo precedentemente consignado, la Comisión de Seguridad Pública tiene el honor de proponeros la aprobación, en general, del proyecto de ley en informe, cuyo texto es el que sigue:

PROYECTO DE LEY

“TÍTULO I

DE LOS DELITOS INFORMÁTICOS Y SUS SANCIONES

Artículo 1°.- Perturbación informática. El que maliciosamente obstaculice o perturbe el funcionamiento de un sistema informático, a través de la introducción, transmisión, daño, deterioro, alteración o supresión de datos informáticos, será castigado con la pena de presidio menor en su grado medio a máximo. Si además se hiciere imposible la recuperación del sistema informático en todo o en parte, se aplicará la pena de presidio menor en su grado máximo.

Artículo 2°.- Acceso ilícito. El que indebidamente acceda a un sistema informático será castigado con presidio menor en su grado mínimo o multa de once a veinte unidades tributarias mensuales.

El que indebidamente acceda con el ánimo de apoderarse, usar o conocer la información contenida en un sistema informático, será castigado con presidio menor en su grado mínimo a medio.

Si en la comisión de las conductas descritas en este artículo se vulnerasen, evadiesen o transgrediesen medidas de seguridad destinadas para impedir dicho acceso, se aplicará la pena de presidio menor en su grado medio.

Artículo 3°.- Interceptación ilícita. El que indebida y maliciosamente intercepte o interfiera la transmisión no pública de información entre los sistemas informáticos, será castigado con presidio menor en su grado mínimo a medio.

El que capte ilícitamente datos contenidos en sistemas informáticos a través de las emisiones electromagnéticas de los dispositivos, será castigado con presidio menor en su grado medio a máximo.

Artículo 4°.- Daño informático. El que maliciosamente altere, borre o destruya datos informáticos, será castigado con presidio menor en su grado medio, siempre que con ello se cause un daño serio al titular de los mismos.

Artículo 5°.- Falsificación informática. El que maliciosamente introduzca, altere, borre, deteriore, dañe, destruya o suprima datos informáticos con la intención de que sean tomados o utilizados a efectos legales como auténticos, será sancionado con la penas previstas en el artículo 197 del Código Penal, salvo que sean o formen parte de un instrumento, documento o sistema informático de carácter público, caso en que se sancionará con las penas previstas en el artículo 193 de dicho cuerpo legal.

Artículo 6°.- Fraude informático. El que, causando perjuicio a otro y con la finalidad de obtener un beneficio económico ilícito para sí o para un tercero, utilice la información contenida en un sistema informático o se aproveche de la alteración, daño o supresión de documentos electrónicos o de datos transmitidos o contenidos en un sistema informático, será penado:

1) Con presidio menor en sus grados medio a máximo y multa de once a quince unidades tributarias mensuales, si el valor del perjuicio excediera de cuarenta unidades tributarias mensuales.

2) Con presidio menor en su grado medio y multa de seis a diez unidades tributarias mensuales, si el valor del perjuicio excediere de cuatro unidades tributarias mensuales y no pasare de cuarenta unidades tributarias mensuales.

3) Con presidio menor en su grado mínimo y multa de cinco a diez unidades tributarias mensuales, si el valor del perjuicio no excediere de cuatro unidades tributarias mensuales.

Si el valor del perjuicio excediere de cuatrocientas unidades tributarias mensuales, se aplicará la pena de presidio menor en su grado máximo y multa de veintiuna a treinta unidades tributarias mensuales.

Artículo 7º.- Abuso de los dispositivos. El que para la perpetración de los delitos previstos en los artículos 1 a 4 de esta ley o de las conductas señaladas en el artículo 5° de la ley N° 20.009, entregare u obtuviere para su utilización, importare, difundiera o realizare otra forma de puesta a disposición uno o más dispositivos, programas computacionales, contraseñas, códigos de seguridad o de acceso u otros datos similares, creados o adaptados principalmente para la perpetración de dichos delitos, será sancionado con la pena de presidio menor en su grado mínimo y multa de cinco a diez unidades tributarias mensuales.

Artículo 8°.- Circunstancia atenuante especial. Será circunstancia atenuante especial de responsabilidad penal, y permitirá rebajar la pena hasta en un grado, la cooperación eficaz que conduzca al esclarecimiento de hechos investigados que sean constitutivos de alguno de los delitos previstos en esta ley o permita la identificación de sus responsables; o sirva para prevenir o impedir la perpetración o consumación de otros delitos de igual o mayor gravedad contemplados en esta ley; siempre que, en todo caso, dichos delitos fueren a ejecutarse o se hubieren ejecutado por una agrupación u organización conformada por dos o más personas, o por una asociación ilícita.

Se entiende por cooperación eficaz el suministro de datos o informaciones precisas, verídicas y comprobables, que contribuyan necesariamente a los fines señalados en el inciso anterior.

El Ministerio Público deberá expresar, en la formalización de la investigación o en su escrito de acusación, si la cooperación prestada por el imputado ha sido eficaz a los fines señalados en el inciso primero.

La reducción de pena se determinará con posterioridad a la individualización de la sanción penal según las circunstancias atenuantes o agravantes comunes que concurran; o de su compensación, de acuerdo con las reglas generales.

Artículo 9°.- Circunstancias agravantes. Constituyen circunstancias agravantes de los delitos de que trata esta ley:

1) Utilizar tecnologías de encriptación sobre datos informáticos contenidos en sistemas informáticos que tengan por principal finalidad la obstaculización de la acción de la justicia.

2) Cometer el delito abusando de una posición privilegiada de garante o custodio de los datos informáticos contenidos en un sistema informático, en razón del ejercicio de un cargo o función.

Asimismo, si como resultado de la comisión de las conductas contempladas en los artículos 1° y 4°, se interrumpiese o altere el funcionamiento de los sistemas informáticos o su data y esto afectase o alterase la provisión o prestación de servicios de utilidad pública, tales como electricidad, gas, agua, transporte, telecomunicaciones o financieros, la pena correspondiente se aumentará en un grado.

TÍTULO II

DEL PROCEDIMIENTO

Artículo 10.- Sin perjuicio de las reglas contenidas en el Código Procesal Penal, las investigaciones a que dieren lugar los delitos previstos en esta ley también podrán iniciarse por querella del Ministro del Interior y Seguridad Pública, de los delegados presidenciales regionales y de los delegados presidenciales provinciales, cuando las conductas señaladas en esta ley interrumpieren el normal funcionamiento de un servicio de utilidad pública.

Artículo 11.- Cuando la investigación de los delitos contemplados en esta ley lo hiciere imprescindible y existieren fundadas sospechas, basadas en hechos determinados, de la participación en una asociación ilícita, o en una agrupación u organización conformada por dos o más personas, destinada a cometer estos ilícitos, el Ministerio Público podrá aplicar las técnicas previstas y reguladas en los artículos 222 a 226 del Código Procesal Penal, conforme lo disponen dichas normas, y siempre que cuente con autorización judicial.

De igual forma, cumpliéndose las mismas condiciones establecidas en el inciso anterior, el Ministerio Público, y siempre que cuente con autorización judicial, podrá utilizar las técnicas especiales de investigación consistentes en entregas vigiladas y controladas, el uso de agentes encubiertos e informantes, en la forma regulada por los artículos 23 y 25 de la ley N° 20.000, siempre que fuere necesario para lograr el esclarecimiento de los hechos, establecer la identidad y la participación de personas determinadas en éstos, conocer sus planes, prevenirlos o comprobarlos.

Los resultados de las técnicas especiales de investigación establecidas en este artículo no podrán ser utilizados como medios de prueba en el procedimiento cuando ellos hubieren sido obtenidos fuera de los casos o sin haberse cumplido los requisitos que autorizan su procedencia.

Artículo 12.- Sin perjuicio de las reglas generales, caerán especialmente en comiso los instrumentos de los delitos penados en esta ley, los efectos que de ellos provengan y las utilidades que hubieren originado, cualquiera que sea su naturaleza jurídica.

Cuando por cualquier circunstancia no sea posible decomisar estas especies, se podrá aplicar el comiso a una suma de dinero equivalente a su valor.

Artículo 13.- Sin perjuicio de las reglas generales, los antecedentes de investigación que se encuentren en formato electrónico y estén contenidos en documentos electrónicos o sistemas informáticos o que correspondan a datos informáticos, serán tratados en conformidad a los estándares definidos para su preservación o custodia en el procedimiento respectivo, de acuerdo a las instrucciones generales que al efecto dicte el Fiscal Nacional.

TÍTULO III

DISPOSICIONES FINALES

Artículo 14.- Para efectos de esta ley, se entenderá por:

a) Datos informáticos: Toda representación de hechos, información o conceptos expresados en cualquier forma que se preste a tratamiento informático, incluidos los programas diseñados para que un sistema informático ejecute una función.

b) Sistema informático: Todo dispositivo aislado o conjunto de dispositivos interconectados o relacionados entre sí, cuya función, o la de alguno de sus elementos, sea el tratamiento automatizado de datos en ejecución de un programa.

Artículo 15.- Sin perjuicio de lo dispuesto en el artículo primero transitorio de esta ley, derógase la ley N° 19.223. Toda referencia legal o reglamentaria a dicho cuerpo legal debe entenderse hecha a esta ley.

Artículo 16.- Modifícase el Código Procesal Penal en el siguiente sentido:

1) Agrégase el siguiente artículo 218 bis:

“Artículo 218 bis.- Preservación provisoria de datos informáticos. El Ministerio Público con ocasión de una investigación penal podrá requerir, a cualquiera de las empresas concesionarias de servicio público de telecomunicaciones que presten servicios a los proveedores de acceso a Internet y también a estos últimos, la conservación o protección de datos informáticos o informaciones concretas incluidas en un sistema informático, que se encuentren a su disposición hasta que se obtenga la respectiva autorización judicial para su entrega. Los datos se conservarán durante un período de 90 días, prorrogable una sola vez, hasta que se autorice la entrega o se cumplan 180 días. La empresa requerida estará obligada a prestar su colaboración y guardar secreto del desarrollo de esta diligencia.”.

2) Reemplázase el artículo 219, por el siguiente:

“Artículo 219.- Copias de comunicaciones o transmisiones. El juez de garantía podrá autorizar, a petición del fiscal, que cualquier empresa concesionaria de servicio público de telecomunicaciones que preste servicios a los proveedores de acceso a Internet y también estos últimos, facilite datos o informaciones acerca de las comunicaciones transmitidas o recibidas por ellas. Respecto de las comunicaciones a que hace referencia el artículo 222 de este Código, se regirán por lo señalado en dicha disposición. Del mismo modo, podrá ordenar la entrega de las versiones que existieren de las transmisiones de radio, televisión u otros medios.

La entrega de los antecedentes previstos en el inciso anterior deberá realizarse en el plazo que disponga la resolución judicial. Si el requerido estimare que no pudiere cumplir con el plazo, en atención al volumen y la naturaleza de la información solicitada, deberá comunicar de dicha circunstancia fundadamente al tribunal, dentro del término señalado en la resolución judicial respectiva.

Para dar cumplimiento a lo previsto en los incisos precedentes, las empresas señaladas en el inciso primero deberán disponer de una persona que tendrá a su cargo, no necesariamente de forma exclusiva, dar respuesta a los requerimientos del Ministerio Público. Asimismo, las empresas deberán tomar las medidas pertinentes para que dicho encargado cuente con las atribuciones y las competencias que le permitan entregar de manera expedita la información que sea requerida.

La negativa o retardo injustificado de entrega de la información señalada en este artículo facultará al Ministerio Público para requerir al juez de garantía, autorización para el ingreso al domicilio, sin restricción de horario, de la empresa en que se encuentren los sistemas informáticos que contengan la información requerida y copiarla. El juez autorizará esta medida en caso que se cumplan los supuestos previstos en este artículo, debiendo comunicar dicha autorización por la vía más expedita posible, sin perjuicio de remitir con posterioridad la resolución respectiva.

Si, a pesar de las medidas señaladas en este artículo, la información no fuere entregada, podrá ser requerida al representante legal y al gerente general de la empresa de que se trate, bajo apercibimiento de arresto.”.

3) Modifícase el artículo 222 de la siguiente manera:

a) Reemplázase el epígrafe por el siguiente: “Intervención de las comunicaciones y conservación de los datos relativos al tráfico.”.

b) Reemplázase el inciso quinto actual por los siguientes incisos quinto, sexto, séptimo y octavo nuevos:

“Las empresas concesionarias de servicio público de telecomunicaciones que presten servicios a los proveedores de acceso a Internet y también estos últimos, deberán dar cumplimiento a esta medida, proporcionando a los funcionarios encargados de la diligencia las facilidades necesarias para que se lleve a cabo con la oportunidad con que se requiera.

Las empresas y proveedores mencionados en el inciso anterior deberán mantener, con carácter reservado y adoptando las medidas de seguridad correspondientes, a disposición del Ministerio Público a efectos de una investigación penal en curso, por un plazo no inferior a dos años, un listado y registro actualizado de sus rangos autorizados de direcciones IP y de los números IP de las conexiones que realicen sus clientes o usuarios, con sus correspondientes datos relativos al tráfico, así como los domicilios o residencias de sus clientes o usuarios. La infracción a lo dispuesto en este inciso será castigada según las sanciones y el procedimiento previsto en los artículos 36 y 36 A de la ley N° 18.168, General de Telecomunicaciones.

Para efectos de este artículo se entenderá por datos relativos al tráfico, todos los datos relativos a una comunicación realizada por medio de un sistema informático, generados por este último en tanto elemento de la cadena de comunicación, y que indiquen el origen, la localización del punto de acceso a la red, el destino, la ruta, la hora, la fecha, el tamaño y la duración de la comunicación o el tipo de servicio subyacente.

Asimismo, los encargados de realizar la diligencia y los empleados de las empresas mencionadas en este artículo deberán guardar secreto acerca de la misma, salvo que se les citare como testigos al procedimiento.”.

Artículo 17.- Modifícase la ley N° 20.393, que establece la responsabilidad penal de las personas jurídicas en los delitos de lavado de activos, financiamiento del terrorismo y delitos de cohecho que indica, en el siguiente sentido:

1) Intercálase en el inciso primero del artículo 1, entre “Nº 18.314” y “y en los artículos 250”, la expresión “, en el Título I de la ley que sanciona delitos informáticos”.

2) Intercálase en el inciso primero del artículo 15, entre “Código Penal,” y “y en el artículo 8°”, la expresión “en el Título I de la ley que sanciona delitos informáticos”.

ARTÍCULOS TRANSITORIOS

Artículo primero transitorio.- Las modificaciones introducidas por el Título I de la presente ley solo se aplicarán a los hechos delictivos cometidos con posterioridad a la entrada en vigencia de la misma. En consecuencia, las normas de la Ley N° 19.223, continuarán vigentes para todos los efectos relativos a la persecución de los delitos perpetrados con anterioridad a la entrada en vigencia de la presente ley.

Artículo segundo transitorio.- Mientras no sean nombrados los delegados presidenciales regionales y provinciales a los que se refiere esta ley, se entenderá que dichos cargos corresponderán a los intendentes y gobernadores, respectivamente.

Artículo tercero transitorio.- El artículo 16 de la presente ley comenzará a regir transcurridos 90 días desde su publicación.”.

- - -

Acordado en sesiones celebradas los días 13 y 27 de noviembre y 11 de diciembre de 2018, y 3 de enero de 2019, con asistencia de los Honorables Senadores señor José Miguel Insulza Salinas (Presidente), señora Carmen Gloria Aravena Acuña (Felipe Kast Sommerhoff), y señores Andrés Allamand Zavala, Felipe Harboe Bascuñán, Francisco Huenchumilla Jaramillo y Felipe Kast Sommerhoff.

Sala de la Comisión, a 4 de enero de 2019.

Ignacio Vásquez Caces

Secretario de la Comisión

RESUMEN EJECUTIVO

INFORME DE LA COMISIÓN DE SEGURIDAD PÚBLICA RECAÍDO EN EL PROYECTO DE LEY QUE ESTABLECE NORMAS SOBRE DELITOS INFORMÁTICOS, DEROGA LA LEY N° 19.223 Y MODIFICA OTROS CUERPOS LEGALES CON EL OBJETO DE ADECUARLOS AL CONVENIO DE BUDAPEST.

(BOLETÍN Nº 12.192-25)

I.- OBJETIVO DEL PROYECTO: Actualizar la legislación chilena en materia de delitos informáticos y ciberseguridad y adecuarla tanto a las exigencias del Convenio sobre la Ciberdelincuencia del Consejo de Europa, conocido como “Convenio de Budapest”, del cual Chile es parte, cuanto a la evolución de las tecnologías de la información y la comunicación, todo ello para dar un tratamiento más comprensivo del contexto en que se cometen estos ilícitos y subsanar la carencia de medios suficientes para su investigación.

II.- ACUERDO: Aprobada la idea de legislar por unanimidad de miembros presentes (3x0).

III.- ESTRUCTURA DEL PROYECTO: Consta de diecisiete artículos permanentes y tres transitorios.

IV.- NORMAS DE QUÓRUM ESPECIAL: Los artículos 8°, inciso tercero; 11, y 13, así como los artículos 218 bis, 219 sustitutivo y el nuevo inciso sexto del artículo 222 (contenidos en los numerales 1), 2) y 3), letra b), del artículo 16, respectivamente), tienen carácter orgánico constitucional, de conformidad con lo prescrito en los artículos 84 y 66, inciso segundo, de la Constitución Política de la República, en concordancia con la ley N° 19.640, Orgánica Constitucional del Ministerio Público.

Asimismo, el artículo 219 sustitutivo, contenido en el numeral 2) del artículo 16, ostenta rango orgánico constitucional por incidir en la organización y atribuciones de los tribunales de justicia, al tenor de lo dispuesto en los artículos 77 y 66, inciso segundo, de la Carta Fundamental.

V.- URGENCIA: Sin urgencia a la fecha de elaboración de este informe.

VI.- ORIGEN DE LA INICIATIVA: Mensaje de S.E. el Presidente de la República.

VII.- TRÁMITE CONSTITUCIONAL: Primer trámite.

VIII.- TRÁMITE REGLAMENTARIO: Primer informe.

IX.- INICIO TRAMITACIÓN EN EL SENADO: 7 de noviembre de 2018.

IX.- LEYES QUE SE MODIFICAN O QUE SE RELACIONAN CON LA MATERIA: Las siguientes:

1) Ley N° 19.223, que tipifica figuras penales relativas a la informática.

2) Decreto N° 83, del Ministerio de Relaciones Exteriores, de 2017, que promulga el Convenio sobre la Ciberdelincuencia, denominado “Convenio de Budapest”.

3) Código Procesal Penal.

4) Ley N° 20.393, que establece la responsabilidad penal de las personas jurídicas en los delitos de lavado de activos, financiamiento del terrorismoy delitos de cohecho que indica.

Ignacio Vásquez Caces

Secretario

Valparaíso, a 4 de enero de 2019.

OFICIO N° CSP/62/2018

Valparaíso, 4 de enero de 2019.

Tengo a honra comunicar a Vuestra Excelencia que con motivo de la discusión en general del proyecto de ley, en primer trámite constitucional, que establece normas sobre delitos informáticos, deroga la ley N° 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al Convenio de Budapest (Boletín N° 12.192-25), se ha dispuesto poner en conocimiento de esa Excelentísima Corte, recabando su parecer, el artículo 219, sustitutivo, contenido en el numeral 2) del artículo 16 del proyecto, atendido que dice relación con la organización y atribuciones de los tribunales de justicia, de conformidad con lo previsto en los artículos 77, incisos segundo y siguientes, de la Carta Fundamental, y 16 de la ley N° 18.918, Orgánica Constitucional del Congreso Nacional.

El artículo sustitutivo en comentario es del siguiente tenor:

“Artículo 219.- Copias de comunicaciones o transmisiones. El juez de garantía podrá autorizar, a petición del fiscal, que cualquier empresa concesionaria de servicio público de telecomunicaciones que preste servicios a los proveedores de acceso a Internet y también estos últimos, facilite datos o informaciones acerca de las comunicaciones transmitidas o recibidas por ellas. Respecto de las comunicaciones a que hace referencia el artículo 222 de este Código, se regirán por lo señalado en dicha disposición. Del mismo modo, podrá ordenar la entrega de las versiones que existieren de las transmisiones de radio, televisión u otros medios.

La entrega de los antecedentes previstos en el inciso anterior deberá realizarse en el plazo que disponga la resolución judicial. Si el requerido estimare que no pudiere cumplir con el plazo, en atención al volumen y la naturaleza de la información solicitada, deberá comunicar de dicha circunstancia fundadamente al tribunal, dentro del término señalado en la resolución judicial respectiva.

Para dar cumplimiento a lo previsto en los incisos precedentes, las empresas señaladas en el inciso primero deberán disponer de una persona que tendrá a su cargo, no necesariamente de forma exclusiva, dar respuesta a los requerimientos del Ministerio Público. Asimismo, las empresas deberán tomar las medidas pertinentes para que dicho encargado cuente con las atribuciones y las competencias que le permitan entregar de manera expedita la información que sea requerida.

La negativa o retardo injustificado de entrega de la información señalada en este artículo facultará al Ministerio Público para requerir al juez de garantía, autorización para el ingreso al domicilio, sin restricción de horario, de la empresa en que se encuentren los sistemas informáticos que contengan la información requerida y copiarla. El juez autorizará esta medida en caso que se cumplan los supuestos previstos en este artículo, debiendo comunicar dicha autorización por la vía más expedita posible, sin perjuicio de remitir con posterioridad la resolución respectiva.

Si, a pesar de las medidas señaladas en este artículo, la información no fuere entregada, podrá ser requerida al representante legal y al gerente general de la empresa de que se trate, bajo apercibimiento de arresto.”.

Dios guarde a Vuestra Excelencia.

JOSÉ MIGUEL INSULZA SALINAS

Presidente

IGNACIO VÁSQUEZ CACES

Secretario

A S.E. EL PRESIDENTE DE LA EXCELENTÍSIMA CORTE SUPREMA DON HAROLDO BRITO CRUZ

OFICIO N° 23 - 2019

INFORME PROYECTO DE LEY N° 2-2019

Antecedente: Boletín N° 12.192-25

Santiago, 12 de febrero de 2019

Por oficio N° CSP/62/2018, de fecha 4 de enero de 2019, el señor Presidente de la Comisión de Seguridad Pública del H. Senado, senador José Miguel Insulza Salinas y el Secretario del mismo, señor Ignacio Vásquez Caces, solicitaron al tenor de lo dispuesto en los artículos 77 de la Constitución Política de la República y 16 de la Ley N° 18.918, Orgánica Constitucional del Congreso Nacional, la opinión de la Corte Suprema sobre el proyecto de ley, iniciado por mensaje presidencial, que establece normas sobre delitos informáticos, deroga la Ley N° 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al Convenio de Budapest (boletín N° 12.192-25), Impuesto el Tribunal Pleno del proyecto en sesión de ocho del mes en curso, presidida por el Presidente señor Haroldo Brito Cruz, e integrada por los ministros señores Künsemüller, Silva, Fuentes, Cisternas y Blanco, señoras Chevesich y Muñoz S., señores Valderrama y Dahm, señora Vivanco, y ministros suplentes señores Muñoz P y Biel, acordó informarlo al tenor de la resolución que se transcribe a continuación:

AL PRESIDENTE DE LA COMISIÓN

DE SEGURIDAD PÚBLICA DEL H. SENADO,

SENADOR JOSÉ MIGUEL INSULZA SALINAS

VALPARAÍSO

“Santiago, once de febrero de dos mil diecinueve.

Vistos y Teniendo Presente:

Primero: Que señor Presidente de la Comisión de Seguridad Pública del Senado, senador José Miguel Insulza Salinas, solicita el informe de esta Corte sobre el proyecto de ley, iniciado por mensaje presidencial, que establece nomas sobre delitos informáticos, deroga la ley N° 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al Convenio de Budapest (boletín N° 12.192-25), de conformidad a lo dispuesto en la Constitución Política de la República y en la ley Orgánica Constitucional del Congreso Nacional.

La iniciativa legal, que se encuentra en primer trámite constitucional, ingresó al Senado el 25 de octubre de 2018, bajo el boletín N° 12.192-25, y no cuenta con urgencia en su tramitación.

Segundo: Que el proyecto de ley consta de diecisiete artículos permanentes y tres transitorios que, en síntesis, buscan derogar la ley N° 19.223, que tipifica figuras penales relativas a la informática, y complementar la regulación penal y procesal penal nacional para satisfacer los requerimientos del Convenio de Budapest[1] y asegurar el resguardo de la sociedad frente a nuevas formas de criminalidad digital o informática.

Tercero: Que el Convenio sobre la Ciberdelincuencia (también conocido como Convenio de Budapest) es el primer tratado internacional relativo a los delitos cometidos vía internet y otras redes informáticas. Su cometido principal es enfrentar las con infracciones a la propiedad intelectual, fraudes realizados mediante dispositivos informáticos, pornografía infantil y violaciones a la seguridad de redes. Considera reglas relativas al derecho penal sustantivo y establece mandatos de incriminación a los Estados parte, este convenio estipula una serie de reglas y procedimientos que tienen por fin facilitar la investigación y juzgamiento de esos delitos. Fue ratificado por Chile el 20 de abril de 2017[2] y publicado con fecha 28 de agosto de 2017[3].

Cuarto: Que, coherente con los objetivos del tratado, la iniciativa legal contempla enmiendas de derecho penal sustantivo y derecho procesal penal, con la idea de adecuar la legislación penal nacional a los estándares internacionales vigentes en materia de delitos informáticos.

Quinto: Que este informe se referirá, en primer lugar, a la materia explícitamente indicada por el Senado (la sustitución del artículo 219 del Código Procesal Penal por una redacción diversa); y, en segundo término, se extenderá a algunas materias que, no obstante no haber sido consultadas, dicen relación con el compromiso internacional que asumió el Estado de Chile y que tienen efectos de importancia en el goce de los derechos fundamentales de las personas y en las atribuciones de los tribunales de justicia.

ANÁLISIS DE LA PROPUESTA

A. La materia objeto de la consulta del Senado: la facultad de requerir a las empresas de telecomunicaciones información relativa a las comunicaciones de las personas.

Sexto: Que se solicitó la opinión de esta Corte exclusivamente en relación a las modificaciones propuestas al artículo 219 del Código Procesal Penal. El impacto del proyecto de reforma puede apreciarse en el siguiente cuadro:

a) Consideraciones interpretativas y sistemáticas.

Séptimo: Que esta propuesta de reforma al artículo 219 del Código Procesal Penal (en adelante, CPP) podría presentar problemas interpretativos si se lee en conjunto con la propuesta de reforma del artículo 222 del CPP, la cual no es objeto de consulta.

Octavo: Que el rango regulatorio de los vigentes artículos 219 y 222 del CPP es claro, pues se trata en dos artículos diversos dos situaciones distintas: el artículo 219 CPP regula las condiciones de acceso del Ministerio Público a la información relativa a comunicaciones privadas o transmisiones públicas que se encuentran actualmente en poder de las “empresas de comunicaciones”[4]; el artículo 222 del CPP estipula las condiciones que debe satisfacer el Ministerio Público para interceptar comunicaciones privadas.[5]

Noveno: Que con la reforma propuesta, esta distribución de contenidos se altera: el artículo 222 pasa a regular también ciertos “datos relativos a las comunicaciones”,[6] mientras que el artículo 219 substitutivo excluye expresamente a las comunicaciones a que hace referencia el artículo 222 del Código, que pasan a regirse “por lo señalado en dicha disposición”. No queda claro, entonces, cuáles comunicaciones pasan a regirse por cada uno de los artículos, esto es si se rigen por el 219 CPP todas aquellas que no han sido expresamente contempladas en el 222 CPP.

Esta diferencia se produce porque si bien en la redacción vigente del artículo 222 CPP hay mención de ciertos datos relativos a las comunicaciones - específicamente los “rangos autorizados de direcciones IP y un registro… de los números IP de las conexiones que realicen sus abonados”- , este listado es mencionado en la disposición con el exclusivo objetivo de permitir las interceptaciones una vez que éstas han sido autorizadas por el juez.[7] Al contrario, en la redacción propuesta, las empresas deben mantener “un listado y registro actualizado de sus rangos autorizados de direcciones IP y de los números IP de las conexiones que realicen sus clientes o usuarios, con sus correspondientes datos relativos al tráfico,[8] así como los domicilios o residencias de sus clientes o usuarios” no sólo a efectos de las interceptaciones declaradas, sino siempre “a disposición del Ministerio Público a efectos de una investigación penal en curso”. Este cambio, que puede parecer sutil, pudiera causar conflictos interpretativos, dejando en la indefinición si acaso requiere el Ministerio Público de autorización judicial para recabar aquellos datos como la residencia de un determinado usuario o sus datos relativos al tráfico, o bastará que exista una “investigación penal en curso”.

Décimo: Que en este sentido, además de dejar estipulado que se debe requerir autorización judicial para recabar cualquier dato que pudiera afectar la privacidad o los derechos de las personas, sería preferible estipular diferenciadamente (en artículos o disposiciones distintas) los ámbitos regulatorios que la propuesta mezcla. Así, requerirían regulaciones separadas los ámbitos de: (a) la información relativa a las comunicaciones privadas en poder de las empresas de telecomunicación; (b) el de la información relativa a las comunicaciones públicas en poder de las empresas de telecomunicación, prensa y radio difusión; y, (c) el de la interceptación de mensajes y comunicaciones privadas o sujetas a reserva. Estas tres materias refieren a realidades distintas y parece sano abordarlas separadamente.

Undécimo: Que en cuanto al primer ámbito, esto es, la regulación de los estándares de conservación y acceso a la información relativa a las comunicaciones privadas que se encuentran en poder de las empresas de telecomunicaciones, es necesario tener en cuenta que estos datos pueden ser: (i) datos de contenido, que se identifican con el mensaje intercambiado y por lo tanto deben tener un estándar de resguardo similar al de las interceptaciones (v.gr. registros de mensajes de textos, o de mensajería digital) y; (ii) meta-data, datos de tráfico o contexto, que se identifican con la existencia del mensaje y sus circunstancias externas (v.gr. la hora de la llamada, su duración, la cantidad de mensajes, la IP y geo localización de sus participantes, etc.)[9] que no obstante ser externos al contenido del mensaje pueden poner en riesgo, también, la privacidad de las personas.[10]

Duodécimo: Que el segundo ámbito, relativo a las condiciones de conservación y acceso a la información sobre las comunicaciones públicas que existan en poder de las empresas de telecomunicaciones y radiodifusión, no obstante estar reguladas conjuntamente con los meta data y datos de contenido en la legislación vigente (art. 219 CPP), posee peculiaridades específicas que hacen aconsejable su diferenciación. Se trata de información trasmitida públicamente y, por ende, en la que existe menos riesgo de vulneración de garantías ciudadanas, distintas de aquellas que corresponden a las respectivas empresas.

Decimotercero: Que el tercer ámbito es el de las interceptaciones de comunicaciones privadas, que está tratado en el actual artículo 222 CPP, implica riesgos evidentes para los derechos de las personas, que han llevado a la doctrina a señalar unánimemente la necesidad de que su admisibilidad esté sujeta a importantes restricciones y, para que resulte conforme a la Convención Americana de Derechos Humanos, debe cumplir con los requisitos de: “a) estar prevista en ley; b) perseguir un fin legítimo, y c) ser idónea, necesaria y proporcional”.[11]

b)Sobre la facultad de allanamiento y el requerimiento al representante legal bajo apercibimiento de arresto.

Decimocuarto: Que la modificación consultada permite allanar las oficinas de las empresas de telecomunicaciones en el caso de negativa o retardo en la información, previa autorización judicial y, en caso de fallar estas medidas, permite decretar el arresto del gerente o representante legal de la empresa, como un medio compulsivo para facilitar la labor del Ministerio Público. En estas condiciones, y considerando la necesidad de autorización judicial y completa excepcionalidad de las medidas, la propuesta resulta razonable. Sin perjuicio de ello, dentro de las hipótesis que permite el artículo para autorizar al allanamiento y registro de soportes informáticos, podría resultar plausible prever su posibilidad, incluso antes del retardo o incumplimiento, cuando existan antecedentes o circunstancias que hagan presumir que la respectiva información pudiera desaparecer, o que la empresa respectiva va a entorpecer o dificultar la labor investigativa del Ministerio Público.

c)Posibles lagunas legales: el caso de los proveedores de servicios de mensajería o comunicación que no revisten el carácter de empresas de telecomunicaciones ni proveedores de internet.

Decimoquinto: Que la modificación legal sólo estipula la posibilidad de intervenir o recabar, previa autorización judicial, en las comunicaciones y datos suministrados o en posesión de las empresas de telecomunicaciones y los proveedores de internet. Sin embargo, nada se dice de la situación de otras empresas que, sin prestar servicios de telecomunicaciones y sin ser proveedores de internet, pueden prestar servicios de comunicación y tener acceso a información de contenido y meta-data que podría resultar de utilidad en investigaciones penales de gravedad. El ejemplo más claro de empresas de esta clase, son todas las de mensajería instantánea y redes sociales[12]; las empresas que interactúan con datos específicos de sus usuarios, como las de transporte en relación a los datos de localización geográfica[13]; las empresas de compra a distancia basadas en geolocalización[14] y; las empresas que recolectan información de objetos inteligentes[15].

Decimosexto: Que, en este sentido, podría resultar razonable aprovechar el impulso de reforma con el fin de prever la posibilidad de acceder a la información administrada o en posesión de estas empresas, siempre y cuando se cumpla con las condiciones de injerencia en el derecho de privacidad que estipula el sistema interamericano de derechos humanos que, como se dijo, supone el cumplimiento de los requisitos de legalidad, legitimidad del fin, idoneidad, necesidad y proporcionalidad de la medida.[16]

B.Otras reformas de la propuesta

Decimoséptimo: Que la propuesta de reforma contempla otras modificaciones legales que impactan de distintas maneras en las facultades de los tribunales de justicia y en los derechos de las personas, cuya observación resulta relevante. Algunas de ellas pueden agruparse en los siguientes acápites: a) la regulación de la nueva atenuante de cooperación eficaz; b) la nueva regulación sobre retención de datos relativos al tráfico; c) la nueva regulación del comiso; y, d) la reformulación del sistema de delitos informáticos.

a)La atenuante de colaboración eficaz.

Decimoctavo: Que el artículo 8 de la propuesta estipula como circunstancia atenuante especial para los delitos informáticos la cooperación eficaz ”que conduzca al esclarecimiento de hechos investigados que sean constitutivos de alguno de los delitos previstos en esta ley o permita la identificación de sus responsables; o sirva para prevenir o impedir la perpetración o consumación de otros delitos de igual o mayor gravedad contemplados en esta ley; siempre que, en todo caso, dichos delitos fueren a ejecutarse o se hubieren ejecutado por una agrupación u organización conformada por dos o más personas, o por una asociación ilícita” y entendiendo que será eficaz la cooperación que implique “el suministro de datos o informaciones precisas, verídicas y comprobables, que contribuyan necesariamente a los fines señalados en el inciso anterior.” Luego de la mencionada definición, la disposición agrega que “el Ministerio Público deberá expresar, en la formalización de la investigación o en su escrito de acusación, si la cooperación prestada por el imputado ha sido eficaz a los fines señalados en el inciso primero.”

Decimonoveno: Que sin perjuicio de la razonabilidad de una medida como la indicada, y de su coherencia con los objetivos del Convenio de Budapest, cabe considerar que la obligación del Ministerio Público en torno a expresar en la formalización de la investigación o en su escrito de acusación si la cooperación prestada ha sido eficaz, puede hacer pensar que esta atenuante no podría ser alegada independientemente por la defensa y declarada sobre esta base por el tribunal penal competente. Tal interpretación alteraría el balance de poderes de Ministerio Público y defensa y, además, cercenaría las atribuciones de los tribunales con competencia penal de un modo desproporcionado. Son los tribunales de justicia los encargados de determinar la existencia o no de los supuestos fácticos de delitos, atenuantes y agravantes, no los intervinientes.

b)La nueva regulación sobre retención de datos relativos al tráfico.

Vigésimo: Que la propuesta normativa incluye una modificación al artículo 222 del CPP, que impone a “las empresas concesionarias de servicio público de telecomunicaciones que presten servicios a los proveedores de acceso a Internet y también estos últimos” la obligación de “mantener, con carácter reservado y adoptando las medidas de seguridad correspondientes, a disposición del Ministerio Público a efectos de una investigación penal en curso, por un plazo no inferior a dos años, un listado y registro actualizado de sus rangos autorizados de direcciones IP y de los números IP de las conexiones que realicen sus clientes o usuarios, con sus correspondientes datos relativos al tráfico, así como los domicilios o residencias de sus clientes o usuarios” (énfasis agregado). Esta disposición define los datos relativos al tráfico (o meta-data) como “todos los datos relativos a una comunicación realizada por medio de un sistema informático, generados por este último en tanto elemento de la cadena de comunicación, y que indiquen el origen, la localización del punto de acceso a la red, el destino, la ruta, la hora, la fecha, el tamaño y la duración de la comunicación o el tipo de servicio subyacente”.

Vigésimo Primero: Que esta regulación parece exceder un criterio de proporcionalidad razonable y, en la medida de que afecta la intimidad de las personas, no satisfacerla los requerimientos mínimos que debe cumplir una medida de esta clase, especialmente, al no estipular un horizonte máximo tras el cual los datos debiesen ser borrados. No debe perderse de vista que, tal como han enseñado los últimos escándalos internacionales sobre la materia[17], el procesamiento de meta-data no sólo permite obtener información privada de gran sensibilidad para las personas, sino que permite manipulaciones a gran escala que constituyen un peligro para la democracia.

En este sentido, puede recordarse que una regulación similar, pero mucho más restrictiva –pues estipulaba plazos máximos de 6 meses de retención de meta-data y no sólo plazos mínimos como la regulación nacional vigente y propuesta– fue declarada inválida por la Corte de Justicia de la Unión Europea, porque, a su juicio, no aseguraba medidas adecuadas para proteger los derechos a la privacidad y la información personal.[18]

Esta misma argumentación es aplicable a la realidad del sistema interamericano de Derechos Humanos, tal como ya ha sido anticipado en el informe del año 2017 de la Relatoría Especial para la Libertad de Expresión del señor Edison Lanza, en el que además, se menciona que las políticas de vigilancia masiva y políticas de retención de datos, son uno de los mayores obstáculos que existen en la región para lograr diversidad y pluralismo en los medios de prensa.[19]

Por otra parte, no debe perderse de vista que la evitación de medidas de esta clase llevó a la Asamblea General de las Naciones Unidas a aprobar, el 18 de diciembre de 2013, la resolución 68/167, denominada “El derecho a la privacidad en la era digital”, con elocuentes recomendaciones[20].

Vigésimo Segundo: Que frente a esta modificación solo cabe hacer presente que conforme a los estándares internacionales de derechos humanos, cualquier clase de injerencia o afectación de derechos fundamentales, debe dar cumplimiento a las condiciones que ha identificado la Corte Interamericana de Derechos Humanos en el sentido de satisfacer los principios de legalidad, legitimidad del fin, idoneidad, necesidad y proporcionalidad de la medida.[21] Lo cierto es que una medida de esta clase, sin límite máximo temporal para la retención de datos, no satisface los criterios de necesidad y proporcionalidad de la medida, independientemente de la legitimidad del fin que persiguen.

c)Comiso.

Vigésimo Tercero: Que el artículo 12 de la propuesta, en consonancia con los estándares internacionales en la materia, estipula reglas especiales de comiso de los instrumentos, efectos y utilidades vinculados con el delito. Contempla, además, una regla especial de comiso sustitutivo, por la cual podrá decomisarse una suma de dinero equivalente al valor de los instrumentos, efectos y utilidades, cuando éstas no puedan ser decomisadas.

Vigésimo Cuarto: Que, no obstante el avance que representa esta regulación, sería razonable especificar mejor el rango de aplicabilidad de la misma, especialmente en relación a la situación de posibles terceros, que pudieran haber entrado en contacto o posesión de los instrumentos, efectos y ganancias. En rigor, debe clarificarse cuales son las condiciones que permiten decomisar las especies vinculadas con el delito que se encuentren en poder de terceros, determinando, por ejemplo, si acaso podrá decomisarse sólo a los terceros de mala fe o sólo a los responsables por el delito. Esta circunstancia, como es obvio, se encuentra directamente relacionada con las atribuciones de los tribunales penales en la materia.

d)El sistema de delitos de la propuesta.

Vigésimo Quinto: Que en lo que se refiere al sistema de delitos que estipula la propuesta y que pretende derogar completamente la vigencia de la ley N° 19.223, caben algunas observaciones que vale la pena realizar, en razón del deber del Estado Chileno de dar efectivo cumplimiento a los compromisos internacionales adquiridos por Chile a raíz de la ratificación del Convenio de Budapest, que tiene como fin preciso promover y respetar Derechos Humanos tales como la intimidad, la propiedad y la honra.

A continuación se enumerarán brevemente algunos problemas de los tipos penales que comprende la iniciativa, siempre con un afán colaborativo con el Congreso Nacional.

(i)Delito de acceso ilícito de datos e interceptación ilícita (art. 2 y 3 de la propuesta).

Vigésimo Sexto: Que en una de las novedades más interesantes de la propuesta, se divide el marco regulatorio del actual artículo 2 de la ley N° 19.223 en dos estructuras típicas: la del delito de acceso ilícito de datos y el delito de interceptación ilícita. Esta situación, que sólo cabe valorar positivamente, puede apreciarse en el siguiente cuadro:

Vigésimo Séptimo: Que sobre esta norma, debe tenerse en cuenta, en primer lugar, que su redacción parece oponerse a la declaración que hizo el Estado de Chile al hacerse parte del Convenio de Budapest, según la cual se iba a requerir un “ánimo delictivo” equivalente al estipulado en el artículo 2° de la ley N° 19.223, para hacer punible este delito.[22] El tipo base de acceso ilícito que se postula no requiere ninguna intención trascendente, la que sólo es requerida en la figura agravada que tipifica su inciso segundo. La cuestión no es baladí, considerando que requerir este ánimo salvaguarda la posibilidad de incriminar por este delito al agente de seguridad privado, que intenta acceder ilícitamente al sistema informático con el fin de ponerlo a prueba, por ejemplo.

Vigésimo Octavo: Que en segundo lugar, tal como se ha señalado en la discusión parlamentaria, la naturaleza criminológica de los accesos ilícitos requiere, en todo caso, que estos se realicen vulnerando medidas de seguridad. Por este motivo, la calificante estipulada en el segundo inciso del artículo resulta superabundante. Aquello que distingue al delito informático del mero incumplimiento contractual de las condiciones del sistema, es la existencia de una acción de vulneración de medidas de seguridad,[23] por lo que, parece conveniente aunar ambos incisos en uno sólo que: a) respete la declaración realizada por el Estado de Chile al hacerse parte del Convenio y, b) estipule como condición de incriminación, para todos los casos, la vulneración de sistemas de seguridad informáticos.

Vigésimo Noveno: Que, por último, al considerar la redacción de la propuesta, resulta dudosa la idoneidad de la estructura típica propuesta para castigar algunos accesos ilícitos a la información personal que se realizan mediante engaño, como podría ser el caso de aquel que se hace pasar por una persona o empresa de confianza para obtener ilegítimamente información valiosa (phishing).[24]

Trigésimo: Que en lo que se refiere al delito de interceptación ilícita, cabe tener en cuenta que la propuesta regula, verdaderamente, dos hipótesis delictivas distintas. Por una parte se estipula el delito de interceptación de sistemas informáticos (inciso primero) y, por otra, la captación ilícita de datos por medios electromagnéticos (inciso segundo). Esta estrategia de tipificación merece ser notada, entre otras razones, porque implica apartarse de la estrategia del Convenio de Budapest. En efecto, el citado Convenio incrimina únicamente la obtención de datos mediante interferencia por medios técnicos, mientras que la propuesta castiga diferenciadamente: (i) la mera interferencia o interceptación de un sistema informático (en el inciso primero, incluso sin obtención de dato alguno) y (ii) la captación ilícita de datos a través de emisiones electromagnéticas.

Trigésimo Primero: Que la estrategia regulativa de la captación ilícita no exige ningún ánimo delictivo particular para la realización de la acción típica y, por lo tanto, parece alejarse de la declaración realizada por el Estado de Chile al hacerse parte del Convenio.[25]

(ii)Delito de daño de datos.

Trigésimo Segundo: Que el artículo 4 de la propuesta establece el delito de daño de datos, ocupando el lugar del delito actualmente regulado en el artículo 3 de la ley N° 19.223, tal como puede apreciarse en el siguiente cuadro:

Trigésimo Tercero: Que esta reforma se hace merecedora de algunos comentarios. Si bien en este caso se respetó la reserva realizada por la República de Chile al ratificar el Convenio en relación a la seriedad del daño,[26] falta en la tipificación constancia expresa de que el daño perseguible por este tipo penal debe haber sido realizado de modo ilegítimo, o por una persona no legitimada o autorizada para realizarlo. Esto es lo que distingue a esta clase de delito de la mera conducta del administrador u operador de una red que por cualquier motivo elimina datos en el marco de sus funciones. Esta circunstancia es clara en el Convenio de Budapest que, en lo pertinente, señala que debe tipificarse como delito en el derecho interno “todo acto deliberado e ilegítimo que dañe, borre, deteriore, altere o suprima datos informáticos” (énfasis agregado).[27]

(iii) Perturbación informática (integridad del sistema).

Trigésimo Cuarto: Que el artículo primero de la propuesta tipifica el delito de perturbación informática, reemplazando el marco regulatorio que estipula el actual artículo 1 de la ley N° 19.223, tal como puede apreciarse en el siguiente cuadro comparativo:

Trigésimo Quinto: Que si bien es cierto que la estrategia regulatoria del proyecto es coherente con el Convenio de Budapest, resulta notable el hecho de que ella no penaliza aquellas perturbaciones en el sistema que no se realizan a través de la introducción, transmisión, daño, deterioro, alteración o supresión de datos informáticos, sino por otros medios. Así no quedan cubiertos en el rango típico del artículo primero aquellas perturbaciones del sistema que sin afectar la integridad de un dato particular, interfieren con el funcionamiento del sistema, como podría ser el empleo de mecanismos de inutilización temporal del mismo, mediante medios técnicos, o su inutilización mediante manipulación del hardware.

(iv) La incorporación del nuevo delito de falsificación informática.

Trigésimo Sexto: Que el artículo 5 de la propuesta incorpora un nuevo delito de falsificación informática, con el propósito de satisfacer el mandato de incriminación que establece el artículo 7 de la Convención de Budapest, tal como se aprecia en el siguiente cuadro:

Trigésimo Séptimo: Que el sustrato de la falsificación informática en el Convenio es algo distinto a lo estipulado en la propuesta. En el convenio se trata de incriminar a quien genere datos “no auténticos” en un sistema mediante manipulación/introducción/supresión de datos auténticos, cuando estos datos (“no auténticos”) son generados para que se tengan por auténticos a efectos legales. De este modo, el tipo cubre casos en que los datos son usados directamente por uno o varios sistemas “a efectos legales” (v.gr. cuando alguien manipula algún sistema de interconexión oficial con el fin de generar alguna falsa representación de la realidad en parte del operador); y también casos de alteración de bases de datos para la emisión de documentos electrónicos o físicos con datos que no son fidedignos (v.gr. cuando alguien manipula, por ejemplo, el sistema de generación automática de certificados de título del Poder Judicial, de modo que emita certificados que habrán de ser tenidos por auténticos).

Trigésimo Octavo: Que, por el contrario, la lógica del proyecto refiere a las hipótesis de “la falsificación documental” según la normativa nacional, que regula documentos y no datos. Supone que los datos pueden encontrarse en documentos públicos o privados y hace depender de ello su punibilidad.

La razón de ser del delito de falsedad informática en el Convenio de Budapest no dice relación con lo privado o público del dato (en el sentido que los documentos pueden ser privados o públicos) sino más bien con la posibilidad de que estos puedan ser auténticos o inauténticos (según si han sido incluidos en el sistema de acuerdo a las reglas que rigen su incorporación, sea este mecanismo automatizado o realizado por un humano), y pueden servir para generar documentos o decisiones oficiales. Cabría, entonces, aclarar la redacción y adoptar la lógica de la Convención, en la que el delito se construye por referencia a datos, y no a documentos o sistemas públicos o privados en los que puedan estar éstos incorporados, para cumplir adecuadamente su mandato de incriminación.

(v)La incorporación del nuevo delito de fraude informático.

Trigésimo Noveno: Que el artículo 6 de la propuesta incorpora el nuevo delito de fraude informático, conforme al mandato de criminalización del artículo 8 del Convenio de Budapest, tal como puede verse en el siguiente cuadro:

Cuadragésimo: Que al igual que en el caso del delito de falsificación informática, el delito de fraude informático sigue en la propuesta una estrategia regulatoria distinta a la empleada en la Convención de Budapest. En ésta, se persigue la causación de perjuicio patrimonial mediante dos expedientes distintos:

a.La manipulación de los datos que componen un sistema informático, como el caso de aquel que introduce un depósito ficticio en los datos de una cuenta corriente electrónica.

b.La interferencia (ilícita) en el funcionamiento de un sistema informático, con ánimo de lucro. Por ejemplo, el caso de quien interfiere mediante una tarjeta adulterada en un validadores de tarjeta bip, para que éste cese de funcionar.

En la iniciativa sólo se castiga el uso de los datos o su manipulación perjudicial con la intención trascendente de obtener un beneficio económico, es decir, sólo el primer grupo de casos. En esta medida, el mandato de incriminación de la Convención parece no ser respetado adecuadamente.

Cuadragésimo Primero: Que el Senado de la República ha consultado expresamente el texto sustitutivo del artículo 219 del Código Procesal Penal, aspecto que ha sido analizado en los numerales 7 al 16 de este pre informe, que contiene diversas observaciones destinadas al perfeccionamiento del texto propuesto.

El proyecto de ley en estudio contiene otras materias, algunas de las cuales se relacionan con las facultades de los tribunales y/o con los derechos de las personas, respecto de las cuales se emiten los comentarios que se leen en los numerales 17 al 40 de este documento.

Por estas consideraciones y de conformidad, además, con lo dispuesto en los artículos 77 de la Constitución Política de la República y 18 de la Ley N° 18.918, Orgánica Constitucional del Congreso Nacional, se acuerda informar en los términos precedentemente expuestos el proyecto de ley que establece nomas sobre delitos informáticos, deroga la ley N° 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al Convenio de Budapest.

Se deja constancia que los ministros señores Fuentes y Blanco y señoras Chevesich y Muñoz S. fueron del parecer de informar únicamente lo concerniente a lo expuesto en los motivos 1° a 16° que preceden, por estimar que lo expresado en los fundamentos 17° y siguientes, excede la competencia que a esta Corte le confiere el artículo 77 de la Constitución Política de la República en la materia.

Ofíciese.

PL N° 2-2019”

Saluda atentamente a V.S.

SERGIO MUÑOZ GAJARDO

Presidente (S)

MARCELO DOERING CARRASCO

Secretario (S)

ACTUALIZACIÓN DE LEGISLACIÓN CHILENA EN MATERIA DE DELITOS INFORMÁTICOS Y CIBERSEGURIDAD

El señor QUINTANA ( Presidente ).-

Proyecto de ley, iniciado en mensaje de Su Excelencia el Presidente de la República , en primer trámite constitucional, que establece normas sobre delitos informáticos, deroga la ley N° 19.223 y modifica otros cuerpos legales, con el objeto de adecuarlos al Convenio de Budapest, con informe de la Comisión de Seguridad Pública y urgencia calificada de "simple".

--Los antecedentes sobre el proyecto (12.192-25) figuran en los Diarios de Sesiones que se indican:

Proyecto de ley:

En primer trámite: sesión 65ª, en 7 de noviembre de 2018 (se da cuenta).

Informe de Comisión:

Seguridad Pública: sesión 87ª, en 9 de enero de 2019.

El señor QUINTANA (Presidente).-

Tiene la palabra la señora Secretaria.

La señora BELMAR (Secretaria General subrogante).-

El principal objetivo del proyecto es actualizar la legislación chilena en materia de delitos informáticos y ciberseguridad y adecuarla tanto a las exigencias del Convenio sobre la Ciberdelincuencia del Consejo de Europa, conocido como "Convenio de Budapest", del cual Chile es parte, cuanto a la evolución de las tecnologías de la información y la comunicación, todo ello para dar un tratamiento más comprensivo del contexto en que se cometen estos ilícitos y subsanar la carencia de medios suficientes para su investigación.

La Comisión de Seguridad Pública discutió este proyecto solamente en general y aprobó la idea de legislar por la unanimidad de sus miembros presentes, Senadores señores Allamand, Insulza y Kast.

Cabe tener presente que los artículos 8°, inciso tercero; 11 y 13, así como los artículos 218 bis, 219 sustitutivo y el nuevo inciso sexto del artículo 222 (contenidos en los numerales 1), 2) y 3), letra b), del artículo 16, respectivamente) tienen el carácter de normas orgánicas constitucionales, por lo que requieren para su aprobación 25 votos favorables.

El texto que se propone aprobar en general se transcribe en las páginas 41 a 48 del primer informe de la Comisión y en el boletín comparado que Sus Señorías tienen a su disposición.

Nada más, señor Presidente .

El señor QUINTANA ( Presidente ).-

En la discusión general de la iniciativa, tiene la palabra el Presidente de la Comisión de Seguridad Pública, Senador señor Insulza.

El señor INSULZA.-

Señor Presidente, estoy dando este informe en calidad de Presidente dimisionario de la Comisión.

Como es sabido, la política nacional sobre ciberseguridad considera un conjunto de iniciativas legales relevantes, que configuran el marco sobre seguridad y definen la gobernanza en esta área. Actualmente, está en discusión en el Congreso Nacional la protección de datos personales, del mercado financiero, etcétera.

Tratándose de un asunto dinámico que discurre al compás del avance tecnológico, es necesario tener una política de Estado acorde con los convenios internacionales. Aquello permite el intercambio de información y mejores prácticas para investigar los ilícitos que se puedan cometer, los cuales día a día van naciendo, porque la creatividad también puede ser muy perjudicial.

Ahora bien, este proyecto, en términos sintéticos, tiene por objeto actualizar la legislación chilena en materia de delitos informáticos y de ciberseguridad (según las normas del Convenio sobre Ciberdelincuencia del Consejo de Europa, llamado "Convenio de Budapest", del cual Chile es parte), como también respecto de la evolución de las tecnologías de la información, para dar un tratamiento más comprensivo del contexto en que se cometen estos delitos.

En ese marco, señor Presidente , el proyecto propone derogar la ley N° 19.223, sobre las figuras penales relativas a la informática, para establecer una normativa especial que se refiera a las nuevas formas delictivas, a partir de recientes desarrollos de esta área del conocimiento científico.

Contempla enmiendas tales como la reformulación de los tipos penales y su adecuación al Convenio de Budapest, en el ámbito del sabotaje y espionaje informático relacionados con el acceso ilícito a un sistema informático y con el ataque a la integridad del sistema y de los datos; de la interceptación o interferencia indebida y maliciosa de transmisiones no públicas entre sistemas informáticos y la captación ilícita de datos transportados; de la falsificación informática, y del fraude informático.

Además, se incluyen circunstancias modificatorias especiales de responsabilidad penal, y se incorporan reglas especiales para esta clase de procedimientos, junto con reformas al Código Procesal Penal.

Ahora bien, en la Comisión se hicieron ver con claridad las dificultades cada vez mayores que tiene la persecución de este tipo de delitos y la necesidad de estar permanentemente en procesos de transformación en este ámbito.

Asimismo, se dio cuenta de la relación que existe entre algunos de los ilícitos y el crimen organizado internacional, que, por los montos involucrados, generan actividades de lavado de dinero, de simulación de su origen, los cuales trascienden las fronteras nacionales.

Por lo tanto, los miembros de la Comisión consideramos la necesidad de actualizar la normativa y revisar algunos de los aspectos de la propuesta del Ejecutivo -presentada hace pocos meses- por sus implicancias jurídicas, las cuales tienen que ver con la encriptación, con el obstaculizar la acción de la justicia y con lo relativo a las obligaciones -bastante discutidas- de las empresas de telefonía y de telecomunicaciones en orden a mantener, durante cierto lapso y sin condiciones, datos relativos al tráfico de internet de sus clientes, lo cual ciertamente puede generar un problema sustantivo para la protección de la vida privada.

Nosotros esperamos que se introduzcan enmiendas a esta iniciativa en la discusión en particular, para alinearla con las exigencias contenidas en los instrumentos jurídicos internacionales. Pero para ello es necesario aprobar la idea de legislar, la cual fue acogida por la unanimidad de los miembros presentes de la Comisión.

Muchas gracias, señor Presidente.

El señor DE URRESTI (Vicepresidente).-

Ofrezco la palabra.

Está inscrito el Senador señor Harboe.

Tiene la palabra, Su Señoría.

El señor HARBOE.-

Señor Presidente , según el World Economic Forum, entre el 2008 y el 2018 (en los últimos diez años) los ciberataques se han multiplicado por 125.

De acuerdo a la OCDE, según un estudio del 2017, el año 2015 hubo 60 millones de incidentes reportados en materia de ciberseguridad.

En términos de recursos, dicha organización proyecta para el 2019 que el costo por el cibercrimen será de cerca de 2,1 trillones de dólares; y para el 2018 se estimó que las ventas de tecnologías de ciberseguridad llegarían a alrededor de 93 billones de dólares.

El problema que tenemos es que mientras el resto del mundo invirtió 105 mil millones de dólares, América Latina invirtió solo 4 mil millones de dólares.

Lo anterior nos deja en un grado de vulnerabilidad tecnológica muy muy complejo.

Pensemos en el caso chileno.

En abril del 2018 hubo un ataque al Ministerio de Transportes consistente en el robo de todos los datos de personas que buscaban pagar multas de tránsito, las cuales fueron contactadas por correo electrónico. Luego, en el mes de mayo, el Banco de Chile fue objeto de un robo cercano a los 10 millones de dólares. Posteriormente, en julio, 18 entidades financieras sufrieron el robo de millones de datos de tarjetas de crédito. Y, finalmente, casi al terminar el año 2018, el Grupo Consorcio sufrió un ciberataque que le costó cerca de 2 millones de dólares.

La inversión de entidades financieras en Chile en materia de ciberseguridad llega al 0,007 por ciento del PIB, mientras que la de sus homólogas internacionales es de 0,12 por ciento del PIB. Es decir, estamos bastante más abajo en este rubro que el promedio mundial.

Los efectos de los ciberataques son: daño reputacional; afectación de continuidad de servicios; riesgo operacional; pérdida de valoración de mercado, etcétera.

¿Qué nos falta en Chile?

Una verdadera política pública en esta materia, con una estrategia nacional; con una ley de ciberseguridad -todavía en discusión en el Gobierno-; con una ley de infraestructura crítica; con una institucionalidad responsable; con una ley de protección de datos personales y, particularmente, con este proyecto de ley de delitos informáticos.

¿Por qué es tan importante una iniciativa de ley de delitos informáticos?

Porque permite actualizar la normativa vigente. Pensemos que la de nuestro país es del año 1993, ¡antes de que existiera Facebook, Twitter, las redes sociales y de que internet fuera de uso masivo!

De aquella época es la legislación que nos rige.

Los tipos penales están completamente desactualizados y la verdad es que no ayudan en ningún sentido a controlar los ataques del cibercrimen y tampoco a hacerse cargo de las nuevas realidades delictuales.

Es muy importante considerar que este proyecto de ley contempla diecisiete artículos permanentes y tres transitorios, los cuales proponen derogar la ley N° 19.223; reformular los tipos penales y su adecuación al Convenio de Budapest; establecer las circunstancias modificatorias especiales de responsabilidad, sea para atenuarla o para agravarla; incorporar reglas especiales para esta clase de procedimientos, junto con modificaciones al Código Procesal Penal, que permitan a los fiscales una eficaz investigación de este tipo de delitos.

Finalmente, se incluyen definiciones sobre "datos informáticos" y "sistema informático".

Quiero señalar, señor Presidente , que en un reciente encuentro que tuvimos en el marco del Diplomado de Ciberseguridad de la Facultad de Derecho de la Universidad de Chile un conjunto de académicos reflexionamos sobre esta materia, y surgieron varias dudas y recomendaciones para perfeccionar este proyecto, que obviamente abordaremos por la vía de las indicaciones durante su discusión en particular.

Por ejemplo, falta la definición de "bien jurídico protegido", porque la iniciativa usa una técnica fenomenológica, es decir, parte de casos y no de definiciones específicas; y del llamado "daño serio", contemplado en el mismo cuerpo legal propuesto.

Asimismo, falta incorporar criterios objetivos para la calificación de la seriedad del daño y agregar un catálogo de bienes jurídicos.

La Corte Suprema hizo observaciones también sobre el particular.

Recuerdo que el profesor Alejandro Hevia señaló que había que tener cuidado con la utilización de los conceptos, porque el legislador no es experto en materia de informática. Por tanto, el solo hecho de incorporar el concepto de sistemas computacionales podía generar la penalización de todos los académicos e investigadores que afectaran procesos informáticos para diseñar los mecanismos de defensa.

En consecuencia, es importante avanzar en este proyecto y hacerle correcciones en su discusión en particular.

Señor Presidente , yo celebro que el proyecto se encuentre en discusión. Espero que tengamos una pronta tramitación en la Comisión de Seguridad Pública, y que se dé un plazo adecuado para presentar indicaciones a fin de corregir aquellos aspectos relevantes.

No obstante, esto significa un tremendo avance, que va a ser complementario. Porque el proyecto de delitos informáticos que nos ocupa va de la mano con el de datos personales, el cual prontamente se pondrá en discusión en particular en la Comisión de Constitución del Senado, ya que lo que buscan los ciberdelincuentes es sustraer recursos económicos, pero también robar datos. El dato hoy día es un elemento muy transado en el mundo de la deep web y la dark web.

De ahí que toda medida de ciberseguridad que se perfeccione va a significar una mayor protección de los datos personales.

Por eso, señor Presidente, voy a concurrir con mi voto favorable en esta etapa del proyecto y en la discusión en particular presentaremos indicaciones para poder perfeccionarlo.

Además, aprovecho de pedir, si es posible, que se abra la votación.

He dicho.

)------------(

El señor DE URRESTI (Vicepresidente).-

Tiene la palabra la señora Secretaria.

La señora BELMAR (Secretaria General subrogante).-

Ha llegado a la Mesa un informe de la Comisión de Minería y Energía recaído en el proyecto, en primer trámite constitucional, que modifica la Ley General de Servicios Eléctricos para establecer que la instalación de equipamientos nuevos, así como la revisión y reparación de empalmes y medidores, sea de cargo exclusivo de la respectiva distribuidora (boletín N° 12.443-08).

--Queda para tabla.

El señor DE URRESTI (Vicepresidente).-

Tiene la palabra el Senador señor Bianchi.

El señor BIANCHI.-

Gracias, señor Presidente.

El proyecto de ley recién individualizado, entre cuyos autores se encuentran usted y quien habla, aparte de varias Senadoras y Senadores más, ha vuelto a cobrar importancia.

Hoy día la propia Ministra ha dado cuenta del interés en revertir la situación que se presenta. La gran mayoría de los Senadores, entre otros el señor García-Huidobro, la señora Provoste, el señor Guillier, etcétera, pertenecientes a la Comisión de Minería y Energía, votaron dicha iniciativa en general y en particular, manifestando su interés en que el Senado se pronunciara sobre esta materia.

Por lo tanto, ¿será posible colocar tal proyecto en primer lugar de la tabla del próximo martes?

Se trataría de su discusión en general y particular, si así le pareciera a la Sala.

El señor DE URRESTI (Vicepresidente).-

¿Habría acuerdo en tal sentido?

El señor HARBOE.-

Sí, por supuesto.

El señor DE URRESTI (Vicepresidente).-

Tiene la palabra el Senador señor Navarro.

El señor NAVARRO.-

No estoy de acuerdo, señor Presidente.

En la Sala se dio cuenta ayer de una iniciativa de ley que considero mucho más completa, más integral, más trabajada y reposada que la que se ha señalado. Por tanto, me gustaría que fuera vista por la Comisión de Minería y Energía.

Dicho proyecto contiene aspectos fundamentales, en cuanto a calidad, a voluntariedad y, particularmente, a privacidad, porque han de saber Sus Señorías que mediante estos medidores inteligentes es posible averiguar si hay personas en la casa, si alguien prendió la luz de un dormitorio. ¡Todo! Esa información, además, puede ser extraída por un hacker, tal como lo han señalado todos los informes internacionales, fundamentalmente de Holanda y Alemania.

Por lo tanto, yo estaría disponible para lo que se plantea. Sin embargo, quisiera que las materias que señalo se incorporaran también. Y una medida que podemos adoptar cuando hay varios proyectos similares sería refundirlos.

El señor DE URRESTI ( Vicepresidente ).-

Señor Senador, lo relativo a la tabla lo acordaremos en la reunión de Comités del próximo martes. En todo caso, pondremos el mayor esfuerzo para que podamos discutir una materia que afecta a muchas comunidades. Sin embargo, le recuerdo que hay varias iniciativas que se hallan en estado de ser consideradas por el Senado.

)----------(

El señor DE URRESTI (Vicepresidente).-

Continua la discusión general del proyecto que nos ocupa.

El señor HARBOE.-

Pido que se abra la votación, señor Presidente.

El señor DE URRESTI ( Vicepresidente ).-

¿Les parece a Sus Señorías?

Acordado.

En votación la idea de legislar.

--(Durante la votación).

El señor DE URRESTI (Vicepresidente).-

Tiene la palabra el Senador señor Allamand.

El señor ALLAMAND.-

Señor Presidente, le agradezco la posibilidad de intervenir respecto de esta iniciativa, la cual vamos a votar favorablemente.

En línea con lo expuesto por los Senadores Insulza y Harboe, debo decir que este proyecto implica una doble actualización.

La primera tiene que ver con la legislación vigente sobre delitos informáticos, que -según se señaló- data de 1993.

Como usted comprenderá, la cantidad de avances tecnológicos producidos en todos estos años son de enormes dimensiones como para que sigamos funcionando con una normativa que tiene un par de décadas de antigüedad.

La segunda nos permite empezar a dar cumplimiento al Convenio sobre Ciberdelincuencia, básicamente al denominado "Tratado de Budapest", que, entre paréntesis, es del año 2001.

Entonces, señor Presidente , estamos actualizando nuestra legislación en la materia en una doble perspectiva.

Ahora, ¿qué hace la ley en proyecto? Fundamentalmente, tres cosas.

En primer lugar, tipifica los delitos informáticos, particularmente los de perturbación informática, acceso ilícito, interceptación ilícita, daño informático, falsificación informática, fraude informático y abuso de dispositivos.

En verdad, en algunos casos se trata de delitos nuevos, y en otros, de actualizaciones de delitos que ya figuraban en nuestra legislación.

Sin embargo, como estamos votando en general el proyecto, cabe hacer notar que, desde el punto de vista de la técnica legislativa, va a ser necesario perfeccionar significativamente los tipos penales de estos delitos durante la discusión particular.

En segundo lugar, crea un mecanismo de cooperación eficaz, el cual -valga la redundancia- puede resultar particularmente eficaz para perseguir tales delitos.

Y, en tercer lugar, plantea una modificación a la ley que establece la responsabilidad penal de las personas jurídicas en los delitos de lavado de activos, financiamiento del terrorismo y delitos de cohecho, para que ellas también respondan cuando incurran en acciones que configuren los tipos penales consignados en la nueva legislación.

Señor Presidente , la ley en proyecto constituye un gran avance, pero será necesario introducirle perfeccionamientos durante la discusión en particular.

Voto a favor.

El señor DE URRESTI (Vicepresidente).-

Tiene la palabra el Senador señor Araya.

El señor ARAYA .-

Señor Presidente , el proyecto que estamos votando busca poner a tono nuestra legislación en materia de delitos informáticos, la cual -según se ha dicho- data de 1993, y, en la práctica, no ha sufrido ninguna modificación sustancial que permita perseguir los ilícitos que se cometen a través de medios electrónicos. Básicamente, por interpretaciones jurisprudenciales se han ido adecuando algunos tipos penales.

En esa línea, esta iniciativa busca actualizar la legislación chilena y cumplir con las exigencias del Convenio sobre la Ciberdelincuencia del Consejo de Europa, conocido como "Convenio de Budapest".

Hoy nuestro país exhibe una alta tasa de conectividad a Internet (específicamente, la Región que represento, la de Antofagasta, tiene la más alta de Chile), y vemos cómo día a día muchos ciudadanos se nos acercan porque han sido víctimas de algún delito informático: fraude, robo de sus datos electrónicos, entre otros.

En esa línea, quiero destacar algunos aspectos del proyecto.

En primer término, se crean nuevos delitos informáticos, nuevas figuras penales.

Aquí quiero hacer un primer comentario, pues se optó por una fórmula de definición de conceptos que, a mi juicio, puede ser un poco compleja si buscamos mantener una legislación penal que permita perseguir los ilícitos que se cometen.

Esto, obviamente, lo señalaremos durante la discusión particular, y presentaremos algunas indicaciones para precisar los tipos penales que se están construyendo mediante la ley en proyecto.

En seguida, con respecto a la materia penal que se está regulando, tengo dos observaciones que me gustaría dejar planteadas desde ya.

La primera dice relación con la creación de la figura de "cooperación eficaz". Se establece una norma que le permite al Ministerio Público bajar la pena en un grado cuando exista cooperación eficaz. En tal sentido, se define qué se entiende por cooperación eficaz, quiénes pueden acceder a dicho beneficio, en fin.

Ello me provoca una serie de dudas, pues cuando uno hace una primera lectura de la norma pertinente tiende a entender que se trata de una atenuante en materia penal. Pero analizando más en detalle su texto parece más bien un mecanismo de negociación de penas del Ministerio Público con quien ha cometido el delito.

Entonces, esa es una materia que debemos resolver, porque al menos nuestro sistema procesal penal no está construido sobre la base del mecanismo de negociación de penas.

La segunda tiene que ver con la redacción de las agravantes que se proponen en el proyecto. A mi entender, varias de ellas están bastante mal construidas, con definiciones poco claras y que no se condicen con los tipos penales que se sancionan. Por ejemplo, se plantea como agravante la encriptación de datos con el objeto de impedir la acción de la justicia.

Todos sabemos que en nuestro país impedir la acción de la justicia no está sancionado penalmente. Lo que existe es la figura de la "obstrucción a la investigación", que se introdujo con ocasión de la reforma procesal penal.

Esos son los comentarios generales que deseo dejar consignados en materia penal.

Ahora bien, hay una cuestión adicional que me preocupa y que debe discutirse con tranquilidad tanto en la Comisión como en la Sala del Senado, que tiene que ver con las normas que modifican los artículos 219 y 222 del Código Procesal Penal en lo tocante a la interceptación de comunicaciones.

Efectivamente, el proyecto avanza en una definición bastante más amplia sobre qué se entiende por "interceptación de comunicaciones": no solo se refiere a las interceptaciones telefónicas o a las electrónicas, sino que establece una serie de conceptos que me parecen adecuados.

Sin embargo, creo que hay un error en la regulación que se propone al respecto, pues se confunden dos conceptos que no guardan relación. Por ejemplo, se regulan de la misma manera los llamados "datos de contenido" (se refieren a los mensajes que se envían, en fin), y se los compara con los metadatos, que es la información que uno puede obtener sobre la hora, el lugar en que se encontraba la persona que mandó el mensaje.

Tengo la impresión de que aquí debe establecerse una definición bastante fina y detallada sobre qué se entiende por cada uno de esos conceptos y cuál es la atribución que se está pidiendo.

Porque hay que recordar que hoy día el Código Procesal Penal distingue dos situaciones.

En primer lugar, en el caso del artículo 219, impone a las empresas de telecomunicaciones la obligación de entregar la información que tengan en su poder. Por ejemplo, el tráfico telefónico de una persona.

En segundo lugar, el artículo 222 del referido Código regula un aspecto distinto: la autorización de la interceptación de las comunicaciones.

Como viene el proyecto, no queda muy clara esa diferencia, que es bastante importante. Porque una cosa es la información que posee la empresa, y otra, la información que pueda obtener el Ministerio Público respecto de las interceptaciones.

Creo que esa materia debe definirse con claridad en la Comisión cuando discuta en particular esta iniciativa.

Por último, existe otro asunto que también ha de corregirse, que tiene que ver con la conservación de la información.

La ley en proyecto plantea que las empresas de telecomunicaciones tienen la obligación de conservar a lo menos por dos años la información que posean, sean metadatos o datos de contenidos.

Obviamente, aquello puede significar una afectación de las garantías constitucionales, especialmente las relacionadas con la privacidad. Por eso, estimo que debe haber una definición más clara sobre el particular.

Yo soy de los que creen que acá, más que establecer un plazo mínimo, debiéramos fijar un plazo máximo en que debe guardarse la información pertinente, cautelando, además, aquello que pueda afectar la intimidad de las personas.

Por todo lo expuesto, voto a favor de este proyecto, pues, sin duda, me parece un avance importante en una materia cuya regulación es absolutamente necesaria para la economía digital de nuestro país.

El señor DE URRESTI (Vicepresidente).-

Tiene la palabra el Senador señor Huenchumilla.

El señor HUENCHUMILLA.-

Señor Presidente , la iniciativa que nos ocupa tiene por objeto colocar al día nuestra legislación con relación al avance que ha experimentado la normativa en materia de delitos informáticos fundamentalmente en Europa. Y la vamos a votar favorablemente, pues nos parece que su idea matriz se halla vinculada con la modernización de nuestras leyes en lo que respecta a las nuevas tecnologías, las que en el resto del mundo se encuentran muy reguladas mediante el Convenio de Budapest, que entró en vigencia en 2004 y fue ratificado por Chile en 2017.

Por lo tanto, de lo que se trata aquí es de que la vieja, obsoleta legislación de 1993 que regula esta materia pueda alcanzar hoy día un estándar internacional, de acuerdo con las normas del Convenio de Budapest.

Según la Policía de Investigaciones, en Chile los delitos informáticos aumentaron en 74 por ciento en 2017. Entonces, este proyecto viene a establecer normas que permitan enfrentar de manera mucho más moderna ese tipo de ilícitos.

Ciertamente, en la discusión particular tendremos que entrar a analizar lo relativo a las nuevas definiciones, a los nuevos delitos, a las adecuaciones, a las regulaciones procesales, es decir, a todo lo que han expresado acá los distintos Senadores.

Por consiguiente, la idea central que contiene esta iniciativa, esto es, la actualización de la legislación chilena en materia de delitos informáticos, merece ser votada afirmativamente. Reitero que en la discusión particular veremos el detalle de lo que se ha planteado en la Sala.

Voto a favor.

El señor DE URRESTI (Vicepresidente).-

Tiene la palabra el Senador señor Pugh.

El señor PUGH.-

Señor Presidente, es un muy buen anuncio saber que estamos a la altura del desafío de la sociedad digital segura.

Chile, al igual que el resto de los países que se están globalizando, se encuentra expuesto a riesgos que cruzan sus fronteras. Por eso es tan importante entender qué significa el ciberespacio, que es donde acontecen la mayoría de estos delitos.

El ciberespacio, en la práctica, no es la nube: son los cables de fibra óptica que van bajo el mar. El 99,9 por ciento del tiempo están ocurriendo ahí las transacciones. Finalmente, la evidencia del delito queda registrada en discos duros en los lugares donde se ha producido una sustracción, un cambio, o, incluso, en la memoria RAM de los computadores, la cual se pierde cuando ellos se apagan.

Hago presente esto, pues se trata de una materia netamente técnica.

Con el Senador Elizalde tuvimos la oportunidad de asistir, en representación del Congreso Nacional, al Parlamento Europeo para conocer el estado de avance con respecto a las nuevas tecnologías. Europa en este sentido se coloca a la vanguardia en cuanto a tratar de establecer un estándar internacional en la materia.

Chile, con su origen europeo, ha adherido perfectamente a todo, no solo al Convenio sobre la Ciberdelincuencia del Consejo de Europa, conocido como "Convenio de Budapest", sino también al reglamento europeo de protección de datos.

Esos son los elementos esenciales de la nueva normativa sobre ciberseguridad. Por ello es tan importante entender su significado.

Proteger los datos personales es algo que está garantizado en la Constitución: ese fue uno de los grandes cambios que impulsó el Senado el año pasado. Pero ahora nos corresponde avanzar en la materia a fin de perseguir el delito donde ocurra.

Con este instrumento hoy día se obtienen esas dos cosas: convenios necesarios para que las policías puedan coordinarse y, lo que es más relevante, recursos que provee la Unión Europea para capacitar a nuestros fiscales, al Ministerio Público, a nuestras policías, que deben contar con los elementos y conocimientos necesarios al objeto de enfrentar esta nueva realidad.

La sociedad digital es compleja; está fuertemente vinculada con redes, con información. Y los datos se deben proteger.

Los criminales están actuando en ese escenario. Estos pueden ser adolescentes que parten incursionando en el campo de la tecnología y terminan haciendo mal uso de ella -la tecnología no es buena ni mala; eso va a depender de cómo sea utilizada-, así como actores estatales.

Ahí surge la necesidad de comprender que este fenómeno no lo debe analizar solo una Comisión, aquella que se ha designado para discutir los problemas de quienes transitan por la frontera digital, que no es la frontera física a la que estábamos acostumbrados (aquí mismo puede haber actores, a través de las redes wifi): desde los actores estatales hasta el ciberdelincuente.

El significado de aquello es un asunto que debe resolverse en Comisiones unidas de Seguridad Pública y de Defensa, entendiendo que el delito puede considerarse incluso una agresión al Estado de Chile.

Aquí hablamos de los ciberataques.

Es muy difícil, entonces, saber quién se halla detrás de un acto ilícito que se está cometiendo a través de sistemas informáticos, de redes. ¿Es un cibercriminal? ¿Es un hacker? ¿Es de nuestro país? ¿Viene del extranjero? ¿Es un actor estatal?

Esa es la complejidad que precisamente se pretende solucionar.

El Gobierno del Presidente Piñera va a avanzar en una nueva institucionalidad en materia de ciberseguridad, en una ley marco. Y para que la normativa que se plantee funcione se necesita como base el Convenio sobre ciberdelincuencia. Entiendo que posteriormente discutiremos en particular cada uno de sus artículos.

Se trata de un tema complejo, muy serio y oportuno, que le va a permitir a nuestro país ponerse en marcha digitalmente, pero no solo con la transformación digital, sino también con la ciberseguridad.

Esa sociedad digital segura es la que tenemos que construir.

Por eso necesitamos buenos instrumentos legislativos, buenas leyes, capaces de estar a la altura de lo que necesitamos; y también precisamos que ellos sean dinámicos, pues este proceso cambia, muta constantemente.

Nuestra institucionalidad viene del papel, y podemos proteger aquella información y las transacciones que se realizan con él. Pero hoy las transacciones electrónicas, la información que reciben las bases de datos, los procesos mundiales y globalizados nos obligan a estar a la altura.

El Convenio de Budapest, señor Presidente , nos permite estar dentro de los 56 países que van a la vanguardia en el mundo en la materia, porque somos signatarios. Por eso tenemos que hacer lo propio, e incorporarlo en nuestra legislación. Y lo más importante: que sea el estándar de trabajo de todos. Porque en ciberseguridad nadie falta; todos deben contribuir.

Si ocurre un delito, las policías tienen que estar preparadas para que los fiscales puedan dirigir las investigaciones, y el Poder Judicial ha de actuar donde sea, no solo en nuestro país, sino también en el extranjero.

Por todo lo expuesto, creo que se trata de una importante iniciativa, y la voto a favor.

El señor DE URRESTI (Vicepresidente).-

Tiene la palabra el Senador señor Navarro.

El señor NAVARRO .-

Señor Presidente , ciertamente, la actualización legislativa respecto de la protección de datos y, en particular, de los sistemas de comunicación es bienvenida. El Convenio de Budapest hace un aporte fundamental.

Pero de la lectura del informe de la Comisión especialista se aprecia un conjunto de elementos que van a tener que ser revisados; en especial, lo relacionado con la penalización de aquellos que busquen fragilidad en los sistemas y encripten programas o los escudriñen tratando de establecer vulneraciones que permitan perfeccionar la defensa.

El Coordinador Académico del Centro de Derecho Informático de la Universidad de Chile hizo presente que el Pentágono les paga a hackers para que ataquen sus sistemas de seguridad y encuentren vulnerabilidades con el objeto de mejorarlos. Es precisamente la debilidad de los sistemas de seguridad informática la que permite que se desarrollen estos mecanismos.

Por lo tanto, la legislación tiene que distinguir muy bien entre las acciones que permiten buscar debilidades en los sistemas y aquellas que pretenden violarlos o violentarlos.

Asimismo, el académico de la Facultad de Ingeniería de la Universidad de Chile formuló un conjunto de observaciones sobre el particular.

Entonces, señor Presidente, habrá que cuidar muy bien que la normativa propuesta cumpla con el objetivo deseado.

En tal sentido, la pregunta es cómo estamos por casa. Porque se trata de un instrumento que sanciona, que establece penalidades. Y nuestra obligación no es solo cumplir con lo que estipula el referido Convenio, sino también actuar en consecuencia. De manera que sería bueno saber cuánto están invirtiendo en ciberseguridad el Congreso Nacional, el Estado de Chile, las Fuerzas Armadas.

Gracias al Senador Pugh tuve la posibilidad de estar un año en la Comisión de Defensa. Ahí escuchamos en más de una oportunidad a expertos que nos señalaron que la guerra moderna no necesita despegar ningún misil; que la guerra moderna significa inhabilitar la posibilidad del disparo de misiles, o contrariar o reventar las redes de telecomunicaciones e informáticas de los centros de operación de la defensa.

Creo, pues, que el Senado tendrá que conocer qué están utilizando en materia de protección las Fuerzas Armadas y los organismos del Estado.

Si vamos a establecer que son delitos la violación de los sistemas de seguridad y los ataques cibernéticos, no solo debemos sancionarlos, sino también prevenirlos.

Por eso espero que en el debate presupuestario de 2019 para el año 2020 podamos encontrar un espacio a fin de debatir con el Gobierno cuáles son las medidas de seguridad que se deben adoptar con respecto a la protección de datos de los diversos órganos estatales. Porque la banca privada, a propósito de que aquí ha sido citada, ha invertido en ese aspecto.

El Banco de Chile sufrió un ataque de este tipo, que reconoció en 100 millones, pero todo indica que fue mucho más.

La banca privada tendrá que resolver sus problemas.

Mi pregunta es qué hace el Estado de Chile para proteger sus bases de datos y en materia de ciberseguridad.

Voy a votar a favor del proyecto, teniendo presente que, en forma reiterada, cada vez que se discute un proyecto de Ley de Presupuestos hemos indicado -a pesar de la molestia de los Ministros de Hacienda de turno, que han sido varios- que debemos salir de los sistemas tradicionales, que hay que optar por el software libre, que no es gratuito, que es de código cerrado. Los software de código abierto, señor Presidente, son extremadamente vulnerables.

Asimismo, hemos realizado una campaña para que el Estado pueda generar su propio sistema de creación de programas, porque estamos capturados por Microsoft. ¡Capturados, señor Presidente ! Cada vez que se compra un computador, ya sea en el Senado o en cualquiera de los otros organismos del Estado, sale más caro el programa, porque hay que pagar una patente anual por cada programa instalado en los computadores que se usan en el sistema público. Y el Estado insiste en no incorporar la creación de software libres, de código abierto, para que puedan ser modificados. Esto permitiría una mayor seguridad en todos los organismos públicos que manejan administración.

Voto a favor, señor Presidente , con la esperanza de que no discutamos solo sobre penalidad, sino también acerca de seguridad.

¡Patagonia sin represas!

¡Nueva Constitución, ahora!

¡No más AFP!

El señor DE URRESTI (Vicepresidente).-

Tiene la palabra la Senadora señora Aravena.

La señora ARAVENA.-

Señor Presidente , en nuestro país, según la IX Encuesta de Acceso y Usos de Internet, realizada en diciembre de 2017 por la Subsecretaría de Telecomunicaciones, 87,4 por ciento de los hogares manifiesta tener acceso a internet.

En ese mismo sentido, algunos estudios también realizados por dicha Subsecretaría señalan que en el período que va entre diciembre de 2013 y septiembre de 2017 los accesos aumentaron en más de 9,3 millones.

En atención a lo anteriormente expuesto y a la luz de que el desarrollo de las economías a nivel mundial ha permitido, entre otras cosas, un mayor crecimiento en diversas actividades laborales, comerciales y de servicios, es necesario tener a la vista que tal crecimiento implica diversos riesgos.

Muchos de los riesgos observados se hallan en concordancia con bienes que jurídica y penalmente se consideran relevantes, pero a la vista de nuestro actual Derecho Penal se presentan también situaciones que no se encuentran tipificadas, es decir, que no están establecidas en el Código respectivo o en las leyes.

El Convenio de Budapest entró en vigencia en Chile el 28 de agosto de 2017. Este se refiere a la ciberdelincuencia, y más específicamente a la política criminal respecto de los ciberdelitos, y busca homologar los fundamentos y la legislación del Derecho Penal que existe para estas materias.

Lo anterior también implica el establecimiento de un sistema de cooperación internacional, lo que trae consigo mayor eficacia y rapidez. Es claro que hay naciones más desarrolladas y que han elaborado, efectivamente, mejores normativas en este ámbito. Su experiencia, sin duda, será eficaz en la medida en que la podamos adaptar a nuestro país.

El Convenio ha sido ratificado por más de 50 naciones y otras han sido invitadas a hacerse parte, dentro de las cuales se encuentra Chile.

Según antecedentes de la empresa NovaRed, durante el año 2018 Chile sufrió un aumento, que es preocupante, de 59 por ciento de ataques informáticos en relación con el año anterior. Si bien los expertos señalan que es importante prevenir estos delitos, también es relevante sancionar a quienes realizan estas acciones.

En el entendido de que hay una Comisión que está trabajando el tema de una próxima ley de ciberdelito, de ciberseguridad, es lógico que hoy día apoyemos esta iniciativa. Esperamos que pronto estemos discutiendo en detalle esa normativa. Probablemente, hace veinte años no hubiéramos pensado en el avance de este nuevo mecanismo, que prácticamente en muy poco tiempo más será el que gobierne la vida de las personas.

Por lo tanto, debemos ponernos a la vanguardia en estas materias si queremos ser un país desarrollado.

El señor DE URRESTI (Vicepresidente).-

Antes de continuar dando la palabra, consulto a la Sala si le parece bien que fijemos como plazo para presentar indicaciones respecto de este proyecto el 15 de abril.

El señor SANDOVAL.-

Sí.

El señor DE URRESTI (Vicepresidente).-

Acordado.

Tiene la palabra la Senadora señora Rincón.

La señora RINCÓN.-

Señor Presidente, como ya se ha dicho, el Convenio de Budapest es importante. Por tanto, celebro la iniciativa que nos ocupa y lo relevante que ella resulta.

No cabe duda de que este es un proyecto muy relevante, y lo aprobaré en general.

Sin embargo, hay aspectos sensibles que me preocupan.

En particular, me preocupa la retención de comunicaciones del artículo 222 del Código Procesal Penal.

La disposición vigente en materia de retención de datos es más restrictiva y menos intrusiva que la propuesta en la iniciativa, porque establece solo un plazo de un año para la retención y solo se refiere al IP y no a los metadatos.

En cambio, según la propuesta del Ejecutivo, la retención de información podrá darse al menos por dos años -es decir, se fija un piso mínimo-, pudiendo optar la empresa por mantener los referidos datos en forma indefinida. La norma no establece, señor Presidente , una fecha límite.

Las empresas podrán guardar o retener, no solo un listado y registro actualizado de direcciones IP, sino también los números IP de las conexiones que realicemos los clientes; datos relativos al tráfico -origen, localización del punto de acceso a la red, destino, ruta, hora, fecha, duración- y los domicilios o residencias de sus clientes.

El punto crucial radica en que la metadata revela demasiado de la vida privada de las personas.

Y para establecer herramientas de persecución penal no es necesario tener todos los datos de las comunicaciones electrónicas de la totalidad de los habitantes guardados por las empresas de telecomunicaciones por al menos dos años.

Tampoco se limita o condiciona la retención a finalidad específica alguna.

De igual modo, no se contempla ninguna medida de protección preestablecida, por cuanto todavía no se ha dictado la ley de protección de datos personales. Esa es una normativa que -según he sabido- se está discutiendo en otra Comisión.

Sus retenedores no tienen deber de cuidado alguno y se hallan sometidos únicamente a las normas generales de responsabilidad extracontractual.

No se contemplan recursos judiciales ni responsabilidades civiles, penales y administrativas ante el incumplimiento de obligaciones por parte de los prestadores.

La cuestión, entonces, radica en que, al no existir regulaciones marco, queda abierta la posibilidad de que los datos se utilicen de cualquier manera, sin que se distinga si la persona está o no involucrada en una investigación penal.

Por tanto, el artículo en cuestión significa una amenaza sustantiva para la protección de la vida privada

La indeterminación y amplitud de la norma constituye un riesgo fundamental que, incluso, podría adolecer de vicios de constitucionalidad. El Tribunal Constitucional en reiteradas oportunidades, señor Presidente -usted como miembro de la Comisión de Constitución lo sabe-, ha resuelto que las comunicaciones privadas, incluida la mensajería instantánea, revisten carácter confidencial.

En particular, me preocupa que estas normas puedan convertirse en un banco de datos propicio para el comercio ilícito de la información y en una posible nueva fuente para ciberacoso y para las nuevas formas de violencia contra las niñas, adolescentes y mujeres.

El ciberacoso, como violencia de género, es una forma de limitación de la libertad de las personas acosadas y una manera de generar miedo y dominación en relaciones desiguales entre personas que tienen o han tenido una relación afectiva.

Incluso hemos visto que existen sitios de internet como "nido.org" donde se jactan de drogar, secuestrar, violar y extorsionar a mujeres, casi como un modo de conducta social.

Por tanto, es imprescindible que este proyecto de ley no solo incluya, sino que ponga énfasis en las víctimas de este flagelo; que se creen agravantes y medios de pruebas especiales, así como obligaciones específicas a las empresas, para la protección oportuna de niñas, adolescentes y mujeres.

Aquí existen al menos dos derechos fundamentales en juego.

El Estado no solo debe promover y proteger los datos personales, sino que también debe PREVENIR, SANCIONAR Y ERRADICAR LA VIOLENCIA CONTRA LA MUJER, a lo que se obligó suscribiendo la CONVENCIÓN DE BELÉM DO PARÁ.

Por tanto, debemos ocuparnos de ello en la discusión en particular. Por ejemplo, adoptando la solución a que llegaron en Alemania y que otorga facultades al Ministerio Público para que, respecto de un tipo de investigación particular y sin necesidad de autorización judicial, pueda solicitar a la empresa de telecomunicaciones que no borre un dato particular de determinado ámbito o de un grupo de personas en específico.

Señor Presidente, voto a favor en general, pero creo que en la discusión en particular deberemos abocarnos con detención a este proyecto.

El señor DE URRESTI (Vicepresidente).-

Tiene la palabra el Senador señor Chahuán.

El señor CHAHUÁN.-

Señor Presidente , desde el 28 de agosto de 2017 es obligatorio para Chile -y está vigente- lo que dicta el Convenio de Budapest, el cual establece como exigencia poner al día el catálogo de delitos informáticos, o sea, aquellos que se cometen a través de internet y de otros sistemas similares.

Hace pocos días conmemoramos los 30 años de internet. Y, ciertamente, tal como lo señalaban los Senadores que me precedieron en el uso de la palabra, hoy día las coberturas hablan de un amplio acceso a dicha red.

Sin embargo, creemos que esta es la oportunidad propicia, tal como lo ha señalado la Corte Suprema, de generar un avance significativo en términos de la seguridad.

La seguridad es uno de los valores que está en el centro del Programa de Gobierno del Presidente Piñera, y por eso ha impulsado este nuevo catálogo de delitos o tipos penales que, sin lugar a dudas, van a tener una reformulación. Nos referimos, por ejemplo, a tipos como la perturbación informática, el acceso ilícito al sistema informático, la interferencia o interceptación a las trasmisiones no públicas, el daño informático, la falsificación informática, el fraude informático y el abuso de dispositivos.

La iniciativa, además, contempla una atenuante especial de cooperación eficaz para el esclarecimiento de estos hechos, y también agravantes que dicen relación con la utilización de la encriptación para obstaculizar la acción de la justicia, abusar de una posición de garante en razón de su cargo o función y la afectación de la prestación de servicios de utilidad pública en determinados delitos.

En cuanto al procedimiento, otorga legitimación activa al Ministerio del Interior y Seguridad Pública y, por supuesto, a aquellos que van a asumir en el futuro las responsabilidades a nivel regional.

También establece el uso de técnicas especiales de investigación; una regla especial de comiso, y la preservación y custodia de la evidencia electrónica, según la instrucción del Fiscal Nacional.

Considera, además, modificaciones al Código Procesal Penal, entre ellas, la preservación provisoria de datos informáticos por parte de proveedores de acceso a internet, hasta la autorización judicial para su entrega; el procedimiento de entrega de copias de comunicaciones -previa autorización judicial- de datos o información acerca de las comunicaciones trasmitidas o recibidas por las empresas de telecomunicaciones, y se modifica la norma de intervención de las comunicaciones y conservación de los datos relativos al tráfico.

También se considera una modificación, sin lugar a dudas, sustantiva, que dice relación con la responsabilidad penal de las personas jurídicas. Tal como se ha avanzado en esta materia en temas como el lavado de activos, el financiamiento del terrorismo, el cohecho -aspiramos a que se incorpore también de manera decisiva, por ejemplo, el daño ambiental, ámbito en que esperamos hacer una modificación-, en este proyecto de ley se incluye la responsabilidad penal de las personas jurídicas en los delitos informáticos, lo que, con seguridad, nos permitirá llegar hasta las últimas consecuencias.

La tipificación de ilícitos penales informáticos constituye siempre una situación compleja, que tenemos que revisar en la discusión en particular, tal como lo ha pedido la Corte Suprema. La iniciativa fue aprobada por la unanimidad de la Comisión de Seguridad Pública, y esperamos que se hagan correcciones y aportes durante el debate en particular.

Finalmente, quiero señalar que aquí hay una serie de temas que es necesario abordar, tal como señalaba en su exposición la Senadora Rincón .

Lo relativo a la protección de datos personales ha estado esperando largamente su tramitación en el Parlamento.

Los vertiginosos cambios que hoy día experimenta nuestra sociedad también hablan de la necesidad de ir ajustando rápidamente y poniendo a tono nuestra legislación.

El primer proyecto sobre protección de datos personales lo presentamos hace ya más de doce años en la Cámara de Diputados. De hecho, nos acompañó quien se encuentra dirigiendo la sesión, el Senador De Urresti.

Tenemos que ponernos a tono.

El derecho al olvido también lo incorporamos como una necesidad, en cuanto a establecer que determinados datos puedan ser borrados de los sistemas de búsqueda. Este aspecto también es importante, sobre todo cuando se trata de datos o informaciones falsas que claramente afectan la dignidad y la honra de las personas.

Tener un sistema que garantice la ciberseguridad también es una materia pendiente en nuestro Parlamento.

Por tanto, yo diría que estamos avanzando. Y esperamos incorporar otros tipos penales en esta iniciativa.

Aplaudo la voluntad del Gobierno del Presidente Piñera y de los parlamentarios del Oficialismo y de la Oposición en orden a incorporar normas claras respecto del ciberacoso, que, sin lugar a dudas, es uno de los temas recurrentes y complejos.

Finalmente, en relación con lo que planteó el Senador Navarro, hemos hablado durante mucho tiempo y hemos insistido en la discusión de la Ley de Presupuestos respecto del libre. De una vez por todas tenemos que abrirnos a ese debate.

software

He dicho.

El señor DE URRESTI (Vicepresidente).-

Tiene la palabra el Senador señor Coloma.

El señor COLOMA.-

Señor Presidente , la primera reflexión que uno tiene que hacerse en esta materia es por qué, siendo el Convenio de Budapest de 2001, lo aprobamos como país en 2017. Es una reflexión muy significativa, quizás, acerca de la falta de comprensión en la materia. Obviamente, uno debe hacer un mea culpa sobre el particular respecto de la relevancia de asumir el tema de la ciberseguridad como una prioridad real y no formal en nuestro país.

Cuando yo les preguntaba a algunos miembros de la Comisión de Seguridad, con toda razón me decían: "Aquí lo importante es dar pasos categóricos en términos de vincularse y estar en la línea de asumir estos desafíos, por difíciles que parezcan".

En verdad, resulta bien difícil de comprender para todos nosotros que hayan pasado 16 años -un período largo- sin que asumiéramos un desafío que el mundo estaba advirtiendo, por lo menos los que suscribieron el Convenio en esa instancia.

Entonces, lo primero es decir que aquí estamos extraordinariamente atrasados respecto de este tema.

Y ese puede ser uno de los fundamentos de por qué hoy día -no es una explicación única, porque ocurre en muchos países- estamos sometidos a un tema de ciberseguridad, o más bien de "ciberinseguridad", respecto del cual estamos actuando en distintos frentes. Lo veo en la Comisión de Economía, en la de Hacienda, en el Banco Central.

El Banco Central, en su último informe presentado ante el Senado, señaló a la ciberseguridad como el tema que más le inquietaba. Esto resulta bastante especial considerando que, en general, el Banco Central habla de las cuentas públicas.

Entonces, aquí hay un problema que tenemos que abordar como país: la ciberseguridad. Pero se instala cuando ya los efectos son insostenibles. Probablemente, sería distinto si hubiésemos abordado antes esta tarea. Obviamente, no es responsabilidad de unos ni de otros, es una responsabilidad de país.

Yo no puedo, eso sí, dejar de ver que aquí hay siete tipos penales distintos. Estos requieren una redacción más acorde con lo que debe ser una tipificación de este tipo de delitos, que, además, juegan con algunas instituciones que se han creado y que han sido objeto de una larga discusión en este mismo Senado.

Voy a poner dos ejemplos.

La delación compensada es una materia que fue objeto de una tipificación muy compleja, en que hubo mucho esfuerzo de la Comisión de Constitución. Y uno puede revisar ese trabajo en materia de redacción de los tipos penales. Porque no basta con decir "el que ayudare". ¿Quién lo determina?, ¿cómo se determina?, ¿en qué instancia? Claro, hay algunas ideas, pero, obviamente, no son totales.

En un mundo que cambia por minuto, por segundo, uno empieza a usar cosas que van quedando en la historia. Por ejemplo, respecto de la interceptación ilícita, agregar que ese delito se comete en la medida que "indebida y maliciosamente intercepte o interfiera", tener copulativamente dos características jurídicas tan complejas y tan distintas como el "indebida" y "maliciosamente" obviamente complejiza mucho. Lo señalo porque basta que alguien declare haberlo hecho "maliciosamente" pero indicar que tenía una autorización formal para que eso deje de ser delito. O a la inversa: "Yo no debería haberlo hecho, lo hice, pero no fue malicioso". Sumar complejidades dificulta la aplicación práctica.

Pero yo me quedo con el paso que ha dado la Comisión de Seguridad en el sentido de ponernos al día en este tema, acomodar nuestra legislación al Convenio de Budapest. Creo que nos hace bien esta reflexión. Y la discusión en particular es una buena instancia para aprovechar estructuras jurídicas que se han conformado ahora último, como la Comisión para el Mercado Financiero, donde estos asuntos fueron muy profusamente debatidos. Creo que sería una buena experiencia poder replicarlo de alguna forma para que esto funcione.

No obstante, el proyecto que nos ocupa constituye un paso tardío, pero bueno, y eso hay que reconocerlo.

El señor DE URRESTI (Vicepresidente).-

Tiene la palabra el Senador señor Sandoval.

El señor SANDOVAL .-

Señor Presidente , el Convenio sobre la Ciberdelincuencia o, como se ha denominado acá, "Convenio de Budapest", en realidad fue firmado en noviembre de 2001 -como bien señaló el Senador Juan Antonio Coloma - y ratificado por Chile recién hace dos años, en 2017. Sin embargo, ocho años antes de suscribirlo, nuestro país promulgó la ley N° 19.223, que precisamente tipifica figuras penales relativas a la informática.

La firma del Convenio de Budapest obedece a la necesidad de "prevenir los actos que pongan en peligro la confidencialidad, la integridad y la disponibilidad de los sistemas, redes y datos informáticos, así como el abuso de dichos sistemas, redes y datos, garantizando la tipificación como delito de dichos actos".

Sin bien es cierto que nuestro país cuenta con la ley N° 19.223 a que hice mención, su promulgación data del año 93, una época en la cual en Chile la internet era casi inexistente.

Veamos cifras de los últimos años:

-En 2014 se producían 52,2 accesos a internet por cada 100 habitantes; es decir, la mitad de la población contaba con conexión a las diferentes redes.

-Dos años después, en 2016, el nivel de la conexión llegó a 73,8 accesos por cada 100 habitantes.

Y, sin duda, en el año en curso el vertiginoso crecimiento de las conexiones a la red ha abierto la necesidad precisamente de avanzar en una legislación que le dé sentido, seguridad y resguardo al sistema, en un mundo donde aparentemente estamos cada vez más vulnerables a los ciberataques.

El Convenio de Budapest se halla en coincidencia con la Política Nacional de Ciberseguridad planteada para Chile, que señalaba cuatro aspectos significativos: primero, resguardar la seguridad de las personas en el ciberespacio; segundo, proteger la seguridad del país; tercero, promover la colaboración y coordinación entre instituciones, y cuarto, gestionar los riesgos del ciberespacio.

Ante la situación descrita, y especialmente por los peligros a los cuales hemos hecho mención y que se han expuesto aquí ampliamente, creemos que Chile tiene que ponerse a tono con las legislaciones, con la modernidad y además con la exigencia respecto de cómo vamos entregando resguardo y seguridad a quienes hoy día tan masivamente acceden a las redes, en un proceso que abarca a prácticamente todos los espectros sociales y a todos los rangos etarios de nuestra población.

Por tal motivo, creemos que este proyecto, que se halla en la instancia de su votación en general y que será objeto de indicaciones, de observaciones en su tramitación en particular, va absolutamente en la dirección adecuada de poner a tono a Chile en una materia tan significativa como es la seguridad en el ciberespacio, en el uso de las tecnologías de la información y de las comunicaciones; y de responder también a los convenios suscritos por nuestro país en esta materia, en particular al de Budapest, que fue ratificado recién hace dos años.

Señor Presidente, no me cabe la menor duda de que esto constituye un avance y responde a una necesidad, por lo que votaremos a favor.

La señora BELMAR (Secretaria General subrogante).-

¿Alguna señora Senadora o algún señor Senador no ha emitido su voto?

El señor DE URRESTI ( Vicepresidente ).-

Terminada la votación.

--Se aprueba en general el proyecto (30 votos a favor), dejándose constancia de que se reúne el quorum constitucional requerido.

Votaron las señoras Aravena, Goic, Órdenes, Provoste, Rincón, Van Rysselberghe y Von Baer y los señores Araya, Castro, Chahuán, Coloma, De Urresti, Durana, Elizalde, Galilea, García, García-Huidobro, Harboe, Huenchumilla, Insulza, Latorre, Letelier, Montes, Navarro, Ossandón, Pizarro, Prohens, Pugh, Quinteros y Sandoval.

El señor DE URRESTI (Vicepresidente).-

Le recuerdo a la Sala que se fijó el 15 de abril como plazo para la presentación de indicaciones.

INDICACIONES FORMULADAS DURANTE LA DISCUSIÓN EN GENERAL DEL PROYECTO DE LEY, EN PRIMER TRÁMITE CONSTITUCIONAL, QUE ESTABLECE NORMAS SOBRE DELITOS INFORMÁTICOS, DEROGA LA LEY N° 19.223 Y MODIFICA OTROS CUERPOS LEGALES CON EL OBJETO DE ADECUARLOS AL CONVENIO DE BUDAPEST.

BOLETÍN Nº 12.192-25

INDICACIONES

15.04.19

TÍTULO I

DE LOS DELITOS INFORMÁTICOS Y SUS SANCIONES

1.- Del Honorable Senador señor Girardi, para reemplazarlo por el siguiente:

“TÍTULO I

DE LAS DEFINICIONES, LOS DELITOS INFORMÁTICOS Y SUS SANCIONES”

ARTÍCULO 1°

2.- Del Honorable Senador señor Durana, para reemplazarlo por el siguiente:

“Artículo 1°.- Perturbación informática. El que maliciosamente obstaculice o perturbe, total o parcialmente, el funcionamiento integral de un sistema informático, a través de cualquier tipo de acción maliciosa, será castigado con la pena de presidio menor en su grado medio a máximo. Si además se hiciere imposible la recuperación del sistema informático en todo o en parte, se aplicará la pena de presidio menor en su grado máximo.”.

3.- De Su Excelencia el Presidente de la República, para sustituirlo por el que sigue:

“Artículo 1°.- Ataque a la integridad de un sistema informático. El que indebidamente obstaculice en forma grave o impida el normal funcionamiento de un sistema informático, a través de la introducción, transmisión, daño, deterioro, alteración o supresión de los datos informáticos, será castigado con la pena de presidio menor en su grado medio a máximo.”.

4.- Del Honorable Senador señor Pugh, y 5.- de los Honorables Senadores señores Araya, Harboe e Insulza, para sustituir la expresión “Perturbación informática” por “Ataque a la integridad del sistema informático”.

6.- Del Honorable Senador señor Pugh, para reemplazar el vocablo “maliciosamente” por “deliberada e ilegítimamente”.

7.- De los Honorables Senadores señores Araya, Harboe e Insulza, para reemplazar la expresión “maliciosamente” por “de manera deliberada e ilegítima”.

8.- De los Honorables Senadores señores Araya, Harboe e Insulza, para reemplazar la expresión “o perturbe”, por “gravemente o impida”.

ARTÍCULO 2°

9.- Del Honorable Senador señor Durana, para sustituirlo por el que sigue:

“Artículo 2°.- Acceso ilícito. El que dolosamente acceda a un sistema informático será castigado con presidio menor en su grado mínimo o multa de once a veinte unidades tributarias mensuales.

Si en la comisión de las conductas descritas en este artículo se vulnerasen, evadiesen o transgrediesen medidas de seguridad destinadas para impedir dicho acceso, se aplicará la pena de presidio menor en su grado medio.”.

10.- Del Honorable Senador señor Pugh, para sustituirlo por el que sigue:

“Artículo 2°.- Acceso ilícito. El que, de forma deliberada e ilegítima, y habiendo superado alguna medida de seguridad o barrera técnica, acceda a un sistema informático, será castigado con presidio menor en su grado mínimo o multa de once a veinte unidades tributarias mensuales.

La misma pena será aplicable a aquella persona que difunda o publique la información contenida en un sistema informático, a sabiendas de que fue obtenida con infracción a las disposiciones contenidas en el inciso anterior. Si una misma persona fuese responsable de la conducta descrita en el inciso anterior y de la posterior difusión o publicación de la información contenida en dicho sistema informático, será castigado con presidio menor en su grado mínimo a medio.

No será objeto de sanción penal el que realizando labores de investigación en seguridad informática hubiere incurrido en los hechos tipificados en el inciso primero, notifique sin demora al responsable del sistema informático de que se trate, las vulnerabilidades o brechas de seguridad detectadas en su investigación.”.

11.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente:

“Artículo 2°.- Acceso ilícito. El que sin autorización y superando barreras o medidas de seguridad, acceda a un sistema informático será castigado con la pena de presidio menor en su grado mínimo o multa de once a veinte unidades tributarias mensuales.

Si el acceso fuere realizado con el ánimo de apoderarse o usar la información contenida en el sistema informático, se aplicará la pena de presidio menor en su grado mínimo a medio. Igual pena se aplicará a quien difunda la información a la cual se accedió de manera ilícita, si no fuese obtenida por éste.

En caso de ser una misma persona la que hubiere obtenido y divulgado la información, se aplicará la pena de presidio menor en su grado medio.”.

Inciso primero

12.- De las Honorables Senadoras señoras Rincón y Aravena, para sustituirlo por el que sigue:

“Artículo 2°. Acceso ilícito. El que indebida y maliciosamente acceda a un sistema informático vulnerando, evadiendo o transgrediendo medidas de seguridad destinadas para impedir dicho acceso, será castigado con presidio menor en su grado mínimo a medio.”.

13.- Del Honorable Senador señor Girardi, para reemplazar la palabra “indebidamente” por la expresión “en forma deliberada e ilegítima”.

14.- De los Honorables Senadores señores Araya, Harboe e Insulza, para reemplazar la palabra “indebidamente” por “de forma deliberada e ilegítima, y vulnerando alguna medida de seguridad”.

15.- De los Honorables Senadores señores Araya, Harboe e Insulza, para agregar a continuación de la expresión “sistema informático”, la siguiente frase: “con ánimo de conocer, apropiarse o utilizar información contenida en él”.

16.- De los Honorables Senadores señores Araya, Harboe e Insulza, para sustituir la expresión “mínimo o multa” por “mínimo y multa”.

Inciso segundo

17.- De los Honorables Senadores señores Araya, Harboe e Insulza, para reemplazarlo por el siguiente:

“La misma pena será aplicable a aquella persona que difunda, publique o comercialice la información contenida en un sistema informático, a sabiendas de que fue obtenida con infracción a las disposiciones contenidas en el inciso anterior. Si una misma persona fuese responsable de la conducta descrita en el inciso anterior y de la posterior difusión, publicación o comercialización de la información contenida en dicho sistema informático, será castigado con presidio menor en su grado mínimo a medio.”.

18.- Del Honorable Senador señor Girardi, para reemplazar la palabra “indebidamente” por la expresión “en forma deliberada e ilegítima”.

19.- De las Honorables Senadoras señoras Rincón y Aravena, para agregar después de la palabra acceda la siguiente frase: “a un sistema informático en la forma señalada en el inciso anterior, y”.

20.- De las Honorables Senadoras señoras Rincón y Aravena, para reemplazar la expresión “mínimo a medio” por “medio a máximo”.

Inciso tercero

21.- De las Honorables Senadoras señoras Rincón y Aravena, para suprimirlo.

22.- De los Honorables Senadores señores Araya, Harboe e Insulza, para sustituirlo por el que sigue:

“No será objeto de sanción penal el que realizando labores de investigación en seguridad informática hubiere incurrido en los hechos tipificados en el inciso primero, notifique sin demora al responsable del sistema informático de que se trate, las vulnerabilidades o brechas de seguridad detectadas en su investigación.”.

23.- Del Honorable Senador señor Girardi, para agregar después de la expresión “medidas de seguridad” la locución “que sea adecuado para su protección”.

o o o o o

24.- Del Honorable Senador señor Girardi, para agregar un inciso nuevo, del siguiente tenor:

“No será considerado acceso ilícito el realizado por la o las personas que acceden con finalidad de investigación, estudio o detección de vulnerabilidades de los sistemas informáticos, sin que con ello cause daño o perjuicio, debiendo informar al más breve plazo de hallazgos en materia de seguridad si existieren. Si así no lo hiciera, se presumirá que su acceso fue deliberado e ilegítimo.”.

o o o o o

ARTÍCULO 3°

25.- Del Honorable Senador señor Durana, para reemplazarlo por el siguiente:

“Artículo 3°.- Interceptación ilícita. El que indebida y maliciosamente intercepte o interfiera, a través de cualquier medio, la transmisión de datos entre sistemas informáticos públicos o privados, será castigado con presidio menor en su grado mínimo a medio.”.

26.- Del Honorable Senador señor Girardi, para sustituirlo por el que sigue:

“Artículo 3° interceptación ilícita: el que de forma deliberada e ilegítima intercepte datos informáticos en transmisiones no públicas dirigidas a un sistema informático, en los originados en el mismo sistema informático o dentro del mismo o que se transmiten por frecuencias radioeléctricas, será castigado con presidio menor en su grado mínimo a medio.”.

27.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente:

“Artículo 3°.- Interceptación ilícita. El que indebidamente intercepte, interrumpa o interfiera, por medios técnicos, la transmisión no pública de información en un sistema informático o entre dos o más de aquellos, será castigado con la pena de presidio menor en su grado medio.

El que, sin contar con la debida autorización, capte, por medios técnicos, datos contenidos en sistemas informáticos a través de las emisiones electromagnéticas provenientes de éstos, será castigado con la pena de presidio menor en su grado medio a máximo.”.

Inciso primero

28.- Del Honorable Senador señor Pugh, para reemplazar la expresión “indebida y maliciosamente” por la siguiente: “de forma deliberada y sin estar autorizado”.

29.- De los Honorables Senadores señores Araya, Harboe e Insulza, para reemplazar las palabras “indebida y maliciosamente” por “de manera deliberada e ilegítima”.

30.- Del Honorable Senador señor Pugh, y 31.- de los Honorables Senadores señores Araya, Harboe e Insulza, para agregar después de la voz “informáticos” la expresión “por medios técnicos”.

ARTÍCULO 4°

32.- Del Honorable Senador señor Durana, para sustituirlo por el que sigue:

“Artículo 4.- Daño informático. El que dolosamente altere, borre o destruya datos informáticos, será castigado con presidio menor en su grado medio, siempre que con ello se cause un daño irreparable al titular de los mismos.”.

33.- Del Honorable Senador señor Pugh, y 34.- de los Honorables Senadores señores Araya, Harboe e Insulza, para sustituir la expresión “Daño Informático”, por la siguiente: “Ataque a la integridad de los datos”.

35.- De Su Excelencia el Presidente de la República, para reemplazar la expresión “Daño Informático”, por la siguiente: “Ataque a la integridad de los datos informáticos”.

36.- Del Honorable Senador señor Pugh, para reemplazar la locución “maliciosamente altere, borre o destruya” por la siguiente: “de forma deliberada e ilegítima dañe, borre, deteriore, altere o suprima”.

37.- Del Honorable Senador señor Girardi, para reemplazar la palabra “maliciosamente” por la expresión “en forma deliberada e ilegítima”.

38.- De los Honorables Senadores señores Araya, Harboe e Insulza, para reemplazar la palabra “maliciosamente” por la expresión “de manera deliberada e ilegítima”.

39.- De Su Excelencia el Presidente de la República, para reemplazar la voz “maliciosamente” por “indebidamente”.

40.- De los Honorables Senadores señores Araya, Harboe e Insulza, para agregar a continuación de la palabra “borre,”, las palabras “deteriore, dañe, suprima”.

41.- De las Honorables Senadoras señoras Rincón y Aravena, para eliminar la frase “, siempre que con ello se cause un daño serio al titular de los mismos”.

42.- Del Honorable Senador señor Girardi, 43.- del Honorable Senador señor Pugh, y 44.- de Su Excelencia el Presidente de la República, para sustituir el vocablo “serio” por “grave”.

45.- De los Honorables Senadores señores Araya, Harboe e Insulza, para reemplazar el vocablo “serio” por “considerable”.

46.- De los Honorables Senadores señores Araya, Harboe e Insulza, para reemplazar la locución “los mismos” por “éstos mismos”.

o o o o o

47.- De las Honorables Senadoras señoras Rincón y Aravena, para consultar el siguiente inciso, nuevo:

“Si la alteración, eliminación o destrucción de datos informáticos causare daño serio al titular de los mismos, la pena se aumentará en un grado.”.

o o o o o

ARTÍCULO 5°

48.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente:

“Artículo 5°.- Falsificación informática. El que indebidamente introduzca, altere, borre, deteriore, dañe, destruya o suprima datos informáticos con la intención de que sean tomados como auténticos o utilizados para generar documentos auténticos, será sancionado con la pena de presidio menor en sus grados medio a máximo.”.

49.- Del Honorable Senador señor Pugh, para reemplazar la palabra “maliciosamente” por “de forma deliberada e ilegítima”.

50.- De los Honorables Senadores señores Araya, Harboe e Insulza, para sustituir la palabra “maliciosamente” por “de manera deliberada e ilegítima”.

51.- De los Honorables Senadores señores Araya, Harboe e Insulza, para agregar a continuación de la expresión “datos informáticos,”, lo siguiente: “generando datos no auténticos,”.

52.- Del Honorable Senador señor Pugh, para sustituir la expresión “las penas previstas en el artículo 197 del Código Penal” por la siguiente: “presidio menor en su grado medio”.

53.- De los Honorables Senadores señores Araya, Harboe e Insulza, para reemplazar la frase: “penas previstas en el artículo 197 del Código Penal”, por “pena de presidio menor en su grado medio”.

54.- Del Honorable Senador señor Girardi, para suprimir el texto que señala “; salvo que sean o formen parte de un instrumento, documento o sistema informático de carácter público, caso en que se sancionará con las penas previstas en el artículo 193 de dicho cuerpo legal”.

55.- Del Honorable Senador señor Pugh, para reemplazar la locución “las penas previstas en el artículo 193 de dicho cuerpo legal” por la siguiente: “presidio menor en su grado medio a máximo”.

56.- De los Honorables Senadores señores Araya, Harboe e Insulza, para reemplazar la frase: “las penas previstas en el artículo 193 de dicho cuerpo legal”, por “la pena de presidio menor en su grado medio a máximo”.

ARTÍCULO 6°

Inciso primero

Encabezamiento

57.- Del Honorable Senador señor Durana, para reemplazarlo por el siguiente:

“Artículo 6°.- Fraude informático. El que, causando perjuicio a otro y con la finalidad de obtener un beneficio económico ilícito para sí o para un tercero, utilice la información contenida en un sistema informático o se aproveche de cualquier forma alteración, daño o supresión de datos informáticos, será penado:”.

58.- De Su Excelencia el Presidente de la República, para reemplazar la frase “beneficio económico ilícito para sí o para un tercero, utilice la información contenida en un sistema informático o se aproveche de la alteración, daño o supresión de documentos electrónicos o de datos transmitidos o contenidos en un sistema informático,”, por la siguiente: “beneficio económico para sí o para un tercero, manipule un sistema informático, mediante la introducción, alteración, borrado o supresión de datos informáticos o a través de cualquier interferencia en el funcionamiento de un sistema informático,”.

59.- De los Honorables Senadores señores Araya, Harboe e Insulza, para reemplazar la expresión “un tercero”, por “terceros”.

60.- Del Honorable Senador señor Pugh, para sustituir la expresión “sistema informático, será penado” por la siguiente: “sistema informático o interfiera en el funcionamiento normal de un sistema informático, será penado”.

o o o o o

61.- Del Honorable Senador señor Pugh, para incorporar a continuación del artículo 7° el siguiente artículo, nuevo:

“Artículo ... - Vigilancia no autorizada. El que, sin tener el derecho legal de participar en la vigilancia, observe o vigile a otra persona para recopilar información relacionada con dicha persona, será castigado con presidio menor en su grado mínimo a medio. Si el acto es cometido por una persona jurídica, se estará a lo dispuesto en la ley N° 20.393.”.

o o o o o

ARTÍCULO 8°

62.- Del Honorable Senador señor Durana, para sustituirlo por el que sigue:

“Artículo 8°.- Circunstancia atenuante especial. Será circunstancia atenuante especial de responsabilidad penal, y permitirá rebajar la pena hasta en un grado, la cooperación que los tribunales de justicia, estimen eficaz para el esclarecimiento de hechos investigados que sean constitutivos de alguno de los delitos previstos en esta ley o permita la identificación de sus responsables; o sirva para prevenir o impedir la perpetración o consumación de otros delitos de igual o mayor gravedad contemplados en esta ley; siempre que, en todo caso, dichos delitos fueren a ejecutarse o se hubieren ejecutado por una agrupación u organización conformada por dos o más personas, o por una asociación ilícita.

Se entiende por cooperación eficaz el suministro de datos o informaciones precisas, verídicas y comprobables, que contribuyan necesariamente a los fines señalados en el inciso anterior.

La reducción de pena se determinará con posterioridad a la individualización de la sanción penal según las circunstancias atenuantes o agravantes comunes que concurran; o de su compensación, de acuerdo con las reglas generales.”.

Inciso tercero

63.- De los Honorables Senadores señores Araya, Harboe e Insulza, para suprimirlo.

ARTÍCULO 9°

64.- De los Honorables Senadores señores Araya, Harboe e Insulza, para reemplazarlo por el siguiente:

“Artículo 9º.- Circunstancias agravantes. Constituye circunstancia agravante de los delitos de que trata esta ley el cometer el delito abusando de una posición de confianza en la administración del sistema informático o custodio de los datos informáticos contenidos en él, en razón del ejercicio de un cargo o función.

Asimismo, si como resultado de la comisión de las conductas contempladas en los artículos 1° y 4°, se interrumpiese o altere el funcionamiento de los sistemas informáticos o la integridad de los datos informáticos y esto afectase o alterase la provisión o prestación de servicios de utilidad pública, tales como electricidad, gas, agua, transporte, telecomunicaciones o financieros, la pena correspondiente se aumentará en un grado.”.

Inciso primero

Número 1)

65.- Del Honorable Senador señor Girardi, y 66.- de las Honorables Senadoras señoras Rincón y Aravena, para eliminarlo.

67.- Del Honorable Senador señor Pugh, para sustituirlo por el que sigue:

“1) Utilizar ilícitamente datos personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero.”.

68.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente:

“1) Utilizar tecnologías destinadas a destruir u ocultar en una investigación penal, los datos o sistemas informáticos a través de los cuales se cometió el delito.”.

Número 2)

69.- De Su Excelencia el Presidente de la República, para sustituirlo por el que sigue:

“2) Cometer el delito abusando de su calidad de responsable, en razón de su cargo o función, del sistema o datos informáticos.”.

70.- Del Honorable Senador señor Pugh, para reemplazar la expresión “privilegiada de garante” por: “de confianza en la administración del sistema informático”.

o o o o o

71.- De las Honorables Senadoras señoras Rincón y Aravena, para consultar a continuación del número 2) el siguiente número, nuevo:

“…) Cometer el delito abusando de la vulnerabilidad, confianza o desconocimiento de niños, niñas, adolescentes o adultos mayores, o produciendo perjuicio en su contra.”.

o o o o o

o o o o o

72.- De las Honorables Senadoras señoras Rincón y Aravena, para incorporar en seguida un número nuevo, del tenor que sigue:

“…) Cometer el delito como medio o con el fin principal de ejercer violencia en contra de las mujeres, sea de forma física, psicológica, sexual, económica, simbólica o institucional.”.

o o o o o

Inciso segundo

73.- De Su Excelencia el Presidente de la República, para reemplazar la expresión “los artículos 1° y 4°” por “este título”.

74.- De Su Excelencia el Presidente de la República, para sustituir la locución “su data” por “sus datos”.

o o o o o

75.- De las Honorables Senadoras señoras Rincón y Aravena, para introducir después del artículo 9° los siguientes artículos, nuevos:

“Artículo …- Ciberamenazas contra la mujer. El que por medio de la transmisión de cualquier comunicación textual, visual, escrita u oral, a través de medios electrónicos, amenazare seriamente a una mujer con causar un mal a ella misma o a su familia, en su persona, honra o propiedad, siempre que por los antecedentes aparezca verosímil la consumación del hecho, será castigado con las penas de presidio menor en sus grados mínimo a medio si el hecho fuere constitutivo de delito y con la pena de la pena de reclusión menor en sus grados mínimo a medio si el hecho no fuere constitutivo de delito.

La condena por este delito será inscrita, además del Registro de Condenas del Servicio de Registro Civil e Identificación, en el registro de personas condenadas por actos de violencia intrafamiliar o violencia contra la mujer, y en el Registro de personas inhabilitadas para trabajar con menores de edad, si la víctima lo fuere.

Articulo ...- Revelación de datos o documentos como forma de violencia contra la mujer. El que por medio de Internet u otras tecnologías de información o comunicación (TICS) viole la privacidad de una mujer, revelando, sin su consentimiento, datos de su identidad, información personal como su dirección, nombres de sus hijos e hijas, número de teléfono o dirección de correo electrónico, o documentos personales, con el objeto causarle angustia, pánico o alarma, será castigado con la pena de presidio menor en sus grados mínimo a medio.

La condena por este delito será inscrita, además del Registro de Condenas del Servicio de Registro Civil e Identificación, en el registro de personas condenadas por actos de violencia intrafamiliar o violencia contra la mujer, y en el Registro de personas inhabilitadas para trabajar con menores de edad, si la víctima lo fuere.”.

o o o o o

ARTÍCULO 10

76.- Del Honorable Senador señor Durana, para reemplazarlo por el siguiente:

“Artículo 10.- Sin perjuicio de las reglas contenidas en el Código Procesal Penal, las investigaciones a que dieren lugar los delitos previstos en esta ley también podrán iniciarse por querella del Ministro del Interior y Seguridad Pública, de los gobernadores regionales, de los delegados presidenciales regionales y de los delegados presidenciales provinciales, cuando las conductas señaladas en esta ley interrumpieren el normal funcionamiento de un servicio de utilidad pública.”.

ARTÍCULO 11

77.- Del Honorable Senador señor Girardi, para suprimirlo.

Inciso segundo

78.- Del Honorable Senador señor Pugh, para suprimirlo.

Inciso tercero

79.- Del Honorable Senador señor Pugh, para eliminarlo.

ARTÍCULO 12

Inciso segundo

80.- De los Honorables Senadores señores Araya, Harboe e Insulza, para agregar a continuación de la palabra “valor”, la expresión “, respecto de responsables del delito”.

TÍTULO III

DISPOSICIONES FINALES

81.- Del Honorable Senador señor Girardi, para reemplazarlo por el siguiente:

“TÍTULO III

DISPOSICIÓN FINAL”

ARTÍCULO 14

82.- Del Honorable Senador señor Girardi, para contemplarlo como artículo 1°, cambiando la numeración correlativa de los artículos anteriores.

o o o o o

83.- De las Honorables Senadoras señoras Rincón y Aravena, para introducir una letra nueva, del siguiente tenor:

“…) Violencia contra la mujer: cualquier acción u omisión, sea que tenga lugar en el ámbito público o en el privado, basada en el género y ejercida en el marco de las relaciones de poder históricamente desiguales que emanan de los roles diferenciados asignados a hombres y mujeres, que resultan de una construcción social, cultural, histórica y económica, que cause o pueda causar muerte, menoscabo físico, sexual, psicológico, económico o de otra clase a las mujeres, incluyendo la amenaza de realizarlas.

Son tipos de violencia, en particular:

1. Violencia física: cualquier agresión dirigida contra el cuerpo de la mujer, que vulnere, perturbe o amenace su integridad física, su libertad personal o su derecho a la vida.

2. Violencia psicológica: cualquier acción u omisión que vulnere, perturbe o amenace la integridad psíquica o estabilidad emocional de una mujer, tales como tratos humillantes, vejatorios o degradantes, control o vigilancia de sus conductas, intimidación, coacción, exigencia de obediencia, aislamiento, explotación o limitación de su libertad de acción, opinión o pensamiento.

3. Violencia sexual: toda vulneración, perturbación o amenaza al derecho de las mujeres a la libertad e integridad, indemnidad y autonomía sexual y reproductiva o al derecho de las niñas a la indemnidad sexual.

4. Violencia económica: toda acción u omisión, intencionada y/o arbitraria, ejercida en el contexto de relaciones afectivas o familiares, que tenga como efecto directo la vulneración de la autonomía económica de la mujer, que se lleve a cabo con afán de ejercer un control sobre ella o generar dependencia y que se manifiesta en un menoscabo injusto de sus recursos económicos o patrimoniales o el de sus hijos, tales como el no pago de las obligaciones alimentarias, entre otros.

5. Violencia simbólica: mensajes, íconos, significados y representaciones que transmiten, reproducen y naturalizan relaciones de subordinación, desigualdad y discriminación de las mujeres en la sociedad.

6. Violencia institucional: toda acción u omisión realizada por personas en el ejercicio de una función pública y, en general, por cualquier agente estatal, que tenga como fin retardar, obstaculizar o impedir que las mujeres ejerzan los derechos previstos en esta ley, en la Constitución Política de la República y en los tratados internacionales de derechos humanos ratificados por Chile y que se encuentren vigentes.”.

o o o o o

ARTÍCULO 16

84.- Del Honorable Senador señor Girardi, para eliminarlo.

Número 2)

Artículo 219 propuesto

85.- De los Honorables Senadores señores Araya, Harboe e Insulza, para reemplazarlo por el siguiente:

“Artículo 219.- Copias de comunicaciones privadas o transmisiones públicas. El juez de garantía podrá autorizar, a petición del fiscal, que cualquier empresa concesionaria de servicio público de telecomunicaciones que preste servicios a los proveedores de acceso a Internet y también estos últimos, facilite datos o informaciones acerca de las comunicaciones transmitidas o recibidas por ellas. Del mismo modo, podrá ordenar la entrega de las versiones que existieren de las transmisiones de radio, televisión u otros medios.

La entrega de los antecedentes previstos en el inciso anterior deberá realizarse en el plazo que disponga la resolución judicial. Si el requerido estimare que no pudiere cumplir con el plazo, en atención al volumen y la naturaleza de la información solicitada, deberá comunicar de dicha circunstancia fundadamente al tribunal, dentro del término señalado en la resolución judicial respectiva.

Para el cumplimiento de lo dispuesto en este artículo las empresas y proveedores mencionados en el inciso primero deberán mantener, con carácter reservado y adoptando las medidas de seguridad correspondientes, a disposición del Ministerio Público, por un plazo de un año, un listado y registro actualizado de sus rangos autorizados de direcciones IP y de los números IP de las conexiones que realicen sus clientes o usuarios. La infracción a lo dispuesto en este inciso será castigada según las sanciones y el procedimiento previsto en los artículos 36 y 36 A de la ley Nº 18.168, General de Telecomunicaciones.

Asimismo, los encargados de realizar la diligencia y los empleados de las empresas mencionadas en este artículo deberán guardar secreto acerca de la misma, salvo que se les citare como testigos al procedimiento. La infracción del deber de secreto de las personas antes señaladas, será sancionado con la pena de reclusión menor en sus grados mínimo a medio y multa de seis a diez unidades tributarias mensuales.

Para dar cumplimiento a lo previsto en los incisos precedentes, las empresas señaladas en el inciso primero deberán disponer de una persona que tendrá a su cargo, no necesariamente de forma exclusiva, dar respuesta a los requerimientos del Ministerio Público. Asimismo, las empresas deberán tomar las medidas pertinentes para que dicho encargado cuente con las atribuciones y las competencias que le permitan entregar de manera expedita la información que sea requerida.

La negativa o retardo injustificado de entrega de la información señalada en este artículo, así como aquellos casos en que existan antecedentes o circunstancias que hagan presumir que la información pudiera desaparecer, facultará al Ministerio Público para requerir al juez de garantía, autorización para el ingreso al domicilio, sin restricción de horario, de la empresa en que se encuentren los sistemas informáticos que contengan la información requerida y copiarla. El juez autorizará esta medida en caso que se cumplan los supuestos previstos en este artículo, debiendo comunicar dicha autorización por la vía más expedita posible, sin perjuicio de remitir con posterioridad la resolución respectiva.

Si, a pesar de las medidas señaladas en este artículo, la información no fuere entregada, podrá ser requerida al representante legal y al gerente general de la empresa de que se trate, bajo apercibimiento de arresto.”.

86.- De Su Excelencia el Presidente de la República, para sustituirlo por el que sigue:

“Artículo 219.- Copias de comunicaciones o transmisiones y datos relativos al tráfico.

El juez de garantía podrá autorizar, a petición del fiscal, que cualquier empresa de comunicaciones proporcione copias de los datos o informaciones acerca de las comunicaciones transmitidas o recibidas por ellas. Del mismo modo, podrá ordenar la entrega de las versiones que existieren de las transmisiones públicas de radio, televisión u otros medios.

Las empresas de comunicaciones deberán mantener, con carácter reservado y adoptando las medidas de seguridad correspondientes, a disposición del Ministerio Público a efectos de una investigación penal, por un plazo de dos años, un listado y registro actualizado de sus rangos autorizados de direcciones IP y de los números IP de las conexiones que realicen sus clientes o usuarios, con sus correspondientes datos relativos al tráfico, así como los domicilios o residencias de sus clientes o usuarios. Transcurrido el plazo máximo de mantención de los datos señalados precedentemente, las empresas deberán destruir en forma segura dicha información.

Para efectos de este artículo se entenderá por datos relativos al tráfico, todos los datos relativos a una comunicación realizada por medio de un sistema informático, generados por este último en tanto elemento de la cadena de comunicación, y que indiquen el origen, el destino, la ruta, la hora, la fecha, el tamaño y la duración de la comunicación o el tipo de servicio subyacente.

Las empresas de comunicaciones, deberán dar cumplimiento a esta medida, proporcionando a los funcionarios encargados de la diligencia las facilidades necesarias para que se lleve a cabo con la oportunidad con que se requiera. Los encargados de realizar la diligencia y los empleados de las empresas mencionadas en este artículo deberán guardar secreto acerca de la misma, salvo que se les citare a declarar.

La entrega de los antecedentes previstos en los incisos anteriores deberá realizarse en el plazo que disponga la resolución judicial. Si el requerido estimare que no pudiere cumplir con el plazo, en atención al volumen y la naturaleza de la información solicitada, deberá comunicar de dicha circunstancia fundadamente al tribunal, dentro del término señalado en la resolución judicial respectiva.

Para dar cumplimiento a lo previsto en los incisos precedentes, las empresas señaladas en el inciso primero deberán disponer de una persona que tendrá a su cargo, no necesariamente de forma exclusiva, dar respuesta a los requerimientos del Ministerio Público. Asimismo, las empresas deberán tomar las medidas pertinentes para que dicho encargado cuente con las atribuciones y las competencias que le permitan entregar de manera expedita la información que sea requerida.

La negativa o retardo injustificado de entrega de la información señalada en este artículo facultará al Ministerio Público para requerir al juez de garantía, autorización para el ingreso al domicilio, sin restricción de horario, de la empresa en que se encuentren los sistemas informáticos que contengan la información requerida y copiarla. El juez autorizará esta medida en caso que se cumplan los supuestos previstos en este artículo, debiendo comunicar dicha autorización por la vía más expedita posible, sin perjuicio de remitir con posterioridad la resolución respectiva.

Si, a pesar de las medidas señaladas en este artículo, la información no fuere entregada, podrá ser requerida al representante legal y al gerente general de la empresa de que se trate, bajo apercibimiento de arresto.

La infracción a la mantención del listado y registro actualizado, por un plazo de dos años, de los antecedentes señalados en el inciso segundo será castigada según las sanciones y el procedimiento previsto en los artículos 36 y 36 A de la ley N° 18.168, General de Telecomunicaciones. El incumplimiento de las obligaciones de mantener con carácter secreto y adoptar las medidas de seguridad correspondientes de los antecedentes señalados en el inciso segundo, será sancionando con la pena prevista en el artículo 36 B letra f) de la ley N° 18.168, General de Telecomunicaciones.”.

Inciso primero

87.- Del Honorable Senador señor Pugh, para reemplazarlo por el siguiente:

“Artículo 219.- Copias de comunicaciones privadas y transmisiones. El juez de garantía podrá autorizar, a petición del fiscal, que cualquier empresa concesionaria de servicio público de telecomunicaciones que preste servicios a los proveedores de acceso a Internet y también estos últimos, facilite datos o informaciones acerca de las comunicaciones privadas transmitidas o recibidas por ellas, cuando existieren fundadas sospechas, basadas en hechos determinados, de que una persona hubiere cometido o participado en la preparación o comisión, o que ella preparare actualmente la comisión o participación en un hecho punible que mereciera pena de crimen, y la investigación lo hiciere imprescindible.”.

o o o o o

88.- Del Honorable Senador señor Pugh, para agregar a continuación del inciso primero un inciso nuevo, del siguiente tenor:

“El juez de garantía podrá autorizar, a petición del fiscal, que cualquier empresa concesionaria de servicio público de telecomunicaciones entregue las versiones que existieren de las transmisiones emitidas de radio, televisión u otros medios.”.

o o o o o

Inciso cuarto

89.- Del Honorable Senador señor Pugh, para suprimirlo.

Número 3)

90.- De los Honorables Senadores señores Araya, Harboe e Insulza, para sustituirlo por el que sigue:

“3) Reemplázase el artículo 222 por el siguiente:

“Artículo 222.- Intervención de las comunicaciones privadas. Cuando existieren fundadas sospechas, basadas en hechos determinados, de que una persona hubiere cometido o participado en la preparación o comisión, o que ella preparare actualmente la comisión o participación en un hecho punible que mereciere pena de crimen, y la investigación lo hiciere imprescindible, el juez de garantía, a petición del ministerio público, podrá ordenar la interceptación y grabación de sus comunicaciones telefónicas o de otras formas de telecomunicación.

La orden a que se refiere el inciso precedente sólo podrá afectar al imputado o a personas respecto de las cuales existieren sospechas fundadas, basadas en hechos determinados, de que ellas sirven de intermediarias de dichas comunicaciones y, asimismo, de aquellas que facilitaren sus medios de comunicación al imputado o sus intermediarios.

No se podrán interceptar las comunicaciones entre el imputado y su abogado, a menos que el juez de garantía lo ordenare, por estimar fundadamente, sobre la base de antecedentes de los que dejará constancia en la respectiva resolución, que el abogado pudiere tener responsabilidad penal en los hechos investigados.

La orden que dispusiere la interceptación y grabación deberá indicar circunstanciadamente el nombre y dirección del afectado por la medida y señalar la forma de la interceptación y la duración de la misma, que no podrá exceder de sesenta días. El juez podrá prorrogar este plazo por períodos de hasta igual duración, para lo cual deberá examinar cada vez la concurrencia de los requisitos previstos en los incisos precedentes.

Las empresas concesionarias de servicio público de telecomunicaciones que presten servicios a los proveedores de acceso a internet y también estos últimos, así como cualquier empresa que preste servicios de comunicación privada, deberán dar cumplimiento a esta medida, proporcionando a los funcionarios encargados de la diligencia las facilidades necesarias para que se lleve a cabo con la oportunidad con que se requiera. La negativa o entorpecimiento a la práctica de la medida de interceptación y grabación será constitutiva del delito de desacato.

Asimismo, los encargados de realizar la diligencia y los empleados de las empresas mencionadas en este inciso deberán guardar secreto acerca de la misma, salvo que se les citare como testigos al procedimiento. La infracción del deber de secreto de las personas antes señaladas, será sancionado con la pena de reclusión menor en sus grados mínimo a medio y multa de seis a diez unidades tributarias mensuales.

Si las sospechas tenidas en consideración para ordenar la medida se disiparen o hubiere transcurrido el plazo de duración fijado para la misma, ella deberá ser interrumpida inmediatamente.”.”.

91.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente:

“3) Reemplázase el artículo 222 por el siguiente:

“Artículo 222.- Interceptación de comunicaciones telefónicas y copias de datos de contenido.

Cuando existieren fundadas sospechas, basadas en hechos determinados, de que una persona hubiere cometido o participado en la preparación o comisión, o que ella preparare actualmente la comisión o participación en un hecho punible que mereciere pena de crimen, y la investigación lo hiciere imprescindible, el juez de garantía, a petición del ministerio público, podrá ordenar la interceptación, grabación o copia de sus comunicaciones telefónicas o de los datos contenidos en otras formas de comunicación.

La orden a que se refiere el inciso precedente sólo podrá afectar al imputado o a personas respecto de las cuales existieren sospechas fundadas, basadas en hechos determinados, de que ellas sirven de intermediarias de dichas comunicaciones y, asimismo, de aquellas que facilitaren sus medios de comunicación al imputado o sus intermediarios.

No se podrán interceptar las comunicaciones entre el imputado y su abogado, a menos que el juez de garantía lo ordenare, por estimar fundadamente, sobre la base de antecedentes de los que dejará constancia en la respectiva resolución, que el abogado pudiere tener responsabilidad penal en los hechos investigados.

La orden que dispusiere la interceptación, grabación o copia deberá indicar circunstanciadamente el nombre y dirección del afectado por la medida, y señalar la forma de la interceptación y la duración de la misma, que no podrá exceder de sesenta días. El juez podrá prorrogar este plazo por períodos de hasta igual duración, para lo cual deberá examinar cada vez la concurrencia de los requisitos previstos en los incisos precedentes.

Las empresas telefónicas y de comunicaciones deberán disponer de una persona que tendrá a su cargo, no necesariamente de forma exclusiva, dar respuesta a las solicitudes del Ministerio Público, debiendo tomar las medidas pertinentes para que dicho encargado cuente con las atribuciones y las competencias que le permitan entregar de manera expedita la información que sea requerida y darán cumplimiento a esta medida, proporcionando a los funcionarios encargados de la diligencia las facilidades necesarias para que se lleve a cabo con la oportunidad con que se requiera. La negativa o entorpecimiento a la práctica de la medida de interceptación y grabación será constitutiva del delito de desacato. Asimismo, los encargados de realizar la diligencia y los empleados de las empresas mencionadas en este inciso deberán guardar secreto acerca de la misma. Su incumplimiento será sancionando con la pena prevista en el artículo 36 B letra f) de la ley N° 18.168, General de Telecomunicaciones, salvo que se les citare como testigos al procedimiento y deban declarar en el mismo.

Si las sospechas tenidas en consideración para ordenar la medida se disiparen o hubiere transcurrido el plazo de duración fijado para la misma, ella deberá ser interrumpida inmediatamente.”.”.

Letra b)

Inciso quinto propuesto

92.- Del Honorable Senador señor Pugh, para reemplazar la frase "concesionarias de servicio público de telecomunicaciones que presten servicios a los proveedores de acceso a Internet y también estos últimos," por la siguiente: "de telecomunicaciones que provean servicios de acceso a Internet".

Inciso sexto propuesto

93.- Del Honorable Senador señor Pugh, para suprimir la expresión “y proveedores”.

94.- Del Honorable Senador señor Pugh, para reemplazar la frase "a efectos de una investigación penal en curso, por un plazo no inferior a dos años," por la siguiente: ", por el plazo de un año,".

95.- De las Honorables Senadoras señoras Rincón y Aravena, para sustituir la expresión “no inferior a dos años” por “de dos años”.

96.- De las Honorables Senadoras señoras Rincón y Aravena, para sustituir el texto que señala “un listado y registro actualizado de sus rangos autorizados de direcciones IP y de los números IP de las conexiones que realicen sus clientes o usuarios, con sus correspondientes datos relativos al tráfico, así como los domicilios o residencias de sus clientes o usuarios” por el siguiente: “las direcciones IP de conexión, IP de salida y los datos que indiquen el origen y el destino de la comunicación de usuarios o grupos de usuarios específicos que le sean expresamente solicitados por el Ministerio Publico en investigaciones que merezcan penas de crimen, no estando autorizados a guardar más registros ni datos que los que expresamente indica esta norma”.

97.- Del Honorable Senador señor Pugh, para eliminar la frase ", con sus correspondientes datos relativos al tráfico, así como los domicilios o residencias de sus clientes o usuarios".

98.- De las Honorables Senadoras señoras Rincón y Aravena, para reemplazar la expresión “artículos 36 y” por “artículos 36, números 1, 2 y 3 y”.

99.- De las Honorables Senadoras señoras Rincón y Aravena, para agregar la siguiente oración final: “Sin perjuicio de la pena de presidio menor en su grado medio a máximo que será aplicable a quienes ordenen, autoricen o efectúen el almacenamiento de datos personales de clientes o usuarios no autorizados por esta disposición o su almacenamiento por un plazo superior al previsto en ella.”.

Inciso séptimo propuesto

100.- Del Honorable Senador señor Pugh, y 101.- de las Honorables Senadoras señoras Rincón y Aravena, para eliminarlo.

o o o o o

102.- De Su Excelencia el Presidente de la República, para consultar un artículo nuevo, del siguiente tenor:

“Artículo ...- Intercálase, en el literal a) del inciso primero del artículo 27 de la ley N° 19.913, que crea la Unidad de Análisis Financiero y modifica diversas disposiciones en materia de lavado y blanqueo de activos, entre las expresiones “orgánica constitucional del Banco Central de Chile;” y “en el párrafo tercero del número 4° del artículo 97 del Código Tributario”, la oración “en el Título I de la ley que sanciona los delitos informáticos;”.

o o o o o

o o o o o

103.- De Su Excelencia el Presidente de la República, para incorporar el siguiente artículo, nuevo:

“Artículo ...- Agrégase en el inciso primero del artículo 36 B de la ley N° 18.168, General de Telecomunicaciones, el literal f) de la siguiente manera:

“f) Los que vulneren el deber de reserva o secreto previsto en los artículos 218 bis, 219 y 222 del Código Procesal Penal, mediante el acceso, almacenamiento o difusión de los antecedentes o la información señalada en dichas normas, serán sancionados con la pena de presidio menor en su grado máximo.”.”.

o o o o o

ARTÍCULOS TRANSITORIOS

o o o o o

104.- De las Honorables Senadoras señoras Rincón y Aravena, para agregar un artículo transitorio, nuevo, del siguiente tenor:

“Artículo…- La obligación de mantención de datos por parte de las empresas de telecomunicaciones a que se refiere el artículo 222, inciso sexto, sólo entrará en vigencia hasta que se encuentre vigente una legislación especial sobre protección de datos personales que precise el objeto y ámbito de aplicación de la retención de datos; identifique sus finalidades; determine las categorías de datos sometidos a retención; delimite la obligación de retención y el ejercicio del acceso de datos por parte de la autoridad o el Ministerio Público; establezca deberes de protección y seguridad de los datos junto con mecanismos de control; regule el ejercicio de los derechos de los titulares de datos personales; indique los requisitos que regirán para el almacenamiento de los datos, y contemple recursos judiciales y responsabilidades civiles, penales y administrativas ante el incumplimiento de obligaciones por parte de los prestadores.”.

o o o o o

SEGUNDO INFORME DE LA COMISIÓN DE SEGURIDAD PÚBLICA, recaído en el proyecto de ley, en primer trámite constitucional, que establece normas sobre delitos informáticos, deroga la ley N° 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al Convenio de Budapest. BOLETÍN Nº 12.192-25

____________________________

HONORABLE SENADO:

La Comisión de Seguridad Pública tiene el honor de presentar su segundo informe respecto del proyecto de ley de la referencia, iniciado en Mensaje de S.E. el Presidente de la República, para cuyo despacho se ha hecho presente calificación de urgencia “simple”.

Se dio cuenta de esta iniciativa ante la Sala del Honorable Senado en sesión celebrada el 7 de noviembre de 2018, disponiéndose su estudio por la Comisión de Seguridad.

- - -

Concurrieron a sesiones de la Comisión los siguientes personeros:

- Del Ministerio del Interior y Seguridad Pública, el Jefe de Asesores, señor Pablo Celedón; el asesor presidencial señor Mario Farren, y los profesionales señoritas Katherine Canales e Isidora Riveros y señores Gonzalo Santini, Ilan Motles, Juan Pablo González y Carlos Landeros.

- De la SEGPRES, los analistas señoritas Javiera Garrido y Katherine Porras y señor Fredy Vásquez.

- Del Ministerio Público, el Director de la Unidad Especializada en Lavado de Dinero, Delitos Económicos, Medioambientales y Crimen Organizado, señor Mauricio Fernández, acompañado por los abogados señora Camila Bosch y señor Rodrigo Peña.

- El profesor del Centro de Derecho Informático de la Universidad de Chile, señor Daniel Álvarez.

- El profesor de la Facultad de Ingeniería de la Universidad de Chile, señor Alejandro Hevia.

- Los asesores legislativos de la Fundación Jaime Guzmán, señorita Antonia Vicencio y señor Matías Quijada.

- El Jefe de Informática Legislativa del Centro de Investigación en Ciberseguridad de la Universidad Mayor, señor Pedro Huichalaf.

- Los asesores parlamentarios que se señalan: de la Oficina de la Senadora señora Órdenes, la señorita Paulina Ruz; de la oficina del Senador señor Kast, el señor Javier de Iruarrizaga; de la oficina del Senador señor Harboe, el señor José Miguel Bolados; de la oficina del Senador señor Insulza, la señoras Ginette Joignant y Lorena Escalona y los señores Guillermo Miranda y Nicolás Godoy; de la oficina del Senador señor Pugh, la señorita Jessica Matus y el señor Pascal de Smet; del Comité UDI, la señora Karelyn Lüttecke; del Comité PPD, el señor Gabriel Muñoz; del Comité DC, la señorita Valentina Muñoz.

- El asesor legislativo de la Cámara Nacional de Comercio, señor Carlos Araya.

- De la Biblioteca del Congreso Nacional, la Coordinadora del Área Gobierno, señora Verónica Barrios, y el analista señor Guillermo Fernández.

- Los estudiantes de la Universidad Austral de Chile, señorita Francisca Heise y señor Antonio Calenga.

- - -

Se hace presente que una vez concluido, el día 8 de marzo de 2019, el plazo originalmente fijado para presentar indicaciones respecto de esta iniciativa de ley, la Sala de la Corporación acordó, con fecha 14 de enero de 2020, fijar un nuevo plazo para formular indicaciones, directamente en la Secretaría de la Comisión, hasta las 18:00 del mismo día.

A fin de facilitar el análisis de las indicaciones, se las ha numerado en la forma que se consigna más adelante en este informe.

- - -

NORMAS DE QUÓRUM ESPECIAL

Los artículos 8° (pasa a ser 9°), inciso tercero; 11 (pasa a ser 12), y 13 (pasa a ser 14), así como los artículos 218 bis y 219 sustitutivo (contenidos en los numerales 1) y 2), del artículo 16, que pasa a ser 18, respectivamente), tienen carácter orgánico constitucional, de conformidad con lo prescrito en los artículos 84 y 66, inciso segundo, de la Constitución Política de la República, en concordancia con la ley N° 19.640, Orgánica Constitucional del Ministerio Público.

Además, el artículo 219 sustitutivo, contenido en el numeral 2) del artículo 16, que pasa a ser 18, ostenta rango orgánico constitucional por incidir en la organización y atribuciones de los tribunales de justicia, al tenor de lo dispuesto en los artículos 77 y 66, inciso segundo, de la Carta Fundamental.

- - -

Para los efectos de lo dispuesto en el artículo 124 del Reglamento del Senado, se deja constancia de lo siguiente:

1.-Artículos que no fueron objeto

de indicaciones ni modificaciones: Nos 7° (pasa a ser 8º), 13 (pasa a ser 14), 15 (que pasa a ser 17), 17 (que pasa ser 21), primero transitorio y segundo transitorio.

2.-Indicaciones aprobadas

sin modificaciones: Nos 11 bis, 35, 39, 42, 43, 44, 56 bis, 56 ter, 59, 60 bis, 62 bis, 77 bis, 79 bis, 80, 82 bis, 83 bis, 84 bis, 102, 103 y 103 bis.

3.-Indicaciones aprobadas

con modificaciones: Nos 3, 4, 5, 6, 7, 8, 27, 28, 29, 30, 31, 33, 34, 36, 40, 46, 48, 51, 55, 56, 58, 64, 64 bis, 65, 66, 69, 70, 71, 73 y 74.

4.-Indicaciones rechazadas: Nos 1, 2, 9, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 32, 37, 38, 41, 45, 47, 54, 57, 62, 67, 68, 72, 75, 77, 78, 79, 81, 82, 84, 85, 86, 87, 88, 89, 90, 91, 92, 93, 94, 95, 96, 97, 98, 99, 100, 101 y 104.

5.-Indicaciones retiradas: Nos 10, 11, 49, 50, 52, 53, 60, 61 y 63.

6.-Indicaciones declaradas

inadmisibles: Nos 76 y 83.

- - -

DISCUSIÓN EN PARTICULAR

A continuación, se efectúa una descripción sucinta de las indicaciones y de los artículos en que inciden, señalándose en cada caso los acuerdos adoptados por la Comisión a su respecto.

TÍTULO I

DE LOS DELITOS INFORMÁTICOS Y SUS SANCIONES

Indicación N° 1.-

Del Honorable Senador señor Girardi, para reemplazarlo por el siguiente:

“TÍTULO I

DE LAS DEFINICIONES, LOS DELITOS INFORMÁTICOS Y SUS SANCIONES”

Con motivo del análisis de esta indicación, el Jefe de Asesores del Ministerio del Interior y Seguridad Pública acotó que ella se relaciona con otra propuesta, del mismo señor Senador, que tiene por objeto incluir en esta parte del proyecto diversas definiciones que se contienen al final de su texto, específicamente en el Título III. No obstante, aclaró, sería inadecuado realizar la enmienda propuesta, pues el Título I no contempla definiciones propiamente tales, sino conceptualización de delitos.

- Sometida a votación esta indicación, fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Huenchumilla, Insulza y Pugh.

ARTÍCULO 1°.-

Refiriéndose al concepto de “perturbación informática”, sanciona al que maliciosamente obstaculice o perturbe el funcionamiento de un sistema informático, a través de la introducción, transmisión, daño, deterioro, alteración o supresión de datos informáticos, con la pena de presidio menor en su grado medio a máximo. Añade que si además se hiciere imposible la recuperación del sistema informático en todo o en parte, se aplicará la pena de presidio menor en su grado máximo.

Indicación N° 2.-

Del Honorable Senador señor Durana, propone reemplazarlo por el siguiente:

“Artículo 1°.- Perturbación informática. El que maliciosamente obstaculice o perturbe, total o parcialmente, el funcionamiento integral de un sistema informático, a través de cualquier tipo de acción maliciosa, será castigado con la pena de presidio menor en su grado medio a máximo. Si además se hiciere imposible la recuperación del sistema informático en todo o en parte, se aplicará la pena de presidio menor en su grado máximo.”.

El Jefe de Asesores del Ministerio señaló que esta indicación incurre en un equívoco referido a la calificación de lo que ha de considerarse “malicioso” a propósito de este delito. La idea del Ejecutivo, por el contrario, es rectificar esta alusión en línea con otras indicaciones, formuladas tanto por Senadores como por el Ejecutivo.

- Sometida a votación esta indicación, fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Huenchumilla, Insulza y Pugh.

Indicación N° 3.-

De Su Excelencia el Presidente de la República, propone sustituirlo por el que sigue:

“Artículo 1°.- Ataque a la integridad de un sistema informático. El que indebidamente obstaculice en forma grave o impida el normal funcionamiento de un sistema informático, a través de la introducción, transmisión, daño, deterioro, alteración o supresión de los datos informáticos, será castigado con la pena de presidio menor en su grado medio a máximo.”.

El Profesor del Centro de Derecho Informático de la Universidad de Chile, señor Álvarez, sostuvo que si bien las indicaciones 3 a 8 permitirían una mejor formulación del tipo penal de ataque a la integridad de un sistema informático, objetivo de la norma, habría que precisar con mayor detalle aspectos tales como el relativo a la calificación del tipo penal (esto es, si la conducta es deliberada, ilegítima o indebida). En lo demás, existiría acuerdo con la estructura de la norma.

Según el académico, “indebido” remite a la idea de algo para lo cual no se cuenta con la correspondiente autorización o que no debe hacerse o que implica dolo directo. En su opinión, si se trata de describir el ataque a la integridad de un sistema informático, el concepto “deliberadamente” funcionaría mejor, porque hace hincapié en aquello que no es casual, esto es, en la circunstancia de que se busca atacar un sistema con un objetivo determinado: obstaculizar en forma grave o impedir el funcionamiento de un sistema informático. Esta opción es coherente con el Convenio de Budapest y con las Indicaciones 3 a 8.

Enseguida, advirtió que “ilegítimamente” generaría dificultades, pues se refiere a algo respecto de lo cual no se tiene derecho, situación que se entiende contenida en la acción y no ayuda a clarificar cuál es la conducta que se penaliza.

Consultado por el Honorable Senador señor Harboe acerca de si constituiría perturbación informática la intervención en un sistema informático con fines investigativos, esto es, la actividad destinada a conocer las vulnerabilidades de un sistema, el señor Álvarez aclaró que dicha situación se relacionaría más bien con la materia regulada en el artículo 2° del proyecto de ley. En ese orden, un ataque a la integridad de un sistema informático difícilmente puede asociarse a una actividad que tiene fines investigativos.

El Profesor de la Facultad de Ingeniería de la Universidad de Chile, señor Hevia, comentó que en el área de la ciberseguridad es fundamental la labor de investigación y la búsqueda de vulnerabilidades en los sistemas. Se trata de una labor con una dinámica clara: en la búsqueda de vulnerabilidades siempre se aplican mejores prácticas y tiene lugar un proceso de reporte de lo detectado. Así las cosas, aunque esta actividad supone eventualmente saltar una barrera de seguridad, su cometido es reportar o notificar la vulnerabilidad del sistema para mejorar su condición de seguridad. Un ataque no es propio de la tarea de un investigador en ciberseguridad, principalmente porque se buscan fines distintos, los cuales son posibles de evaluar o sopesar.

El personero del Ministerio Público, señor Mauricio Fernández, aseveró que el término “deliberadamente” excluye de manera adecuada las situaciones que se originan por negligencia.

El Jefe de Asesores del Ministerio adujo que la expresión adecuada sería “indebidamente”, por cuanto el término “deliberadamente” podría ocasionar problemas al ser una alusión genérica de dolo. Lo que debe sancionarse es la perturbación o ataque sin autorización o sin derecho, esto es, “indebidamente”. Por otra parte, dijo, el problema a que da origen la investigación en materia de seguridad se vincula con el acceso ilícito contemplado en el artículo 2° de la iniciativa legal.

El Honorable Senador señor Huenchumilla manifestó su preocupación por los efectos de la eliminación de la expresión “indebidamente”, y por las dificultades probatorias que pudieran surgir al tener que probar el dolo y, además, que se ejecutó una acción indebida.

El Honorable Senador señor Pugh señaló que, en circunstancias que, por regla general, es difícil determinar quién está detrás de estas conductas y la legitimidad de la acción, el término deliberadamente es real y concreto. Su eventual eliminación podría afectar a quien realizó la conducta en forma errónea sin buscar el resultado producido.

La investigación en ciberseguridad es susceptible de generar un problema mayor, prosiguió, puesto que podría derivar en un ilícito. Por tal razón, es importante tener a la vista la legitimidad de la acción para adecuar de la mejor forma nuestra normativa al Convenio de Budapest. Se trata de cubrir todas las condiciones posibles cuando ocurran situaciones de esta naturaleza.

El Profesor del Centro de Derecho Informático de la Universidad de Chile aclaró que si se eliminara el concepto “indebido” la calificación de la conducta se haría más compleja, dada la inexistencia de un criterio que permita determinar cuál es la intencionalidad del sujeto al actuar. Pero, aquí habría un problema relativo a la tipificación de la conducta.

La opción del término “maliciosamente” constituye una referencia a dolo directo que podría ser difícil de satisfacer en tribunales. En ese marco, si bien el concepto “indebidamente” cumple el propósito buscado, ya que implicaría aquella conducta para la cual no se está autorizado, el problema de este término es que puede hacer referencia a una pauta de conducta objetiva, por ejemplo, una cláusula contractual o laboral. En consecuencia, si se tipifica penalmente el incumplimiento de una cláusula civil o laboral aparece el inconveniente de penalización de conductas que están en el margen. Esta es una decisión de política criminal referida a cuál es el nivel de intensidad que tendrá la norma. Si el tipo penal queda construido en función del concepto “indebidamente”, arguyó, se podría sostener que lo debido es el cumplimiento de la cláusula contractual civil. Ello trasladaría a sede penal un mecanismo de protección que debiera quedar en el ámbito civil o laboral. En este sentido, el término “deliberadamente” sería más claro para este caso particular.

En ese entendido, añadió, se propone una norma alternativa, fundada en la Indicación N° 3 del Ejecutivo, que recoge las distintas indicaciones presentadas en esta materia, y cuyo tenor es el siguiente:

“Artículo 1°.- Ataque a la integridad de un sistema informático. El que deliberadamente obstaculice en forma grave o impida el normal funcionamiento, total o parcial, de un sistema informático, a través de la introducción, transmisión, daño, deterioro, alteración o supresión de los datos informáticos, será castigado con la pena de presidio menor en su grado medio a máximo.”.

La Comisión estuvo por acoger la proposición consignada, en la medida que recoge los elementos de consenso en torno a esta figura delictiva, expresados en las distintas indicaciones formuladas.

- Sometida a votación esta indicación, fue aprobada con enmiendas por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Huenchumilla, Insulza y Pugh.

Indicaciones N°s. 4 y 5.-

Del Honorable Senador señor Pugh, y de los Honorables Senadores señores Araya, Harboe e Insulza, respectivamente, proponen sustituir la expresión “Perturbación informática” por “Ataque a la integridad del sistema informático”.

- Sometidas a votación estas indicaciones, fueron aprobadas con enmiendas por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Huenchumilla, Insulza y Pugh.

Indicación N° 6.-

Del Honorable Senador señor Pugh, para reemplazar el vocablo “maliciosamente” por “deliberada e ilegítimamente”.

- Sometida a votación esta indicación, fue aprobada con enmiendas por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Huenchumilla, Insulza y Pugh.

Indicación N° 7.-

De los Honorables Senadores señores Araya, Harboe e Insulza, proponen reemplazar la expresión “maliciosamente” por “de manera deliberada e ilegítima”.

- Sometida a votación esta indicación, fue aprobada con enmiendas por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Huenchumilla, Insulza y Pugh.

Indicación N° 8.-

De los Honorables Senadores señores Araya, Harboe e Insulza, proponen reemplazar la expresión “o perturbe”, por “gravemente o impida”.

Como se dijera precedentemente, la Comisión tomó como base de su acuerdo la Indicación N° 3 del Ejecutivo, enmendada de la manera ya señalada, en la medida que este tipo penal se vincula con un ataque que tiene una finalidad determinada y, por ende, no es casual ni consiste en un hallazgo accidental.

- Sometida a votación esta indicación, fue aprobada con enmiendas, por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Huenchumilla, Insulza y Pugh.

ARTÍCULO 2°.-

En su inciso primero, y en materia de “acceso ilícito”, sanciona al que indebidamente acceda a un sistema informático con presidio menor en su grado mínimo o multa de once a veinte unidades tributarias mensuales.

En su inciso segundo, sanciona al que indebidamente acceda con el ánimo de apoderarse, usar o conocer la información contenida en un sistema informático, con presidio menor en su grado mínimo a medio.

En su inciso tercero, precisa que si en la comisión de las conductas antes descritas se vulneran, evaden o transgreden medidas de seguridad destinadas a impedir dicho acceso, se aplicará la pena de presidio menor en su grado medio.

Indicación N° 9.-

Del Honorable Senador señor Durana, para sustituirlo por el que sigue:

“Artículo 2°.- Acceso ilícito. El que dolosamente acceda a un sistema informático será castigado con presidio menor en su grado mínimo o multa de once a veinte unidades tributarias mensuales.

Si en la comisión de las conductas descritas en este artículo se vulnerasen, evadiesen o transgrediesen medidas de seguridad destinadas para impedir dicho acceso, se aplicará la pena de presidio menor en su grado medio.”.

- Sometida a votación esta indicación, fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Elizalde, Harboe, Huenchumilla y Pugh.

Indicación N° 10.-

Del Honorable Senador señor Pugh, para sustituirlo por el que sigue:

“Artículo 2°.- Acceso ilícito. El que, de forma deliberada e ilegítima, y habiendo superado alguna medida de seguridad o barrera técnica, acceda a un sistema informático, será castigado con presidio menor en su grado mínimo o multa de once a veinte unidades tributarias mensuales.

La misma pena será aplicable a aquella persona que difunda o publique la información contenida en un sistema informático, a sabiendas de que fue obtenida con infracción a las disposiciones contenidas en el inciso anterior. Si una misma persona fuese responsable de la conducta descrita en el inciso anterior y de la posterior difusión o publicación de la información contenida en dicho sistema informático, será castigado con presidio menor en su grado mínimo a medio.

No será objeto de sanción penal el que realizando labores de investigación en seguridad informática hubiere incurrido en los hechos tipificados en el inciso primero, notifique sin demora al responsable del sistema informático de que se trate, las vulnerabilidades o brechas de seguridad detectadas en su investigación.”.

- Esta indicación fue retirada por su autor.

Indicación N° 11.-

De Su Excelencia el Presidente de la República, propone reemplazarlo por el siguiente:

“Artículo 2°.- Acceso ilícito. El que sin autorización y superando barreras o medidas de seguridad, acceda a un sistema informático será castigado con la pena de presidio menor en su grado mínimo o multa de once a veinte unidades tributarias mensuales.

Si el acceso fuere realizado con el ánimo de apoderarse o usar la información contenida en el sistema informático, se aplicará la pena de presidio menor en su grado mínimo a medio. Igual pena se aplicará a quien difunda la información a la cual se accedió de manera ilícita, si no fuese obtenida por éste.

En caso de ser una misma persona la que hubiere obtenido y divulgado la información, se aplicará la pena de presidio menor en su grado medio.”.

- Esta indicación fue retirada por el Ejecutivo.

- - -

Con motivo del análisis del artículo 2º, tuvo lugar en el seno de la Comisión una reflexión acerca del sentido y alcance del concepto de “acceso ilícito”.

Con todo, en lo que concierne al texto de este artículo, el Profesor del Centro de Derecho Informático de la Universidad de Chile, señor Álvarez, destacó la complejidad de la norma en estudio y la necesidad de adoptar decisiones en materia de política criminal.

En ese orden, agregó, se debe establecer desde cuándo el acceso no autorizado es constitutivo de delito. Al respecto, dijo, existen diversas opciones, a saber:

- El mero acceso sin autorización constituye delito. Esta opción puede inhibir la investigación en ciberseguridad o seguridad de la información porque muchas de las acciones de investigación que se realizan implican necesariamente acceder a un sistema. En esta materia la discusión respecto del ánimo subjetivo es central.

La indicación del Ejecutivo, acotó, constituye una construcción aceptable. Sin embargo, persiste la duda acerca de si esta fórmula aclara que el investigador de seguridad en la información o en ciberseguridad quedará indemne en caso de que realice su labor legítimamente. No parece que la primera parte de la Indicación sea suficiente. Se hace oportuno discutir sobre qué nivel de intensidad de la conducta se exigirá para sancionar penalmente.

- El mero acceso requiere una conducta adicional, que puede consistir en conocer, apropiarse o utilizar la información contenida, lo cual se encuentra en las enmiendas números 10 y 15.

- Otra alternativa es construir un tipo penal que sancione el acceso no autorizado con el elemento subjetivo que se decida y construir una exención de responsabilidad expresa en la ley, lo cual otorgaría a los investigadores de seguridad mayor certeza.

A continuación, el Profesor de la Facultad de Ingeniería de la Universidad de Chile, señor Hevia, hizo presente que la investigación en ciberseguridad no opera con una dinámica obvia. Los dispositivos o softwares no vienen seguros por lo que es necesario un rol externo, en este caso de los investigadores, que evalúan su seguridad y reportan sus vulnerabilidades para mejorar los sistemas. Este proceso es complejo porque la etapa de búsqueda se presta en ocasiones para malas interpretaciones. Es fácil que un investigador pueda encontrar una falla de seguridad en el sistema de una empresa, pero que al momento de reportarla para su corrección tenga un efecto negativo en la reputación de la compañía. Así, se han producido situaciones en que el fabricante del sistema informático silencia o censura al investigador mediante la amenaza de que se cometió un ilícito. Por esta vía se coarta la investigación en ciberseguridad, el entrenamiento profesional y el interés de futuras generaciones en esta área del saber. Lo que constituye una labor de investigación correcta, sensata y productiva está en su resultado, no en quien la realiza.

El Honorable Senador señor Pugh, concordando con lo expresado por ambos académicos, planteó la posibilidad de que sea conveniente un registro de los profesionales de la ciberseguridad, con normas de competencia y control externo. Se trata, dijo, de una actividad que abre una nueva oferta laboral que permite que haya profesionales y técnicos que procuren sistemas de información cada vez más robustos.

El representante del Ministerio Público, señor Fernández, destacó la relevancia de adoptar los resguardos necesarios para precaver que esta regulación transforme en letra muerta el acceso ilícito, mediante la utilización de estrategias procesales fundadas en la condición profesional y técnica de una persona involucrada en estos hechos.

Según precisara, la norma debería seguir la línea de las indicaciones que postulan que si se producen ciertos daños a causa del acceso indebido habrá una determinada sanción penal, debiendo además existir algún mecanismo que permita demostrar que se realiza la conducta con un fin investigativo.

El Jefe de Asesores del Ministerio del ramo, luego de señalar que los investigadores en ciberseguridad son profesionales que ayudan a combatir una determinada criminalidad que muta y se adapta a nuevas tecnologías, sostuvo que un eventual registro podría operar como causal de justificación y constituiría el resguardo mínimo con que se debería contar. No obstante, añadió, esto podría ser materia de otro proyecto de ley.

El Profesor de la Facultad de Ingeniería de la Universidad de Chile, señor Hevia, aclaró que la investigación en seguridad existe porque los sistemas cuando son producidos no son seguros por distintas razones, principalmente económicas. Una vez que estos sistemas están instalados y se encuentran en uso, observadores externos ejercen un rol destinado a mejorar su seguridad. Este proceso requiere un período en el cual los investigadores exploran y examinan estos sistemas, examen que puede consistir en tomar un dispositivo físico (celular o computador), abrirlo, revisar el software y observar cómo funciona o requerir al denominado hacker ético, que constituye un acceso remoto.

En el proceso de acceder remotamente, cualquier investigador que tenga conocimiento de su oficio entiende los límites de lo que puede hacer. Se involucra a los investigadores porque los criminales cibernéticos también buscan la falla del sistema y la explotan en su propio beneficio. Este proceder es similar al del investigador cuando está examinando, lo cual se debe a una razón histórica. El proceso de reporte colabora con que el software, los sistemas y los equipos mejoren. En consecuencia, los investigadores permiten que sistemas que no son testeados con la rigurosidad necesaria evidencien fallas para ayudar a corregirlas. Por eso se requiere que estos profesionales trabajen sin temor a represalias.

Las vulnerabilidades significan un costo para el fabricante o la empresa, que puede ser económico o en su reputación si la vulnerabilidad llega a hacerse pública. En la experiencia comparada las empresas utilizan la amenaza de ejercer acciones judiciales para silenciar a los investigadores. El peligro entonces es censurar un accionar correcto y deseado para contribuir a mejorar los sistemas.

No siempre estos investigadores trabajan o tienen su giro en investigación en seguridad. Como el conocimiento o capacidad para detectar alguna vulnerabilidad ocurre en gente relacionada con tecnología, se debe evaluar el accionar de esta persona más que quién es o dónde trabaja. Esto permite abrir opciones a nuevos potenciales interesados en ciberseguridad para dedicarse a esta área de desarrollo.

En lo que atañe a los usuarios, el Honorable Senador señor Huenchumilla afirmó que el solo acceso genera un grado de preocupación, pudiendo constituir un delito de peligro, pues puede significar el conocimiento de datos personales o sensibles relativos a la privacidad o de carácter pecuniario. Es necesario, por ende, clarificar si esta conducta constituirá un accionar ilícito sin necesidad de que sea deliberado o indebido.

Los investigadores, señaló, intervienen un sistema informático en virtud de un contrato de prestación de servicios profesionales. Siendo esta la hipótesis, hay una cuestión civil y no penal. Distinto es que en virtud de la relación contractual se efectúen acciones indebidas.

El Honorable Senador señor Harboe concordó con lo expuesto, en el sentido de que si bien cabe sancionar el acceso a un sistema informático, no puede ser cualquier acceso, por ejemplo, uno que no sea indebido, de lo contrario podrían suscitarse injustos penales. El texto aprobado en general por el Senado, apuntó, sanciona al que “indebidamente acceda a un sistema informático”, sin asociar ningún daño como consecuencia del acceso para aplicar la sanción. Solo se castiga el mero acceso indebido.

El Profesor de la Facultad de Ingeniería de la Universidad de Chile precisó que el problema no se presenta cuando el investigador en ciberseguridad es contratado. El conflicto se produce cuando el investigador no lo está. La razón por la cual un investigador accede a un sistema informático respecto del cual no ha sido contratado obedece a una circunstancia histórica: sistemas de uso masivo utilizados por ciudadanos parecían tener fallas, pero no estaba establecido quién determinaba si éstas existían. Inicialmente se sostuvo que esto solo podía determinarse por el fabricante, más tarde los académicos sintieron la responsabilidad por las fallas de un sistema informático correspondiente a un servicio público que podía afectar a millones de usuarios. Así la actividad se fue construyendo por fines altruistas y de reputación profesional.

En países desarrollados esta interacción ha llegado al nivel que los investigadores que examinan los sistemas informáticos de las empresas sin contrato, son bienvenidos. Es más, las compañías invitan a que cuando encuentren alguna vulnerabilidad las reporten y se les remunera por ello. Lo anterior revela que la labor del investigador, aunque no esté contratado para examinar el sistema de una empresa, presta un servicio útil, porque permite encontrar fallas que la propia empresa no hubiese podido detectar, lo que le otorga un beneficio económico. Como se trata de un área que requiere conocimientos que no necesariamente posee el fabricante, cobra importancia fomentar esta actividad porque constituye la forma de contar con sistemas seguros.

El personero del Ministerio Público, señor Fernández, expresó su preocupación por la eliminación que hace este proyecto de ley de una norma de la ley N° 19.223, sobre la revelación o difusión de datos contenidos en un sistema de información. La Indicación del Ejecutivo la incorporaba como una situación agravada de acceso ilícito, sin embargo hay casos como el del Banco Estado en que un estudiante de ingeniería en informática sustrajo 250 mil datos de usuarios y en su defensa alegó hacer investigación en ciberseguridad. Por lo mismo, dijo, se debe evitar una eximente en términos amplios: lo que se requiere es sancionar la difusión de datos públicos. Igualmente, hay que hacerse cargo de situaciones que constituyen acceso indebido donde el solo hecho de revisar o conocer la información puede resultar particularmente grave.

El Honorable Senador señor Huenchumilla hizo presente la necesidad de legislar respecto de esta motivación de los investigadores, en relación con el acceso a sistemas sin autorización, considerando que se trataría de una situación excepcional y que no podría replicarse en otros ámbitos.

Enseguida, el señor Hevia comentó que existe una analogía, citada por los investigadores, relativa a la función que desempeña el periodismo investigativo. Este periodismo tiene un rol destinado, por ejemplo, a denunciar casos de corrupción, sin perjuicio de la existencia de estructuras persecutorias para estos casos. Estos periodistas cumplen aquí una función de denuncia. En el mismo sentido, si en su rol de académico observa que sus conciudadanos se encuentran expuestos a ataques debido a un sistema vulnerable, considera de su responsabilidad reportarlo. En suma, dijo, se trata de buscar una fórmula que permita los beneficios de esta actividad y la penalice cuando se ejerce de modo incorrecto.

En un segundo momento de la discusión, al continuar el estudio en particular de este proyecto de la ley, el Ejecutivo planteó un texto en relación con la figura de acceso ilícito, del siguiente tenor:

“Artículo 2°.- Acceso ilícito. El que sin autorización o excediendo la autorización que posea y superando barreras técnicas o medidas tecnológicas de seguridad, acceda a un sistema informático será castigado con la pena de presidio menor en su grado mínimo o multa de once a veinte unidades tributarias mensuales.

Si el acceso fuere realizado con el ánimo de apoderarse o usar la información contenida en el sistema informático, se aplicará la pena de presidio menor en su grado mínimo a medio. Igual pena se aplicará a quien difunda la información a la cual se accedió de manera ilícita, si no fuese obtenida por éste.

En caso de ser una misma persona la que hubiere obtenido y divulgado (difundido) la información, se aplicará la pena de presidio menor en su grado medio.”.

En relación con el texto propuesto, el Profesor, señor Hevia, señaló que la idea original era incorporar la exención de responsabilidad en materia de acceso ilícito con fines investigación, en el mismo artículo, mediante un inciso tercero. Sin perjuicio de ello, manifestó su preocupación respecto de la actual redacción debido a la exigencia de una declaración jurada autorizada ante notario, lo cual podría perjudicar la actividad investigativa. Asimismo, acotó que se exploró la posibilidad de llegar a una solución intermedia, a través de una autorización genérica en un sitio perteneciente a la organización o entidad que es objeto de este acceso ilícito, lo cual constituye un punto de partida razonable para la discusión. No obstante, no aparece en la redacción de la propuesta.

El Académico, señor Álvarez, hizo presente que respecto del acceso ilícito no hubo consenso debido a que, tanto el Ministerio del Interior y Seguridad Pública como el Ministerio Público, no son partidarios de una eximente de responsabilidad penal, trasladando alguna de estas ideas a la futura ley marco de ciberseguridad.

En este orden de ideas, sostuvo que si se pretende incorporar es una eximente de responsabilidad penal para garantizar que los investigadores de seguridad o ciberseguridad puedan desempeñar su trabajo, sin verse compelidos o amenazados con el ejercicio de la acción penal, debe hacerse en la misma norma que regula el acceso ilícito. En efecto, dicha incorporación es lo que va a terminar de delinear o fijar los contornos de aplicación de la disposición.

Asimismo, indicó que, teniendo presente que la propuesta del Ejecutivo y el Ministerio Público extrae del texto la exención de responsabilidad penal, se vuelve a la discusión relativa al ánimo con que las personas van a cometer este delito. En el texto planteado se regresa a la figura “del que sin autorización o excediendo la que posea”. Luego, recordó que en sesiones previas se habló de la necesidad de utilizar la figura del “deliberadamente” en este tipo de ilícitos, tal cual se hace en el artículo 1º, donde se requiere una acción positiva del titular. De otra forma, el estándar probatorio para la configuración del tipo es bastante bajo, teniendo asociado una sanción penal importante.

De igual forma, insistió en la necesidad de considerar la limitación de responsabilidad penal en el texto mismo de la disposición correspondiente, debido a que tendrá una aplicación restringida, es decir, se empleará solo respecto del tipo penal contenido en el artículo 2º. En tanto, el texto propuesto para la ley marco en materia de ciberseguridad establece una cantidad de trabas y obstáculo al ejercicio de la actividad investigativa, que termina por desconocer lo que sucede en la realidad. En efecto, en Estados Unidos la solución en esta materia pasa por la exigencia de una notificación responsable de incidentes como mecanismo para detectar vulnerabilidades y superar este tipo de problemas. Añadió que, si bien no es una solución normativa sino privada propia del sistema norteamericano, es el resultado de veinte años donde los investigadores en ciberseguridad se veían expuestos a sanciones criminales y a ser perseguidos por agencias policiales por encontrar, eventualmente, una vulnerabilidad en un sistema.

Enseguida, reiteró el texto propuesto para el inciso tercero del artículo 2º, del siguiente tenor: “No será considerado ilícito el acceso a un sistema informático realizado sin provocar daño ni perturbación con la finalidad de investigar o detectar sus vulnerabilidades, en cuyo caso se informará, estableciendo inmediatamente al responsable del sistema o a la autoridad pública si fuera necesario.”. De acuerdo al texto referido, explicó que -si no se notifica- no se configura el requisito material para acogerse a la exención de responsabilidad.

El señor Fernández afirmó que el Ministerio Público no puede estar de acuerdo con la inclusión de una eximente de responsabilidad en los términos planteados, por cuanto constituiría una situación de alto riesgo. Asimismo, indicó que existe una normativa vigente que sanciona el acceso ilícito con penas bastante bajas y el proyecto de ley no innova en esta materia, estableciendo básicamente una multa por la infracción. En efecto, en la historia de la aplicación de la ley N° 19.223 no hubo ninguna investigación o penalización de investigadores o científicos. Por lo tanto, el extremo vanguardismo puede ser bastante delicado en este tipo de casos.

En el mismo sentido, comentó que la fórmula planteada por el Ejecutivo es más razonable para efectos de resguardar el debido avance de la ciencia, en un contexto distinto al de la norma penal, como es el relativo a la ciberseguridad.

El Honorable Senador señor Pugh aseveró que el acceso ilícito constituye la materia más compleja a resolver en esta iniciativa legal. Luego, agregó que quienes acceden a un sistema informático, superando barreras técnicas, lo hace no solo para ingresar, sino también para extraer información. Esta ilicitud debe tipificarse.

Lo anterior, afirmó, es distinto a quien accede a un sistema por una situación diversa. En este momento es donde debe producirse esta notificación responsable de incidente. En el derecho comparado existen diversas regulaciones, por ejemplo, en algunos países se optó por la notificación responsables, en tanto en otros casos como España se sanciona el mero acceso sin autorización.

Por otra parte, aclaró que esta normativa no previene un ciberataque, por lo cual estimó interesante ponderar la opción de la notificación responsable para efectos de crear una cultura en esta materia acerca del uso responsable de la tecnología, donde las personas puedan contribuir a la seguridad de los sistemas, mediante el establecimiento de esta eximente. A su vez, sostuvo que la intención era dejar una norma de esta naturaleza para la ley marco sobre ciberseguridad. Lo importante, añadió, es poder contar con evidencia digital que permita determinar que está ocurriendo. Además, planteó la necesidad de contar con un sistema nacional de ciberseguridad que permita alcanzar el desarrollo digital.

El Honorable Senador señor Insulza manifestó su reserva en la aprobación un determinado artículo de un proyecto de ley, condicionado a la incorporación de una norma en una iniciativa legal posterior.

Por su parte, el señor Peña precisó que la idea que subyace a la eximente propuesta por los académicos es incentivar la investigación informática. Sin embargo, el problema que de ello deriva es que se está frente a la discusión de una ley penal, por lo cual, al establecer una eximente de responsabilidad, no se está incentivando la investigación informática, sino que se deja sin efecto la norma que establece el acceso ilícito.

Seguidamente, reflexionó acerca de que nuestro ordenamiento jurídico no se encuentra preparado para contar con este tipo de eximente, entre otras cosas, debido a la inexistencia de limitaciones en ella. A su vez, sostuvo que tampoco existe una delimitación respecto de cuando se entenderá detectada una vulnerabilidad. De esta forma, al momento de aplicar la norma se alegará la eximente por parte de los abogados defensores. Además, si faltará uno de los requisitos para alegarla, podría invocarse la eximente incompleta, pudiendo obtener una rebaja en la pena. Es decir, de la aplicación de una pena de multa se pasaría prácticamente a la impunidad total.

En la actualidad, aseguró, el ordenamiento nacional no provee de un sistema administrativo que establezca normas acerca de lo que se estimará como investigación informática. En función de aquello, se estableció la posibilidad de revisar esta norma en el proyecto de ley marco sobre ciberseguridad. En efecto, en dicho marco se pueden establecer protocolos administrativos acerca de que se entiende por investigación administrativa. Agregó que, en muchos países, se establece una regulación de índole administrativa que viene a prever esta situación. Por lo tanto, el vehículo para innovar no debe ser una ley penal porque quienes cometen este tipo de ilícitos son personas que tienen conocimientos informáticos o tienen la posibilidad de acceder a sistemas informáticos, al desempeñarse al interior de una institución que maneja este tipo de sistemas.

El Honorable Senador señor Harboe señaló que, desde el punto de vista de técnica legislativa, le llama profundamente la atención plantear la penalización de una conducta de manera genérica y que la correspondiente eximente se deje a la dictación de una ley posterior. De esta forma, en el lapso de tiempo que va entre la dictación de esta ley sobre delitos informáticos y aquella relativa a ciberseguridad, se estará desincentivando la investigación informática.

En la experiencia comparada, adujo, una parte importante de las investigaciones se desarrollan a partir de accesos realizados a determinados sistemas informáticos, respecto de los cuales se han identificado vulnerabilidades. Luego, añadió que la capacidad tecnológica que pueda tener el Ministerio Público o las policías es bastante limitada, por lo tanto, la academia puede ser un importante colaborador en este proceso, más que crear una especie de manto de impunidad.

Por otra parte, también afirmó compartir la preocupación de los representantes del órgano persecutor, en cuanto a que la eximente, tal como fue planteada, podría ser alegada por un imputado, incluso como la atenuante de eximente incompleta. Sin perjuicio de lo señalado, propuso evitar el efecto descrito mediante norma expresa que impida alegar la referida atenuante, con el objeto de evitar ese margen de impunidad.

A continuación, el Profesor, señor Álvarez, propuso el siguiente texto para el inciso tercero del artículo 2° relativo al acceso ilícito, del siguiente tenor:

“No será considerado ilícito el acceso a un sistema informático realizado sin provocar daño ni perturbación y con la finalidad de investigar o detectar sus vulnerabilidades, en cuyo caso se informará inmediatamente de los hallazgos en materia de seguridad informática, tanto al responsable del sistema, si ello fuera posible, como a la autoridad competente del Ministerio del Interior y Seguridad Pública.”.

En relación con el texto propuesto, el Honorable Senador señor Harboe advirtió que, como primer elemento, se establece una especie de constancia que se debe dejar en la página web de la institución, con la finalidad de acreditar la calidad de investigador. El segundo elemento, indicó, sería la prohibición de alegar la atenuante de eximente incompleta en esta materia.

Enseguida, hizo presente que una serie de entidades, en nuestro país o en el extranjero, cuentan con personas que son autodidactas y no son formadas académicamente en materia informática. En consecuencia, es necesario buscar un mecanismo que establezca una eximente de responsabilidad, pero no condicionada a la dictación de una ley posterior.

Al retomar el uso de la palabra, el señor Peña comentó que el texto sugerido no hace aplicable, únicamente a la academia, la eximente de responsabilidad. El problema, agregó, es que la mayoría de los imputados en materia de acceso ilícito tienen conocimientos acerca de delitos informáticos. En consecuencia, la dificultad radica en determinar cuando una persona está realizando una investigación informática. De esta forma, en la práctica, el abogado defensor invocará la eximente y el fiscal deberá acreditar que no se estaba realizando una investigación informática, con el evidente obstáculo de probar un hecho negativo.

Por otra parte, consultó cuál sería la autoridad competente del Ministerio del Interior y Seguridad Pública. Al parecer, dijo, se trataría de un organismo que no se ha creado aún. El incentivo a la investigación informática debe estar dotado de una plataforma o herramientas que permitan su desarrollo. Asimismo, enfatizó en que todos estos elementos no pueden incluirse en una ley penal.

El Honorable Senador señor Insulza acotó que, de la forma en que se redacta, el texto planteado deja una ventana abierta a la penetración de sistemas, no obstante, estar de acuerdo con el incentivo a la investigación informática.

A continuación, el Ejecutivo planteó una norma que agrega una letra z) al artículo 5° de la ley N° 17.336 sobre propiedad intelectual, con el objeto de adecuar esta normativa al Tratado de Libre Comercio (TLC) celebrado con Estados Unidos, del siguiente tenor:

“Artículo 5°- Para los efectos de la presente ley, se entenderá por:

z) Medida tecnológica efectiva de protección: cualquier tecnología, dispositivo o componente que, en el curso normal de su operación, controle el acceso a una obra, interpretación o ejecución, o fonograma protegidos por derechos de autor o derechos conexos, y que no pueden, de manera usual, ser eludidos accidentalmente.”.

En relación con el texto sugerido, el Profesor, señor Hevia, señaló que la inclusión de este tipo de definición se ha tomado de la legislación norteamericana dictada en el año 2001, la cual ha sido profundamente criticada en términos de ciberseguridad.

El Profesor, señor Álvarez, indicó que la norma contiene una obligación contraída por nuestro país en la suscripción del Tratado de Libre Comercio (TLC) celebrado con Estados Unidos, en el año 2003, el cual no ha sido implementado. La explicación de esta no implementación se debe a que -en administraciones anteriores- se decidió dejar fuera esta materia porque tiene una cantidad de efectos no deseados en el sistema de protección de la propiedad intelectual, especialmente desde el punto de vista de los usuarios, consumidores y biblioteca. Luego, explicó que las medidas tecnológicas de protección son básicamente un candado digital que impide acceder a una obra o reproducirla. A su vez, explicó que el TLC dispone que deben establecerse dos tipos distintos de medidas tecnológicas de protección, en tanto acá solo se habla de una (acceso).

La complejidad de este tema, adujo, llega a tal nivel que el gobierno de Estados Unidos, a través de la biblioteca del Congreso, cada dos años establece un conjunto de excepciones para regular estos efectos no deseados. De esta forma, incluir medidas tecnológicas de protección en la ley de delitos informáticos activará a una serie de organizaciones que solicitarán ser incluidas en la discusión, haciendo más engorrosa la tramitación de la iniciativa legal.

Por otra parte, afirmó que, si bien se entiende la necesidad de implementar la obligación de TLC con Estados Unidos, éstas y otras materias urgentes de reformar en nuestra ley de propiedad intelectual, deben regularse mediante un proyecto de ley aparte.

En una siguiente sesión, el Jefe de asesores del Ministerio del Interior y Seguridad Pública recordó que los académicos han abogado por una fórmula donde la actividad de investigación informática se encuentre exenta de responsabilidad penal o, al menos, que -en el tipo penal de acceso ilícito- se establezca un ánimo trascedente relacionado con la finalidad delictiva que perseguiría la acción. Sin embargo, comentó que un ánimo trascendente de esa naturaleza podría derivar en la ineficacia de la norma. En rigor, acreditar la psiquis del sujeto constituye una difícil tarea en materia probatoria. De igual forma, advirtió que avanzar en dicho sentido supondría vulnerar la privacidad en pos de la investigación informática.

En razón de lo anterior, señaló que se planteó la posibilidad de establecer una regla de autorización, para efectos de habilitar sujetos que realicen actividad de investigación científica en materia informática. No obstante, dicha regla no se incluiría en el tipo penal de acceso ilícito, por cuanto éste constituye el delito base de toda la estructura de los delitos informáticos. A su vez, hizo presente que la idea de esta regulación es dar cumplimiento al Convenio de Budapest y contar con una legislación efectiva y eficaz en la persecución de los delitos informáticos. Asimismo, enfatizó que en el derecho comparado no existen eximentes en los términos planteados por los profesores, por lo cual se pretende que nuestro país innove en esta materia.

Enseguida, el señor Celedón propuso un artículo 2°, relativo al acceso ilícito, del siguiente tenor:

“Artículo 2°.- Acceso ilícito. El que si autorización o excediendo la autorización que posea y superando barreras técnicas o medidas tecnológicas de seguridad, acceda a un sistema informático será castigado con la pena de presidio menor en su grado mínimo o multa de once a veinte unidades tributarias mensuales.

Si el acceso fuere realizado con el ánimo de apoderarse o usar la información contenida en el sistema informático, se aplicará la pena de presidio menor en su grado mínimo a medio. Igual pena se aplicará a quien difunda la información a la cual se accedió de manera ilícita, si no fuese obtenida por éste.

En caso de ser una misma persona la que hubiere obtenido y divulgado (difundido) la información, se aplicará la pena de presidio menor en su grado medio.”.

En relación con los textos sugeridos a la Comisión, el señor Fernández señaló estar de acuerdo con la pena dispuesta en el artículo 2° propuesto, lo cual permite una sanción adecuada en situaciones de no autorización. De esta manera, la fórmula planteada constituye un avance respecto de la norma aprobada en general.

Por su parte, el Profesor, señor Álvarez, comentó que, si bien el texto propuesto significa un avance, produciría el efecto de que, quien esté realizando una investigación de seguridad y realice un acceso no autorizado, será objeto de sanción penal. Es decir, el mero acceso será objeto de penalidad. Luego, añade que, si una persona tiene autorización para realizar esta acción, el nuevo artículo propuesto para el ethical hacking no tendría sentido, pues desaparece el requisito esencial de “sin autorización”.

Luego, aclaró que en el derecho comparado no existe experiencia relativa a una norma que -en forma expresa- disponga que el mero acceso no autorizado, realizado con fines de investigación, esté exento de sanción penal, lo cual se debe a una circunstancia histórica. En efecto, el estándar internacional en materia de persecución de delitos informáticos es el contenido en el Convenio de Budapest del cibercrimen, del año 2003, que recoge la discusión doctrinaria de la delincuencia informática de los años 90’s en Europa y los Estados Unidos. En consecuencia, se estaría incorporando en esta normativa un estándar de hace dos décadas. Asimismo, destacó que existe experiencia comparada positiva, recogida principalmente por el mercado, para resolver este problema, por ejemplo, las empresas pagan por recibir notificaciones acerca de este tipo de vulnerabilidad. Sin embargo, esta solución de mercado tiene el problema de discriminar a quienes no pueden pagar un programa de este tipo.

Enseguida, sostuvo que los investigadores informáticos buscan vulnerabilidades que afecten a la mayor cantidad de personas. Por lo tanto, si la norma de ethical hacking se deja en los términos en que se encuentra planteada va a beneficiar únicamente a las grandes corporaciones y los investigadores en seguridad informática serán objeto de sanción penal. Al respecto, manifestó no estar de acuerdo con dicha regulación, porque el diagnóstico actual señala que estamos en posición de ser uno de los países aventajados que pueden sacar una lección positiva de esta coyuntura.

Asimismo, precisó que se puede materializar el incentivo mediante dos vías: la exención de responsabilidad penal y la calificación de la conducta trascendente del sujeto para determinar si es objeto de sanción penal. En este sentido, propuso sancionar penalmente al que acceda sin autorización, pero además con un propósito claro, usar o apropiarse de la información. Esta fórmula vuelve a poner un punto de equilibrio, en el cual el mero acceso no autorizado, realizado con el propósito de encontrar vulnerabilidades, no será objeto de reproche penal. De esta forma, se incentiva la existencia de este tipo de actividad, que permite contar con mejores niveles de ciberseguridad. En tanto, lo que intentará hacer un delincuente es apropiarse o usar la información, respecto de lo cual podría discutirse incluso un incremento de las sanciones.

A continuación, el Profesor, señor Álvarez, sugirió un artículo 2° del siguiente tenor:

“Artículo 2°. Acceso ilícito. El que sin autorización o excediendo la que posea y superando barreras técnicas o medidas de seguridad, acceda a un sistema informático con el ánimo de apoderarse o usar la información contenida en él, será castigado con la pena de presidio menor en su grado mínimo o multa de once a veinte unidades tributarias mensuales.

Igual pena se aplicará a quien difunda la información a la cual accedió de manera ilícita si no fuese obtenida por éste. En caso de ser una misma persona la que hubiere obtenido y divulgado la información, se aplicará la pena de presidio menor en su grado medio.”.

En relación con el inciso primero del texto planteado, el Honorable Senador señor Harboe advirtió que se estaría penalizando un delito de resultado, esto es, apropiarse o usar. Bajo este prisma, agregó que la conducta, de quien ingresa solamente para verificar alguna vulnerabilidad, no se encontraría penalizada.

El señor Celedón hizo presente que la propuesta contempla tres requisitos, a saber: ánimo, no autorización y superación de barreras. En consecuencia, en el marco de una investigación penal deben acreditarse esos tres elementos. Sin considerar que el ánimo es extremadamente complejo de acreditar.

Por otra parte, reiteró que, considerando que el acceso ilícito es el delito base de los ilícitos informáticos, el estándar sería demasiado alto. En tanto, el texto acordado entre el Ministerio del Interior y Seguridad Pública y el Ministerio Público crea una figura agravada al existir el ánimo de apropiación. El acceso ilícito con ánimo trascendente posee una penalidad distinta que va desde 61 días a 3 años. De esta forma, un investigador podría estar sujeto eventualmente a persecución penal, pero es difícil que el Ministerio Público persiga a alguien por esa sanción, por lo cual se utilizaría el principio de oportunidad, en el evento que el interés público no se encuentre comprometido.

Por su parte, el señor Peña explicó que el problema del texto sugerido por los Profesores es que establece la presencia de un ánimo, que dice relación con una conducta posterior al acceso ilícito, es decir, ánimo de apoderarse y usar. En este sentido, resaltó la dificultad de probar el ánimo en esta materia, considerando que este ilícito es la puerta de entrada a cualquier otro delito informático y que conlleva una penalidad bajísima. Así la cosas, en la mayoría de los casos, cuando concurra una circunstancia atenuante, por ejemplo, irreprochable conducta anterior, no se podrá probablemente aplicar la pena de presidio, sino que la de multa. Asimismo, si concurren dos atenuantes no podría aplicarse pena alguna.

Luego, llamó la atención acerca de que la norma propuesta es más peligrosa que la exención de responsabilidad, por cuanto no podría aplicarse en contra de ningún delincuente informático debido a la dificultad de probar el ánimo de apoderarse o usar la información.

En el mismo orden de ideas, precisó que, en el caso de un investigador informático que hubiese ingresado sin el ánimo señalado, no podría ser perseguido penalmente. En cambio, en la propuesta del Ministerio del Interior y Seguridad Pública se avanza al establecer los términos acerca de la forma de realizar la autorización, disponiéndose un incentivo para la investigación informática.

El Profesor, señor Hevia, comentó que, este tipo de normas va generar un efecto inhibitorio, en razón del riesgo al que se estaría expuesto. De esta forma, se optaría por el camino equivocado, si se pretende mejorar las condiciones en ciberseguridad. A su vez, añadió que la experiencia internacional demuestra que se ha fomentado la investigación informática y se ha tratado de evitar el efecto inhibitorio señalado anteriormente.

El señor Farren hizo hincapié en que el referido efecto inhibitorio existe en prácticamente todas las legislaciones comparadas que se revisaron. En consecuencia, la industria de los investigadores informáticos opera en este tipo de legislaciones. Así, por ejemplo, las empresas establecen protocolos respecto de los investigadores que buscarán y reportarán vulnerabilidades en los sistemas informáticos. Asimismo, les advierten que, a pesar de dar cumplimiento al protocolo, se podría incumplir la ley y ser objeto de persecución penal.

Posteriormente, indicó que el Consejo de Europa ha señalado que la investigación de vulnerabilidades con una finalidad de interés público, genera un mapa del sistema que puede ser utilizado por cualquier persona con la intención de cometer un delito. Por lo tanto, al exigir ciertos estándares al responsable de la correspondiente base de datos, se abre la posibilidad a que los investigadores accedan y se conecten.

El Honorable Senador señor Huenchumilla precisó que los académicos persiguen que no se coloque restricción a la investigación con el objeto de mantener incentivos en esta materia. Luego, preguntó acerca de la posibilidad de que la técnica, en materia informática, esté sujeta a reglas.

Por otra parte, advirtió que incorporar elementos subjetivos en los tipos penales, más allá del dolo mismo del delito, se refleja en el artículo 1° de la ley N° 18.314 que determina conductas terroristas y fija su penalidad. Sin embargo, la jurisprudencia de la Corte Suprema e Interamericana de Derechos Humanos ha demostrado la imposibilidad de acreditar los delitos terroristas debido al elemento subjetivo.

El Honorable Senador señor Pugh recordó que, por una parte, se pretende elevar los estándares de protección de datos personales y, por otra, se busca generar una nueva institucionalidad para proteger infraestructura crítica. El problema se genera por la cantidad de sistemas informáticos que existen, considerando que la protección de datos personales se encuentra garantizada por la Constitución Política.

En el desarrollo tecnológico, afirmó, existen los sistemas que se encuentran en testing, donde los datos que contiene no son sensibles. En tanto, los sistemas productivos contienen este tipo de datos. De esta forma, se puede investigar y proteger la información, distinguiendo al criminal de los investigadores.

Por otra parte, hizo referencia a la dificultad que constituye calificar el ánimo, por lo cual se inclinó por una regulación que separe los sistemas de prueba.

El señor Fernández comentó que el fundamento de la norma es la investigación académica, por lo cual sería adecuado que ella hiciera expresa referencia a este estudio sin fines de lucro. Luego, añadió que -en esta actividad- se puede acceder a información extremadamente sensible, lo cual es muy complejo. Asimismo, hizo presente que para avanzar en esta materia es necesario tener bien resguardado lo referente a datos personales.

Al volver a hacer uso de la palabra, el Honorable Senador señor Harboe indicó que, por una parte, se encuentra la inquietud acerca de la inhibición de la investigación académica y, por otra, la de generar una apertura que conlleve una vulnerabilidad mayor, al establecer una eximente de responsabilidad, por cuanto, al perpetrar delitos informáticos se esgrimirá que se está realizando algún tipo de investigación.

Enseguida, comentó que la propuesta del Ejecutivo le hace fuerza. En efecto, en primer lugar, se trata de una figura base, es decir, será aquella que se considere para todo el catálogo de conductas contenidas en esta iniciativa legal. Por lo tanto, establecer el ánimo en esta figura puede generar una enorme complejidad. Luego, señaló que el verbo rector -en el inciso primero del artículo relativo al acceso ilícito- es acceder, lo cual supone que alguien ha podido penetrar un sistema informático. Esta penetración debe reunir como requisitos: la ausencia de autorización o haber excedido la misma y la superación de barreras técnicas. Esta conducta, agregó, acarrea una penalidad baja, lo cual puede ser cuestionable en el caso que se acceda a información extremadamente sensible.

En lo que respecta al inciso segundo, llamó la atención acerca de la exigencia de un ánimo (usar o apropiarse) y la aplicación de una sanción mayor. De igual forma, se regula la acción de difundir. Sin embargo, puede ocurrir que la persona que difunde sea distinta de aquella que accede, por lo cual tienen una penalidad diversa. En cambio, cuando quien accede y difunde es el mismo sujeto, tiene una penalidad mayor. En consecuencia, estimó que el tipo penal se encuentra bien construido, considerando la baja penalidad del acceso. Por lo tanto, en la práctica ocurrirá que no habrá persecución penal, más si reproche.

En relación con la hipótesis de la persona que accede ilícitamente y, a su vez, difunde, contenida en el inciso tercero, hizo presente que su penalidad es de presidio menor en su grado medio, es decir, de 541 días a tres años. Sin embargo, el daño que puede provocar esta conducta es enorme. En efecto, prácticamente puede significar la muerte civil de una persona, o bien, una afectación laboral o una violación de secretos industriales que afecte el modelo de negocios de una empresa. De esta forma, propuso dejar al juez la potestad de aplicar la pena entre presidio menor en su grado medio a máximo.

Seguidamente, aclaró que -en una primera hipótesis- se contempla acceder con ánimo de apoderarse y usar. Asimismo, la misma pena se aplica a quien no accede, pero difunde. La última premisa, se refiere a quien accede y, además, difunde, por lo cual se debiera aplicar una pena mayor.

El Honorable Senador señor Elizalde coincidió con lo planteado con el Honorable Senador señor Harboe, por cuanto la difusión le entrega una mayor gravedad al hecho, por lo cual se debiese considerar tres escalas de penas posibles.

A su turno, el Profesor, señor Álvarez, advirtió que nuestro Código Penal, en el artículo 161 A, sanciona la captura, interceptación, grabación, reproducción, fotografías, fotocopias, etc., relativa a información personal.

Luego, recordó que la propuesta de los académicos tenía por objeto eximir de responsabilidad a quien, realizando una labor de investigación y notificando inmediatamente la vulnerabilidad, pudiese acogerse a la regla. Asimismo, señaló que debemos cuestionarnos si preferimos que el sujeto notifique inmediatamente la vulnerabilidad o que se abstenga de hacerlo, no obstante, lo sensible que pueda ser la información. Al respecto, afirmó que es preferible que el sujeto -al acceder- proceda a practicar la notificación de la vulnerabilidad de inmediato. En la práctica, optar por la alternativa contraria no permitirá que la actividad de investigación informática se fomente. Del mismo modo, compartió la observación acerca de la dificultad de acreditar el ánimo subjetivo en este tipo de delitos, por ello siempre se ha mostrado partidario de la eximente de responsabilidad de derecho estricto.

A continuación, el Presidente de la Comisión sometió a votación el texto del artículo 2°, relativo a acceso ilícito, sugerido por el Ejecutivo.

-Sometida a votación ad referéndum la idea contenida en el artículo 2° propuesto por el Ejecutivo, fue aprobada con la enmienda señalada, por la unanimidad de los miembros presentes, Honorables Senadores señores Harboe, Huenchumilla, Elizalde y Pugh.

De esta forma, el texto del artículo 2º propuesto fue aprobado del siguiente tenor:

“Artículo 2°.- Acceso ilícito. El que si autorización o excediendo la autorización que posea y superando barreras técnicas o medidas tecnológicas de seguridad, acceda a un sistema informático será castigado con la pena de presidio menor en su grado mínimo o multa de once a veinte unidades tributarias mensuales.

Si el acceso fuere realizado con el ánimo de apoderarse o usar la información contenida en el sistema informático, se aplicará la pena de presidio menor en su grado mínimo a medio. Igual pena se aplicará a quien difunda la información a la cual se accedió de manera ilícita, si no fuese obtenida por éste.

En caso de ser una misma persona la que hubiere obtenido y difundido la información, se aplicará la pena de presidio menor en su grado medio a máximo.”.

Finalmente, todas las ideas planteadas y acordadas por la Comisión acerca del artículo 2°, que regula el acceso ilícito, se materializaron en la indicación 11 bis ingresada por el Ejecutivo, del siguiente tenor:

Indicación N° 11 bis.-

De Su Excelencia el Presidente de la República, para sustituirlo por el siguiente:

“Artículo 2°.- Acceso ilícito. El que sin autorización o excediendo la autorización que posea y superando barreras técnicas o medidas tecnológicas de seguridad, acceda a un sistema informático será castigado con la pena de presidio menor en su grado mínimo o multa de once a veinte unidades tributarias mensuales.

Si el acceso fuere realizado con el ánimo de apoderarse o usar la información contenida en el sistema informático, se aplicará la pena de presidio menor en su grado mínimo a medio. Igual pena se aplicará a quien divulgue la información a la cual se accedió de manera ilícita, si no fuese obtenida por éste.

En caso de ser una misma persona la que hubiere obtenido y divulgado la información, se aplicará la pena de presidio menor en sus grados medio a máximo.”.

En relación con esta indicación, el señor Celedón explicó que, en el texto del artículo en discusión, se sustituyó el término “difunda” por “divulgue, atendido a que este último concepto se refiere a transmitir a personas concretas, en tanto la difusión tiene un carácter más general. En consecuencia, la divulgación entiende comprendida la difusión.

- Sometida a votación esta indicación, fue aprobada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Insulza, Kast y Pérez.

Inciso primero

Indicación N° 12

De las Honorables Senadoras señoras Rincón y Aravena, proponen sustituirlo por el que sigue:

“Artículo 2°. Acceso ilícito. El que indebida y maliciosamente acceda a un sistema informático vulnerando, evadiendo o transgrediendo medidas de seguridad destinadas para impedir dicho acceso, será castigado con presidio menor en su grado mínimo a medio.”.

- Sometida a votación esta indicación, fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Elizalde, Harboe, Huenchumilla y Pugh.

Indicación N° 13.-

Del Honorable Senador señor Girardi, para reemplazar la palabra “indebidamente” por la expresión “en forma deliberada e ilegítima”.

- Sometida a votación esta indicación, fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Elizalde, Harboe, Huenchumilla y Pugh.

Indicación N° 14.-

De los Honorables Senadores señores Araya, Harboe e Insulza, para reemplazar la palabra “indebidamente” por “de forma deliberada e ilegítima, y vulnerando alguna medida de seguridad”.

- Sometida a votación esta indicación, fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Elizalde, Harboe, Huenchumilla y Pugh.

Indicación N° 15.-

De los Honorables Senadores señores Araya, Harboe e Insulza, para agregar a continuación de la expresión “sistema informático”, la siguiente frase: “con ánimo de conocer, apropiarse o utilizar información contenida en él”.

- Sometida a votación esta indicación, fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Elizalde, Harboe, Huenchumilla y Pugh.

Indicación N° 16.-

De los Honorables Senadores señores Araya, Harboe e Insulza, para sustituir la expresión “mínimo o multa” por “mínimo y multa”.

- Sometida a votación esta indicación, fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Elizalde, Harboe, Huenchumilla y Pugh.

Inciso segundo

Indicación N° 17.-

De los Honorables Senadores señores Araya, Harboe e Insulza, proponen reemplazarlo por el siguiente:

“La misma pena será aplicable a aquella persona que difunda, publique o comercialice la información contenida en un sistema informático, a sabiendas de que fue obtenida con infracción a las disposiciones contenidas en el inciso anterior. Si una misma persona fuese responsable de la conducta descrita en el inciso anterior y de la posterior difusión, publicación o comercialización de la información contenida en dicho sistema informático, será castigado con presidio menor en su grado mínimo a medio.”.

- Sometida a votación esta indicación, fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Elizalde, Harboe, Huenchumilla y Pugh.

Indicación N° 18.-

Del Honorable Senador señor Girardi, propone reemplazar la palabra “indebidamente” por la expresión “en forma deliberada e ilegítima”.

- Sometida a votación esta indicación, fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Elizalde, Harboe, Huenchumilla y Pugh.

Indicación N° 19.-

De las Honorables Senadoras señoras Rincón y Aravena, consultan agregar después de la palabra “acceda” la siguiente frase: “a un sistema informático en la forma señalada en el inciso anterior, y”.

- Sometida a votación esta indicación, fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Elizalde, Harboe, Huenchumilla y Pugh.

Indicación N° 20.-

De las Honorables Senadoras señoras Rincón y Aravena, para reemplazar la expresión “mínimo a medio” por “medio a máximo”.

- Sometida a votación esta indicación, fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Elizalde, Harboe, Huenchumilla y Pugh.

Inciso tercero

Indicación N° 21.-

De las Honorables Senadoras señoras Rincón y Aravena, para suprimirlo.

- Sometida a votación esta indicación, fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Elizalde, Harboe, Huenchumilla y Pugh.

Indicación N° 22.-

De los Honorables Senadores señores Araya, Harboe e Insulza, proponen sustituirlo por el que sigue:

“No será objeto de sanción penal el que realizando labores de investigación en seguridad informática hubiere incurrido en los hechos tipificados en el inciso primero, notifique sin demora al responsable del sistema informático de que se trate, las vulnerabilidades o brechas de seguridad detectadas en su investigación.”.

- Sometida a votación esta indicación, fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Elizalde, Harboe, Huenchumilla y Pugh.

Indicación N° 23.-

Del Honorable Senador señor Girardi, para agregar después de la expresión “medidas de seguridad” la locución “que sea adecuado para su protección”.

- Sometida a votación esta indicación, fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Elizalde, Harboe, Huenchumilla y Pugh.

o o o

Indicación N° 24.-

Del Honorable Senador señor Girardi, propone agregar un inciso nuevo, del siguiente tenor:

“No será considerado acceso ilícito el realizado por la o las personas que acceden con finalidad de investigación, estudio o detección de vulnerabilidades de los sistemas informáticos, sin que con ello cause daño o perjuicio, debiendo informar al más breve plazo de hallazgos en materia de seguridad si existieren. Si así no lo hiciera, se presumirá que su acceso fue deliberado e ilegítimo.”.

- Sometida a votación esta indicación, fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Elizalde, Harboe, Huenchumilla y Pugh.

o o o

ARTÍCULO 3°.-

En su inciso primero, y en relación con la “interceptación ilícita”, sanciona al que indebida y maliciosamente intercepte o interfiera la transmisión no pública de información entre los sistemas informáticos, con presidio menor en su grado mínimo a medio.

En su inciso segundo, sanciona al que capte ilícitamente datos contenidos en sistemas informáticos a través de las emisiones electromagnéticas de los dispositivos, con presidio menor en su grado medio a máximo.

Indicación N° 25.-

Del Honorable Senador señor Durana, propone reemplazarlo por el siguiente:

“Artículo 3°.- Interceptación ilícita. El que indebida y maliciosamente intercepte o interfiera, a través de cualquier medio, la transmisión de datos entre sistemas informáticos públicos o privados, será castigado con presidio menor en su grado mínimo a medio.”.

Indicación N° 26.-

Del Honorable Senador señor Girardi, propone sustituirlo por el que sigue:

“Artículo 3°.- Interceptación ilícita: el que de forma deliberada e ilegítima intercepte datos informáticos en transmisiones no públicas dirigidas a un sistema informático, en los originados en el mismo sistema informático o dentro del mismo o que se transmiten por frecuencias radioeléctricas, será castigado con presidio menor en su grado mínimo a medio.”.

Indicación N° 27.-

De Su Excelencia el Presidente de la República, consulta reemplazarlo por el siguiente:

“Artículo 3°.- Interceptación ilícita. El que indebidamente intercepte, interrumpa o interfiera, por medios técnicos, la transmisión no pública de información en un sistema informático o entre dos o más de aquellos, será castigado con la pena de presidio menor en su grado medio.

El que, sin contar con la debida autorización, capte, por medios técnicos, datos contenidos en sistemas informáticos a través de las emisiones electromagnéticas provenientes de éstos, será castigado con la pena de presidio menor en su grado medio a máximo.”.

Inciso primero

Indicación N° 28.-

Del Honorable Senador señor Pugh, para reemplazar la expresión “indebida y maliciosamente” por la siguiente: “de forma deliberada y sin estar autorizado”.

Indicación N° 29.-

De los Honorables Senadores señores Araya, Harboe e Insulza, para reemplazar las palabras “indebida y maliciosamente” por “de manera deliberada e ilegítima”.

Indicaciones N°s. 30 y 31.-

Del Honorable Senador señor Pugh, y de los Honorables Senadores señores Araya, Harboe e Insulza, respectivamente, para agregar después de la voz “informáticos” la expresión “por medios técnicos”.

- - -

En lo concerniente a este grupo de indicaciones, el señor Celedón sostuvo que mediante estas enmiendas se salvarían diversas observaciones planteadas por distintos académicos y la Corte Suprema con ocasión de la discusión en general de la iniciativa, principalmente en lo relativo a la descripción del elemento culpabilidad.

El Profesor señor Álvarez precisó que si bien la enmienda propuesta por el Ejecutivo subsana algunas de las observaciones críticas que se hicieron, queda pendiente un debate acerca de la calificación de la conducta. En este sentido, según dijera, el término “maliciosamente” debería quedar excluido de la discusión, toda vez que se halla en retirada entre los tratadistas y del debate doctrinal.

A diferencia del tipo penal del artículo 1°, añadió, la conducta en este caso tendría una graduación mayor y el término “indebidamente” puede serle apropiado. El concepto “ilegítimamente” para los tipos penales contemplados en esta iniciativa legal hace una referencia circular que nada aportaría y obligará al juzgador a reunir dos requisitos subjetivos para calificar la conducta, lo cual entorpece la aplicación práctica de la norma.

De este modo, arguyó, sobre la base de la Indicación del Ejecutivo más lo agregados contenidos en las indicaciones 30 y 31 acerca de los medios técnicos, cabría analizar la calificación de la conducta y definir el grado de intensidad que se espera de este tipo penal, desde lo más estricto (o “deliberadamente”) hasta lo más flexible (o “indebidamente”).

A juicio del representante del Ministerio Público, señor Fernández, la Indicación del Ejecutivo establece adecuadamente una sanción gradual con un nivel mínimo de severidad, pero superior al establecido originalmente en el Mensaje. La pena sería pertinente, si se acepta la diferenciación que se efectúa en los incisos primero y segundo según la gravedad de la captación de datos, más allá de la interferencia.

Sobre los elementos subjetivos del tipo penal, el personero estuvo por establecer un criterio común en relación con todos ellos. Y en lo que atañe a la supresión del término “maliciosamente”, sostuvo que obedecería a la interpretación–no unánime- que entiende que no cabe el dolo eventual en este tipo de conductas. Con todo, dijo, las expresiones “deliberada” e “indebidamente” podrían cubrir correctamente ese aspecto.

El Honorable Senador señor Insulza se mostró partidario de rechazar las indicaciones 25 y 26; aprobar la indicación 27, y considerar los agregados contenidos en las indicaciones 28, 29 y 30, optando por un concepto referido al elemento subjetivo del tipo penal.

El Honorable Senador señor Pugh señaló que las medidas intrusivas, autorizadas para obtener evidencia o practicadas como medidas de inteligencia, permitirán reforzar lo que se busca: fortalecer la protección penal del bien jurídico, mediante la tipificación de una conducta perfectamente descrita y adecuadamente penalizada.

Concluido el debate, el señor Presidente propuso aprobar la indicación número 27, utilizando el término “indebidamente”, entendiendo subsumidas las indicaciones números 28, 29, 30 y 31. Además, planteó fijar como criterio normativo la eliminación del concepto “maliciosamente” de todos los tipos penales de este proyecto de ley, para la necesaria coherencia de su articulado.

- En ese entendido y sometidas a votación las indicaciones N°s. 25 y 26, fueron rechazadas por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Huenchumilla, Insulza y Pugh.

- Enseguida, y sometidas a votación las indicaciones N°s. 27, 28, 29, 30 y 31, fueron aprobadas con enmiendas por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Huenchumilla, Insulza y Pugh.

ARTÍCULO 4°.-

En lo que atañe al “daño informático”, sanciona al que maliciosamente altere, borre o destruya datos informáticos, con presidio menor en su grado medio, siempre que con ello se cause un daño serio al titular de los mismos.

Indicación N° 32.-

Del Honorable Senador señor Durana, propone sustituirlo por el que sigue:

“Artículo 4.- Daño informático. El que dolosamente altere, borre o destruya datos informáticos, será castigado con presidio menor en su grado medio, siempre que con ello se cause un daño irreparable al titular de los mismos.”.

Indicaciones N°s. 33 y 34.-

Del Honorable Senador señor Pugh, y de los Honorables Senadores señores Araya, Harboe e Insulza, respectivamente, proponen sustituir la expresión “Daño Informático” por “Ataque a la integridad de los datos”.

Indicación N° 35.-

De Su Excelencia el Presidente de la República, para reemplazar la expresión “Daño Informático” por “Ataque a la integridad de los datos informáticos”.

Indicación N° 36.-

Del Honorable Senador señor Pugh, para reemplazar la locución “maliciosamente altere, borre o destruya” por la siguiente: “de forma deliberada e ilegítima dañe, borre, deteriore, altere o suprima”.

Indicación N° 37.-

Del Honorable Senador señor Girardi, para reemplazar la palabra “maliciosamente” por la expresión “en forma deliberada e ilegítima”.

Indicación N° 38.-

De los Honorables Senadores señores Araya, Harboe e Insulza, para reemplazar la palabra “maliciosamente” por la expresión “de manera deliberada e ilegítima”.

Indicación N° 39.-

De Su Excelencia el Presidente de la República, para reemplazar la voz “maliciosamente” por “indebidamente”.

Indicación N° 40.-

De los Honorables Senadores señores Araya, Harboe e Insulza, para agregar a continuación de “borre,” las palabras “deteriore, dañe, suprima”.

Indicación N° 41.-

De las Honorables Senadoras señoras Rincón y Aravena, para eliminar la frase “, siempre que con ello se cause un daño serio al titular de los mismos”.

Indicaciones N°s. 42, 43 y 44.-

Del Honorable Senador señor Girardi; del Honorable Senador señor Pugh, y de Su Excelencia el Presidente de la República, respectivamente, proponen sustituir el vocablo “serio” por “grave”.

Indicación N° 45.-

De los Honorables Senadores señores Araya, Harboe e Insulza, para reemplazar el vocablo “serio” por “considerable”.

Indicación N° 46.-

De los Honorables Senadores señores Araya, Harboe e Insulza, para reemplazar la locución “los mismos” por “éstos mismos”.

o o o

Indicación N° 47.-

De las Honorables Senadoras señoras Rincón y Aravena, consulta el siguiente inciso, nuevo:

“Si la alteración, eliminación o destrucción de datos informáticos causare daño serio al titular de los mismos, la pena se aumentará en un grado.”.

- - -

El Jefe de Asesores del Ministerio del Interior y Seguridad Pública, luego de acotar que este conjunto de indicaciones recoge observaciones surgidas con ocasión de la discusión en general de la iniciativa y buscaría adaptar de mejor manera el texto del Mensaje a la nomenclatura del Convenio de Budapest, sostuvo que en el epígrafe, respecto del daño, se sustituyó “serio” por “grave” (a fin de fijarle un estándar al daño y habilitar la vía penal) y se agregó la idea del ataque a los datos informáticos. La diferencia nuevamente se produce a propósito del carácter “indebido”, “deliberado” o “ilegítimo” de la conducta típica.

El representante del Ministerio Público, señor Fernández, previno que esta regulación significa un cambio importante en la legislación penal vigente: hoy el artículo 3° de la ley N° 19.223 sanciona el daño malicioso de un sistema sin la exigencia adicional de gravedad que se incorpora en esta nueva propuesta. Lo anterior, añadió, tendrá efectos en relación con lo que se podrá perseguir o investigar penalmente. Enseguida, recordó que el Ejecutivo de la época formuló una reserva en esta materia, en virtud de la cual Chile no queda obligado a legislar de una manera determinada. Al respecto, se haría necesaria una fórmula que no excluya daños a un sistema informático.

Por su parte, el Profesor señor Álvarez hizo presente que, en circunstancia que habría cierto consenso en cuanto a que se trata de una forma de ataque a la integridad de un sistema informático, el bien jurídico protegido aquí es propiamente el dato. En este ámbito, aunque podrían replicarse cada uno de los términos utilizados para describir acciones en el Convenio de Budapest, en el idioma español hay conceptos que son sinónimos, tales como, suprimir, borrar, dañar y deteriorar, que si bien difieren en intensidad tienen el mismo propósito. En mérito de lo dicho y en lo que concierne al epígrafe, fue partidario de las indicaciones 33, 34 y 35.

Respecto de los términos “indebido” y “deliberado”, el académico, aun cuando consideró preferible el vocablo “indebido”, admitió que podría abrir la puerta a conductas no intencionadas. Ello implicaría, cuando existe manejo de grandes volúmenes de datos, que una acción negligente podría quedar subsumida en el tipo penal, mientras que la negligencia debería generar responsabilidad civil. Por tal razón, en la especie el concepto “deliberado” sería más adecuado.

Al volver a hacer uso de la palabra, el especialista del Ministerio Público, señor Fernández, señaló que en la hipótesis de la norma estudiada podría haber dolo directo en la medida que exista una afectación del sistema informático. Pero si además el daño debe ser grave, será más difícil configurar el ilícito. Por ello, podría regularse el dolo directo en la hipótesis siempre que sea más amplio el alcance del daño que se busca sancionar. Y si se exige que el daño sea grave, habría que optar por el término “indebidamente”.

El Honorable Senador señor Pugh, en atención a que la gestión en ciberseguridad es una matriz de riesgo, fue partidario de establecer en la norma algún mecanismo de gradualidad. En ese marco, consideró el término “indebido” como el más adecuado para esta hipótesis normativa.

El Profesor señor Álvarez si bien concordó con la idea de que este artículo debe aludir al ataque a la integridad de los datos y, en consecuencia, referirse a quien altere, dañe o suprima datos informáticos, hizo hincapié en la necesidad de especificar si la conducta que se sanciona es “deliberada” (intencionalidad), “indebida” (infringir deber de cuidado) o “sin autorización o excediendo la que se tenga” (fórmula más amplia).

A su turno, el especialista del Ministerio Público, señor Fernández, hizo presente la conveniencia de mantener un daño doloso diferenciado de uno grave y de otro sin tal característica. La distinción ha de traducirse en la penalidad (una destrucción dolosa de datos debe tener asignada alguna sanción, aunque sea mínima). Dado que en la actualidad se encuentra penalizado el daño en todas sus formas, agregó, circunscribirlo solo a la hipótesis de gravedad puede significar una laguna de impunidad importante, especialmente en situaciones cotidianas de interpretación acerca de lo que tiene la calidad de grave o no.

El Jefe de Asesores del Ministerio del Interior y Seguridad Pública, luego de precisar que la opinión del Ministerio Público implica distinguir entre dos tipos de daños, donde uno no reúne el estándar de gravedad y, en consecuencia, tiene una penalidad mínima, hizo referencia al daño residual regulado en el Código Penal, con pena de presidio menor en su grado mínimo o multa. En ese orden, dijo, se podría establecer una figura daño con estándar de gravedad que tenga la penalidad de presidio mayor en su grado mínimo a medio o en su grado medio, si se piensa que un daño calificado de grave puede tener efectos de consideración.

Con todo, añadió, si bien debe respetarse la reserva que hizo el Estado de Chile al suscribir el Convenio de Budapest, acerca de la exigencia de gravedad del daño, esto se podría compensar con la propuesta de que el daño sea grave pero sin autorización. El Ministerio Público pretende que exista un estándar de dolo directo, respetando lo que actualmente se contiene en la legislación, que exige que el daño sea malicioso.

A continuación, el personero del Ministerio Público, señor Fernández, sugirió la siguiente redacción para la norma relativa al ataque a la integridad de los datos:

“Artículo 4°.- Ataque a la integridad de los datos. El que deliberadamente altere, borre o destruya datos informáticos, será castigado con presidio menor en sus grados mínimo a medio.

Si como consecuencia de la conducta anterior se produjera un daño grave al titular de los datos, la conducta será castigada con presidio menor en sus grados medio a máximo.”.

El punto que la norma transcrita destaca, agregó, concuerda con la figura de daño, aun cuando el daño informático puede ser más complejo que el material.

El señor Celedón hizo algunos alcances acerca de la reserva chilena al Convenio de Budapest: si bien no constituye un impedimento para lo que se pueda decidir por el Ejecutivo, éste tomó la decisión de prescindir de elementos subjetivos. Así, como el término “deliberado” se asimila al dolo directo, es decir, supone la intención positiva de causar el daño, se optó por una figura donde el daño se cometiera sin autorización, pero exigiéndose un estándar de gravedad.

El Honorable Senador señor Harboe planteó que el inciso segundo de la redacción sugerida, al hacer referencia al titular de los datos, puede complejizar la aplicación de la norma. En efecto, puede ocurrir que los datos se encuentren en manos de una persona distinta del titular, como sería el caso de un mandatario, donde no habría un daño al titular necesariamente, pero si a los datos almacenados.

El personero del Ministerio Público explicó que dicho inciso busca diferenciar el daño (que puede no ser grave) del efecto en el titular (que puede tener ese carácter). La idea es reconocer que aunque el daño del dato no sea grave, sí lo pueda ser en relación a las consecuencias que sufre el titular del dato.

El Profesor señor Álvarez recordó que anteriormente se propuso mantener una figura única con una calificación del daño. En este sentido, advirtió que si se elimina la calificación de gravedad cualquier supresión, daño o alteración va a ser objeto de sanción o reproche penal. Dado que el Convenio de Budapest exige protección ante daños graves, sería preferible una norma que sancione al que indebidamente o sin autorización o excediendo la que posee realice la acción causando el efecto del daño grave. En caso contrario se ampliaría en demasía el ámbito de acción de la norma penal: si se opta solo por lo “indebido” se podrían sancionar incumplimientos contractuales o laborales. Al acotarse la hipótesis al daño grave se reduce el ámbito de aplicación de la norma. De allí es que recomendara la fórmula del Ejecutivo y abrir la discusión respecto del ánimo (deliberado o indebido). En ese entendido, propuso una redacción del siguiente tenor:

“Artículo 4°.- El que indebidamente altere, dañe o suprima datos informáticos será castigado con presidio menor en su grado medio, siempre que con ello se cause un daño grave al titular.”.

El Honorable Senador señor Pérez Varela sostuvo la conveniencia de acometer, en primer término, el ánimo de la conducta para que, una vez resuelto esto, se determine si se hará alguna diferenciación respecto del estándar de gravedad. De optarse por “indebidamente” podrían abarcarse aspectos distintos a los penales, como los contractuales, lo que sería excesivo.

El personero del Ministerio Público, en función del alcance de la figura que se crea, reiteró la necesidad de exigir que la conducta sea dolosa.

A continuación, el Presidente de la Comisión puso en votación las indicaciones en análisis.

- Sometidas a votación las indicaciones N°s. 32, 37 y 38, fueron rechazadas por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Kast y Pérez.

- Sometida a votación la indicación N° 39, fue aprobada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Kast y Pérez.

En lo que concierne a la indicación N° 36, el Profesor señor Álvarez sugirió que los verbos rectores de la norma fuesen alterar, dañar o suprimir, para cubrir todas las alternativas posibles.

- Sometida a votación la indicación número 36, fue aprobada con la enmienda señalada, por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Kast y Pérez.

En lo que atañe a la cuantía o magnitud del daño, y consultado por el Honorable Senador señor Pérez si la inquietud del Ministerio Público quedaría resuelta mediante las indicaciones N°s. 41 y 47, el señor Fernández aclaró que en circunstancia que ambas responden a la diferenciación de penalidad según la gravedad del daño, la Indicación N° 47 contempla una figura base de daño, mientras la N° 41 establece una agravación de la conducta.

Esta modificación, adujo, debe observarse en relación con la norma vigente de la ley N° 19.223. Al respecto, hizo presente que se produce un cambio significativo si solo se deja la sanción para las hipótesis de gravedad. Hoy la legislación sanciona el daño doloso sin importar la entidad del mismo, lo cual constituye una mejor respuesta en función de las interpretaciones del concepto de gravedad por los tribunales de justicia y de la eventual impunidad tratándose de conductas que pueden no ser interpretadas como graves, no obstante producir un efecto relevante en el titular.

El Profesor señor Álvarez no compartió el planteamiento del Ministerio Público: de aprobarse el término “indebidamente” como ánimo de la conducta, se ampliará el ámbito de la sanción penal a incumplimientos contractuales o laborales y a otro tipo de relaciones civiles privadas que no debieran ser objeto de reproche penal. Siendo así, añadió, el tipo penal debiera estar construido solo en relación al daño grave, si no se quiere que daños de cualquier entidad activen el sistema de persecución penal. Un tipo penal diseñado solo respecto del daño grave sería coherente con el compromiso adquirido por el Estado de Chile en el Convenio de Budapest, cuando hace reserva para efectos de tipificar esta conducta solo en caso de grave daño.

El Jefe de Asesores del Ministerio del Interior y Seguridad Pública previno que dado que la conducta en discusión no constituye un delito de daño propiamente tal, se cambió el epígrafe de la norma para aludir específicamente al ataque a la integridad de los datos informáticos. En este sentido, dijo, aunque se exige gravedad en el daño, se reduce el estándar al establecer el término “indebidamente”, conducta que requiere dolo, sea directo, eventual o de consecuencias necesarias. De allí es que sea clave mantener en la norma la exigencia de que el daño sea grave.

- Sometidas a votación las indicaciones N°s. 42, 43 y 44, fueron aprobadas por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Insulza, Kast y Pérez.

- Sometida a votación la indicación N° 45, fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Insulza, Kast y Pérez.

- Sometidas a votación las indicaciones N°s. 33 y 34, fueron aprobadas con enmiendas, por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Insulza, Kast y Pérez.

- Sometida a votación la indicación N° 35, fue aprobada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Insulza, Kast y Pérez.

- Sometidas a votación las indicaciones N°s 40 y 46, fueron aprobadas con enmiendas, por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Insulza, Kast y Pérez.

- Sometidas a votación las indicaciones N°s. 41 y 47, fueron rechazadas por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Insulza, Kast y Pérez.

o o o

ARTÍCULO 5°.-

En lo relativo a la “falsificación informática”, sanciona al que maliciosamente introduzca, altere, borre, deteriore, dañe, destruya o suprima datos informáticos con la intención de que sean tomados o utilizados a efectos legales como auténticos, con las penas previstas en el artículo 197 del Código Penal, salvo que sean o formen parte de un instrumento, documento o sistema informático de carácter público, caso en que se sancionará con las penas previstas en el artículo 193 de dicho cuerpo legal.

Indicación N° 48.-

De S.E. el Presidente de la República, propone reemplazarlo por el siguiente:

“Artículo 5°.- Falsificación informática. El que indebidamente introduzca, altere, borre, deteriore, dañe, destruya o suprima datos informáticos con la intención de que sean tomados como auténticos o utilizados para generar documentos auténticos, será sancionado con la pena de presidio menor en sus grados medio a máximo.”.

El Jefe de Asesores del Ministerio del Interior y Seguridad Pública explicó que la propuesta del Ejecutivo, que recoge el planteamiento que hiciera la Corte Suprema respecto de esta norma, elimina la expresión “maliciosamente”. En lo sustantivo, el tipo penal mantiene diferencias con las indicaciones de los parlamentarios, que apuntan a una mayor penalidad tratándose de la titularidad pública de quien tiene los datos. En este sentido, la enmienda del Ejecutivo sigue la idea sustentada por la Corte Suprema y diversos académicos, en cuanto a que lo relevante en esta figura no es la titularidad de los datos.

El Profesor señor Álvarez compartió lo expresado y destacó que la enmienda del Ejecutivo subsana la mayoría de las observaciones que se realizaron a esta norma durante la discusión en general del proyecto de ley. Con todo, advirtió, la Comisión debe decidir acerca del ánimo de la conducta y, por ende, entre lo “indebido” y lo “deliberado”. Por otra parte, hizo presente que para hacer concordante el texto de este artículo con el del artículo 4° es necesario eliminar las expresiones “borrar, deteriorar o destruir” y mantener “introducir”.

Además, el académico consideró innecesario distinguir en la norma acerca de la naturaleza del documento adulterado o falsificado. En su opinión, no sería relevante si el instrumento es público o privado pues la sanción debería ser la misma: lo que se castiga es la falsificación. Lo que faltaría analizar sería lo referido a la cuantía de la pena.

Ante la pregunta del Honorable Senador señor Harboe acerca de si debiera incorporarse en la hipótesis la conducta de revelación del contenido informático (que podría generar daño), el Profesor señor Álvarez señaló que tal conducta con se encontraría dentro del tipo penal sobre falsificación, como quiera que en ésta la intención es que los datos adulterados sean considerados como auténticos. La revelación o develación no autorizada de datos debiera estar comprendida en otra figura.

Consultado por el Honorable Senador señor Harboe si los delitos informáticos ingresan al sistema del Ministerio Público en calidad de estafa, el especialista señor Fernández respondió que los delitos informáticos no ingresan necesariamente en dicha calidad: algunos lo hacen con arreglo a la ley N° 19.223 y otros como denuncia por estafa en que el medio comisivo es de carácter informático. En la norma en discusión, agregó, si bien el tipo penal se encuentra sustancialmente mejorado mediante la indicación presentada por el Ejecutivo, la revelación o difusión de los datos no se encuentra contenida en el proyecto de ley, a pesar de que se utiliza mucho en investigaciones de difusión maliciosa de datos de sistemas. Por esta razón, sería oportuno determinar si esta conducta se incorporará en otra figura.

En la misma línea de la falsificación material o no informática, prosiguió, faltaría el uso malicioso (porque la falsificación siempre tiene su correlato en el uso malicioso). Lo usual es que quien falsifica no sea el mismo sujeto que se aprovecha del ilícito y esto no se encuentra recogido en la iniciativa legal. Por ello, recomendó establecer una figura sobre “receptación de datos”, que dé cuenta del uso posterior de los datos obtenidos sea por alteración del sistema, acceso indebido, falsificación o defraudación. La propuesta sería del tenor que sigue:

“Artículo 5° bis.- El que conociendo su origen o no pudiendo menos que conocerlo tenga en su poder o a cualquier título datos informáticos provenientes de la realización de las conductas de acceso ilícito, interceptación ilícita y falsificación informática, sufrirá la pena asignada al correspondiente delito, rebajada en un grado.”.

El Honorable Senador señor Harboe sostuvo que existen fallos de los tribunales de justicia que establecen que la falsificación debe ser de una parte del documento, no una copia íntegra. Por este motivo, cabría incluir en el tipo penal la falsificación, sea íntegra o parcial, dado que actualmente se están generando brechas de impunidad en esta materia. Lo anterior, sin perjuicio de sancionar también a quién se beneficie de la falsificación.

El personero del Ministerio Público señaló que la situación descrita depende de si se está ante un instrumento privado o público: nuestro ordenamiento contempla un tratamiento diferenciado, observándose situaciones no sancionadas. Así, el uso de lo falsificado, interceptado o alterado no tiene sanción.

En lo que concierne a la revelación, el Jefe de Asesores del Ministerio del Interior y Seguridad Pública recordó que existen hipótesis referidas a esta figura en el artículo 2° del proyecto de ley (acceso ilícito). La figura base alude a la superación de barreras de seguridad, luego se dispone otra figura calificada con una finalidad delictiva (conocer o apoderarse de lo que había al interior del sistema informático) y después se propone penalizar la difusión o revelación de esos datos e incluso una figura agravada, cuando quien accede es el mismo que difunde. Lo anterior, en la lógica del artículo 161 A del Código Penal sobre captación de imágenes en lugares que no son de libre acceso al público.

Respecto de la receptación, sostuvo que el artículo 5° no sería el marco adecuado para regular esta figura.

El Honorable Senador señor Huenchumilla, luego de explicar que el término “maliciosamente” forma parte de la culpabilidad y el vocablo “indebidamente” de la antijuridicidad, manifestó su preocupación por los problemas que podría acarrear esta distinción en relación con la prueba del ilícito.

El Profesor señor Álvarez arguyó que en el caso particular de los delitos informáticos la distinción tiene efectos en la intensidad de la conducta exigida para ser objeto de sanción penal. Tratándose de lo “deliberado”, la conducta se acerca a la exigencia de un dolo directo. Lo “indebido” remite al incumplimiento de algún estándar de comportamiento debido (el nivel de exigencia es menor). Si en algunos tipos penales se establece el término “indebidamente”, se sancionarán conductas que no debieran ser conocidas en sede penal. Pero habría un nivel menor de exigencia en materia probatoria, es decir, se podrá contrastar con un estándar que no está necesariamente vinculado a la intención positiva de causar daño o cometer el delito. En la norma en estudio no existiría inconveniente en utilizar este término, por cuanto la acción requerida es introducir, borrar, destruir y dañar. En cambio, en el caso del acceso no autorizado, “indebidamente” es una conducta muy laxa para sancionar situaciones que no deben ser conocidas en sede penal. La cuestión, entonces, atañe a la dificultad de probar el ánimo del sujeto al cometer la acción o el incumplimiento de un estándar de comportamiento.

Sobre la penalidad de la falsificación, adujo que si se considera que este delito afecta el bien jurídico confianza o fe pública merecería un reproche penal mayor, siempre que el tipo penal esté construido de forma tal que los casos incluidos en la norma sean los únicos penados. Por eso, cabe sancionar solo la introducción, alteración, daño o supresión de datos, con una pena de presidio menor en su grado mínimo a medio o medio a máximo.

El personero del Ministerio Público, luego de recordar que la discusión se centra en figuras dolosas, hizo hincapié que parte de la doctrina nacional sostiene que el término “maliciosamente” solo se refiere a dolo directo. Si la norma no contiene esta alusión, podrá sancionarse la conducta cometida con dolo directo o dolo eventual.

El instrumento falsificado, prosiguió, puede ser público o privado. Pero esta regulación considera todo como instrumento privado: siendo así, un instrumento informático o digital falsificado, aunque sea de carácter público, podría tener una pena rebajada en función de la penalidad del instrumento privado (la pena en el caso de falsificación de instrumento público puede llegar a presidio mayor en su grado mínimo). Además, no se incluye ninguna figura agravada para sancionar al funcionario público que comete la falsificación. Lo expuesto, acotó, se salvaría mediante una adecuada regulación del uso malicioso.

El Jefe de Asesores del Ministerio del Interior y Seguridad Pública aclaró que la falsificación de instrumento público conlleva la pena que se contempla en el proyecto de ley, sin perjuicio de la figura agravada en caso de que el autor de la conducta sea funcionario público. El problema radica en que mantener la figura agravada significaría perseverar en el error que cometió el Ejecutivo en la propuesta original, cuando asimiló esta conducta a la falsificación de instrumento público o privado siendo que, en rigor, lo que existe es la manipulación del sistema de datos para generar documentos y considerarlos como auténticos. Si la conducta de falsificación es cometida por un funcionario público la sanción se encuentra establecida en el artículo 193 del Código Penal. Con todo, las agravantes del artículo 9° de la iniciativa podrían regular la pena de mejor forma para el caso del funcionario público. Tal sería el caso de quien comete el delito abusando de su calidad de responsable, en razón de su cargo o función.

En ese entendido, el Honorable Senador señor Harboe planteó aprobar la Indicación N° 48, modificada en el sentido de precisar las conductas que se sancionan acotándolas a las de introducir, alterar, dañar y suprimir datos informáticos, y agregar un inciso segundo que contemple la hipótesis del funcionario público que participa en el delito de falsificación.

Posteriormente, advirtió que el problema de la figura agravada cuando el autor de la falsificación es un funcionario público se produciría al digitalizarse los sistemas de instrumentos públicos. Para este caso debería incluirse la hipótesis del inciso segundo: a este funcionario se le ha encomendado una función pública y, en consecuencia, tiene una responsabilidad mayor que la que tiene cualquier ciudadano, por lo cual merece una sanción agravada. No parece armónico que la falsificación de instrumento público material tenga una sanción mayor a aquella de carácter informático. La tendencia actual avanza hacia la digitalización de los documentos públicos, por lo que el instrumento público no será solamente el que exista materialmente o el que se encuentra agregado en un soporte informático, sino que también el propio documento electrónico.

El Honorable Senador señor Huenchumilla reflexionó acerca de la forma en que se considera la conducta de falsificación, esto es, si en relación con la calidad de funcionario público o con el medio en que se comete, en la especie el soporte informático. Esta distinción debe considerarse porque una cosa es la falsificación sustantiva y otra el medio que se utiliza para falsificar. Por otra parte, añadió, si el concepto de instrumento público es independiente de los mecanismos tecnológicos que se puedan crear, una nueva tecnología no alterará la naturaleza de lo que nuestro ordenamiento jurídico entiende por instrumento público.

El representante del Ministerio Público, señor Fernández, sugirió dejar a salvo en la norma propuesta la aplicación del artículo 193 del Código Penal, en atención a que, pudiendo darse la adulteración del sistema para obtener un instrumento público falsificado, esta conducta no merecería una penalidad menor que la falsificación material propiamente dicha.

El Profesor señor Álvarez recordó que cuando se dictó la ley N° 19.799 sobre documentos electrónicos, firma electrónica y servicios de certificación de dicha firma, junto con homologarse el documento suscrito con firma holográfica al suscrito con firma electrónica se estableció una regla especial: para que un documento electrónico pueda ser considerado un instrumento público, conforme lo define el Código Civil, debe ser suscrito con firma electrónica avanzada (esto permite que la emisión de cualquier instrumento público electrónico tenga el mismo estatus legal que el documento público material). En ese orden, al aplicarse las penas del artículo 5° del proyecto al funcionario que, introduciendo datos en un sistema, produce un documento electrónico (o instrumento público) falsificado, se tipificaría el delito especial que se viene proponiendo, pero además se materializaría la figura agravada en su calidad de funcionario público. Esto podría configurar un concurso de delitos.

Al respecto, el personero del Ministerio Público advirtió que el concurso sería ideal y estaría referido al medio utilizado para la comisión del delito. Con todo, comentó, hay tribunales dispuestos a adaptar la norma y a considerar que el instrumento público es el mismo.

- Sometida a votación, esta indicación fue aprobada con enmiendas por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Huenchumilla, Insulza y Pérez.

En lo que concierne al planteamiento del Senador señor Harboe, en orden a incluir un inciso segundo relativo al funcionario público que participa en la falsificación, el Jefe de asesores del Ministerio del Interior y Seguridad Pública, partidario también de una norma de esta índole, sostuvo que se trataría de una figura agravada, que podría concebirse como una regla que permita aumentar en un grado la pena cuando el funcionario abuse de su oficio e incurra en la conducta. Empero, añadió, esta falsificación no debe pensarse en los términos del Código Penal, sino que debe referirse a la manipulación del sistema con miras a emitir documentos que se tengan por legalmente auténticos, siguiendo la lógica del delito informático. En ese entendido, hacer referencia al artículo 193 del CP no sería una solución pertinente.

Por su parte, el abogado asesor del Ministerio Público, señor Peña, sugirió un texto para el artículo 5° del proyecto de ley, del siguiente tenor:

“Artículo 5°.- Falsificación informática. El que indebidamente introduzca, altere, borre o suprima datos informáticos con la intención de que sean tomados como auténticos o utilizados para generar documentos auténticos, será sancionado con la pena de presidio menor en sus grados medio a máximo. Lo anterior se entenderá sin perjuicio de lo dispuesto en el artículo 193 del Código Penal, respecto del funcionario público que, abusando de su oficio, cometiere la falsedad.”.

La oración final de la redacción sugerida, precisó, salvaría el problema interpretativo que podría generarse al excluir la aplicación del artículo 193 del Código Penal, y establecer penas diversas. Al Ministerio Público le preocupa que la falsificación informática, en la especie, no contemple un uso malicioso del instrumento informático que ha sido falsificado, a diferencia de lo que ocurre con la figura genérica del Código Penal.

En este contexto, sostuvo, cuando se produce una falsificación, sea de instrumento público o privado, informático o no informático, se logra acreditar la participación de quien usa dicho documento, no de quien lo falsifica. En consecuencia, excluir a quien utilice este documento falsificado significa que, en estricto rigor, no sería merecedor de pena alguna. En este sentido, también cabría incorporar un artículo relativo a la receptación de datos, puesto que no es posible sancionar a los sujetos que compran datos informáticos obtenidos mediante delito al no existir una norma expresa al respecto y no ser aplicables las reglas de participación del Código Penal.

En ese orden, el abogado del Ministerio Público sugirió sancionar a la persona que, conociendo su origen o no pudiendo menos que conocerlo, obtenga o tenga en su poder datos informáticos obtenidos mediante las conductas descritas en los artículos 2° (acceso ilícito), 3° (interceptación ilícita) y 5° (falsificación informática) de este proyecto de ley, con la pena correspondiente al delito respectivo, rebajada en un grado. Esto permitiría que el comercio de datos informáticos obtenidos ilícitamente sea enfrentado de algún modo.

Sobre la receptación de datos, el señor Celedón luego de coincidir con la necesidad de un tipo penal de esta naturaleza, previno acerca de la posibilidad de que lo anterior se entienda sin perjuicio de lo dispuesto en el artículo 193 del CP, considerando que el Convenio de Budapest sólo establece dos delitos informáticos, esto es, falsificación y fraude (los demás son ilícitos contra la integridad del sistema de datos). La falsificación informática propiamente tal se relaciona con la manipulación del dato, a objeto de que arroje un documento que contiene falsedad. Así, la forma óptima de acometer este punto sería mediante un inciso segundo que castigue de modo agravado la conducta, cuando ha sido cometida por un funcionario público en el ejercicio de su cargo o abusando de su oficio.

El Honorable Senador señor Harboe concordó con el Ejecutivo, en cuanto a establecer la conducta como un tipo penal autónomo, distinto del artículo 193 del CP, para precaver conflictos interpretativos. Por lo demás, añadió, actualmente muchos delitos informáticos ingresan al Ministerio Público como estafa, en circunstancias que cerca del 60% de las estafas se vinculan con fraudes informáticos.

El asesor del Ministerio Público corroboró que la ley N° 20.009, que limita la responsabilidad de los usuarios de tarjetas de crédito por operaciones realizadas con tarjetas extraviadas, hurtadas o robadas, sanciona el uso malicioso de estos instrumentos y que la defraudación por vía informática constituye el delito de mayor ocurrencia. Al no estar consagrado el fraude informático como un tipo penal autónomo, el Ministerio Público ha debido buscar una salida combinando el delito de espionaje informático y el de estafa para sancionar estos ilícitos. Con todo, la figura de fraude informático no se incorporó en la de receptación, por tratarse de una situación diversa.

El Honorable Senador señor Pugh se inclinó por sancionar la receptación de todo aquello que, a través de medios informáticos, se obtenga ilícitamente. En este sentido, dijo, podría haber no sólo receptación de datos sino también de fondos, los cuales se destinan a terceros. Por tal motivo, sería deseable que la figura de receptación aparezca en este cuerpo legal.

Consultado por el Honorable Senador señor Harboe acerca de los efectos de aprobar la normativa propuesta en materia de penalidad, el señor Peña explicó que, al darse este fenómeno de complejidad al momento de perseguirse una sanción, es fácil asumir la postura de que esta figura no se encuentra penalizada por nuestro ordenamiento jurídico. Los fiscales generalmente buscan acuerdos para rebajar penas y obtener alguna sanción. Sin embargo, el Ministerio Público no tiene como llegar a los sujetos que prestan medios para la perpetración del delito, por lo que terminan siendo absueltos. En muchas oportunidades se trata de delitos cometidos por sujetos que tratan de obtener datos desde el extranjero y se conciertan con una persona dentro del territorio nacional. Este último es el sujeto al cual se puede llegar, pero sabedores de que no están expuestos a penas no colaboran en la persecución penal. Por el contrario, si se cuenta con una figura que permita sancionar al colaborador que presta los medios dentro del país, se podría hacer uso de las otras normas contempladas en este proyecto de ley para acceder a quien se encuentra detrás de quien facilita su cuenta bancaria.

A continuación, el señor Presidente sometió a votación la propuesta de incorporar un inciso segundo al artículo 5°, con la eliminación de la referencia al artículo 193 del CP y el establecimiento de una conducta típica agravada cuando el delito es cometido por un funcionario público.

- Sometida a votación ad referéndum la idea de establecer, en el artículo 5°, un inciso segundo que comprenda la figura del empleado público en los términos señalados, fue aprobada por la unanimidad de los miembros de la Comisión, Honorables Senadores señores Harboe, Huenchumilla, Insulza, Pérez y Pugh.

Esta idea se formalizó mediante la indicación 56 bis que se describe en su oportunidad, de acuerdo con el orden correspondiente.

Indicación N° 49.-

Del Honorable Senador señor Pugh, para reemplazar la palabra “maliciosamente” por “de forma deliberada e ilegítima”.

- Esta indicación fue retirada por su autor.

Indicación N° 50.-

De los Honorables Senadores señores Araya, Harboe e Insulza, para sustituir la palabra “maliciosamente” por “de manera deliberada e ilegítima”.

- Esta indicación fue retirada por su autor.

Indicación N° 51.-

De los Honorables Senadores señores Araya, Harboe e Insulza, para agregar a continuación de la expresión “datos informáticos,”, lo siguiente: “generando datos no auténticos,”.

Esta propuesta se consideró subsumida en la norma cuya redacción fuera acordada para el artículo 5°.

- Sometida a votación, esta indicación fue aprobada con enmiendas por la unanimidad de los miembros de la Comisión, Honorables Senadores señores Harboe, Huenchumilla, Insulza, Pérez y Pugh.

Indicación N° 52.-

Del Honorable Senador señor Pugh, para sustituir la expresión “las penas previstas en el artículo 197 del Código Penal” por la siguiente: “presidio menor en su grado medio”.

- Esta indicación fue retirada por su autor.

Indicación N° 53.-

De los Honorables Senadores señores Araya, Harboe e Insulza, para reemplazar la frase: “penas previstas en el artículo 197 del Código Penal”, por “pena de presidio menor en su grado medio”.

- Esta indicación fue retirada por sus autores.

Indicación N° 54.-

Del Honorable Senador señor Girardi, para suprimir el texto que señala “; salvo que sean o formen parte de un instrumento, documento o sistema informático de carácter público, caso en que se sancionará con las penas previstas en el artículo 193 de dicho cuerpo legal”.

Con ocasión del análisis de esta Indicación, el señor Celedón recordó la observación que hiciera la Corte Suprema en cuanto a la irrelevancia de la naturaleza del dato, sea público o privado, cuando lo trascendente es la maniobra que tiene por objeto la manipulación del dato informático.

- Sometida a votación, esta indicación fue rechazada por la unanimidad de los miembros de la Comisión, Honorables Senadores señores Harboe, Huenchumilla, Insulza, Pérez y Pugh.

Indicación N° 55.-

Del Honorable Senador señor Pugh, para reemplazar la locución “las penas previstas en el artículo 193 de dicho cuerpo legal” por la siguiente: “presidio menor en su grado medio a máximo”.

Esta propuesta se consideró subsumida en la norma cuya redacción fuera acordada para el artículo 5°.

- Sometida a votación, esta indicación fue aprobada con enmiendas por la unanimidad de los miembros de la Comisión, Honorables Senadores señores Harboe, Huenchumilla, Insulza, Pérez y Pugh.

Indicación N° 56.-

De los Honorables Senadores señores Araya, Harboe e Insulza, para reemplazar la frase: “las penas previstas en el artículo 193 de dicho cuerpo legal”, por “la pena de presidio menor en su grado medio a máximo”.

Esta propuesta se consideró subsumida en la norma cuya redacción fuera acordada para el artículo 5°.

- Sometida a votación, esta indicación fue aprobada con enmiendas por la unanimidad de los miembros de la Comisión, Honorables Senadores señores Harboe, Huenchumilla, Insulza, Pérez y Pugh.

o o o

Las ideas planteadas y acordadas por la Comisión acerca del inciso segundo del artículo 5°, que regula la falsificación informática cometida por funcionario público, se formalizaron mediante la indicación 56 bis ingresada por el Ejecutivo, del siguiente tenor:

Indicación N° 56 bis.-

De Su Excelencia el Presidente de la República, para incorporar un nuevo inciso final del siguiente tenor:

“Cuando la conducta descrita en el inciso anterior sea cometida por empleado público, abusando de su oficio, será castigado con la pena de presidio menor en su grado máximo a presidio mayor en su grado mínimo.”.

- Sometida a votación, esta indicación fue aprobada por la unanimidad de los miembros de la Comisión, Honorables Senadores señores Harboe, Insulza, Kast y Pérez.

o o o

- - -

A continuación, los representantes del Ministerio Público plantearon la necesidad de incorporar un delito adicional, en un nuevo artículo 6°, relativo a la receptación de datos, del siguiente tenor:

“Artículo 6°.- Receptación de datos. El que conociendo su origen o no pudiendo menos que conocerlo, tenga en su poder, a cualquier título, datos informáticos provenientes de la realización de las conductas descritas en los artículos 2°, 3° y 5° de esta ley, sufrirá la pena asignada a los respectivos delitos, rebajada en un grado.”.

El Honorable Senador señor Harboe precisó que los artículos referidos en el texto planteado, corresponden a los delitos de acceso ilícito, interceptación ilícita y falsificación informática, respectivamente.

Al momento de explicar el texto sugerido, el señor Peña explicó que la norma hace referencia a sujetos que eventualmente puedan adquirir datos informáticos de forma ilícita. Es decir, persona que tiene conocimiento del origen ilícito del acceso a los datos y, a sabiendas, los adquiere para lucrar. Actualmente esta conducta no se encuentra tipificada por la legislación.

El Honorable Senador señor Insulza coincidió con lo expresado por el representante del Ministerio Público. Sin perjuicio de ello, hizo presente que generalmente el autor del delito de receptación es quien encarga la perpetración del ilícito, sin embargo, le es aplicable la pena correspondiente al delito principal rebajada en un grado. En este sentido, se mostró partidario que se le asigne la misma pena que al autor del ilícito principal.

El Honorable Senador señor Harboe aclaró que la receptación de datos no es similar al acceso ilícito o a la falsificación informática, debido a lo cual se establece una diferencia en la sanción.

Por otra parte, la norma propuesta se hace cargo de una realidad práctica, en cuanto a la necesidad de sancionar a quien adquiere los datos accedidos en forma ilícita.

El señor Peña advirtió que quien encarga la comisión de un delito puede ser perseguido de acuerdo a las normas que regulan la autoría mediata.

A su turno, el Honorable Senador señor Pugh destacó la necesidad de penalizar la receptación de datos para efectos de proteger la esencia de éstos.

-Sometido a votación ad referéndum el texto relativo al nuevo artículo 6° propuesto, fue aprobado por la unanimidad de los miembros presentes, Honorables Senadores señores Harboe, Insulza y Pugh.

o o o

La idea contenida en el nuevo artículo 6° propuesto se materializó en la indicación 56 ter ingresada por el Ejecutivo, del siguiente tenor:

Indicación N° 56 ter.-

De Su Excelencia el Presidente de la República, para incorporar un artículo sexto nuevo, pasando el actual a ser séptimo y así sucesivamente, en los siguientes términos:

“Artículo 6°.- Receptación de datos. El que conociendo su origen o no pudiendo menos que conocerlo, almacene, a cualquier título, datos informáticos provenientes de la realización de las conductas descritas en los artículos 2°, 3° y 5° sufrirá la pena asignada a los respectivos delitos, rebajada en un grado.”.

Ante la consulta, del Honorable Senador señor Insulza, acerca del motivo de la disminución de la pena, el señor Celedón explicó que la receptación tiene una pena autónoma en su figura general.

- Sometida a votación, esta indicación fue aprobada por la unanimidad de los miembros de la Comisión, Honorables Senadores señores Harboe, Insulza, Kast y Pérez.

o o o

- - -

ARTÍCULO 6°.-

Inciso primero

En materia de “fraude informático”, sanciona, con diferentes penas según el valor del menoscabo ocasionado, al que, causando perjuicio a otro y con la finalidad de obtener un beneficio económico ilícito para sí o para un tercero, utilice la información contenida en un sistema informático o se aproveche de la alteración, daño o supresión de documentos electrónicos o de datos transmitidos o contenidos en un sistema informático.

Encabezamiento

Indicación N° 57.-

Del Honorable Senador señor Durana, propone reemplazarlo por el siguiente:

“Artículo 6°.- Fraude informático. El que, causando perjuicio a otro y con la finalidad de obtener un beneficio económico ilícito para sí o para un tercero, utilice la información contenida en un sistema informático o se aproveche de cualquier forma alteración, daño o supresión de datos informáticos, será penado:”.

- Sometida a votación, esta indicación fue rechazada por la unanimidad de los miembros de la Comisión, Honorables Senadores señores Harboe, Huenchumilla, Insulza, Pérez y Pugh.

Indicación N° 58.-

De Su Excelencia el Presidente de la República, propone reemplazar la frase “beneficio económico ilícito para sí o para un tercero, utilice la información contenida en un sistema informático o se aproveche de la alteración, daño o supresión de documentos electrónicos o de datos transmitidos o contenidos en un sistema informático,”, por la siguiente: “beneficio económico para sí o para un tercero, manipule un sistema informático, mediante la introducción, alteración, borrado o supresión de datos informáticos o a través de cualquier interferencia en el funcionamiento de un sistema informático,”.

- Sometida a votación, esta indicación fue aprobada con enmiendas por la unanimidad de los miembros de la Comisión, Honorables Senadores señores Harboe, Huenchumilla, Insulza, Pérez y Pugh.

Indicación N° 59.-

De los Honorables Senadores señores Araya, Harboe e Insulza, para reemplazar la expresión “un tercero”, por “terceros”.

- Sometida a votación, esta indicación fue aprobada por la unanimidad de los miembros de la Comisión, Honorables Senadores señores Harboe, Huenchumilla, Insulza, Pérez y Pugh.

Indicación N° 60.-

Del Honorable Senador señor Pugh, para sustituir la expresión “sistema informático, será penado” por la siguiente: “sistema informático o interfiera en el funcionamiento normal de un sistema informático, será penado”.

- Esta Indicación fue retirada por su autor.

- - -

Con motivo del análisis de esta materia, el Jefe de Asesores del Ministerio del Interior y Seguridad Pública sostuvo que la enmienda presentada por el Ejecutivo en esta materia busca resolver las inquietudes de la Corte Suprema y los académicos que fueron consultados con ocasión de la discusión en general de esta iniciativa. En ese marco, el delito de fraude informático consta de una falsificación informática que tiene por objeto un beneficio económico y un perjuicio a terceros, sin agregar nuevos elementos al tipo penal. Lo sustantivo de la conducta es la interferencia y manipulación del sistema para obtener un beneficio económico en perjuicio de un tercero.

El personero del Ministerio Público, señor Peña, concordó con el Ejecutivo en lo relativo a la inclusión del término “manipulación”: ello, porque en este tipo de fraudes no se engaña a una persona, sino que se manipula un sistema informático (aspecto que lo diferencia con la estafa). Por otra parte, mientras que en la estafa la disposición patrimonial la efectúa la propia víctima incurriendo en un error producto del engaño, en el fraude informático dicha acción la realiza un tercero y no el afectado. Con el término “manipulación” se salva el problema jurisprudencial y doctrinal referido a la imposibilidad de asemejar esta conducta a una estafa, en la medida que no existe engaño ni disposición patrimonial de la víctima. Con todo, el profesional sugirió incluir un inciso final al tenor del cual, y para los efectos de este artículo 6°, se considerará también autor al que conociendo o no pudiendo menos que conocer la licitud de la conducta descrita en el inciso primero, facilite los medios con que se lleve a efectos el delito.

La norma sugerida, explicó, permitirá perseguir penalmente a quien facilite su cuenta bancaria para que se deposite el dinero que ha sido sustraído ilícitamente a la víctima. La idea es considerarlo como autor al encontrarse dentro del curso causal del delito (quedaría excluida a su respecto la figura de la receptación). Lo medular, agregó, es que no se puede realizar ningún fraude informático si previamente no hay una persona a quien depositarle el dinero que será sustraído ilícitamente. Lo anterior, porque el sujeto que hace la transacción debe ingresar los datos de la cuenta a la cual se destina el dinero. Actualmente no es posible sancionar a la persona que facilita una cuenta bancaria con arreglo a las normas de participación del artículo 15, N° 3, del CP, dado que no se puede acreditar el concierto previo. Lo dicho, porque, por regla general, quien realiza la transferencia se encuentra en el extranjero y usualmente no conoce a la persona que facilita la respectiva cuenta. Así las cosas, la norma sugerida permitirá ofrecer una cooperación especial para llegar a los datos de quien está detrás del que presta la cuenta bancaria.

El Profesor señor Álvarez, partidario del texto sugerido por el Ministerio Público, llamó la atención acerca de la diferencia que presenta respecto de la enmienda del Ejecutivo, en lo relativo al carácter ilícito del beneficio económico, debiendo determinarse el efecto de su inclusión. Con todo, añadió, en función de la coherencia de las normas que se han aprobado previamente, habría que suprimir la palabra “borrado”, de modo que las acciones sean siempre introducción, alteración, daño o supresión de datos.

En relación con la primera de las observaciones, el señor Celedón aseveró que la ilicitud del beneficio quedará determinada con posterioridad a la acreditación de la conducta. No obstante, en lo que atañe al inciso final propuesto, hizo presente que en dicha norma se reduce el estándar, pues no se estaría exigiendo acreditar el concierto previo, sino solamente que la persona conozca o no pueda menos que conocer que está facilitando su cuenta para efectos ilícitos. Luego, si bien se manifestó favorable al texto sugerido por el Ministerio Público, previno que lo que podría haberse solucionado con las reglas de la autoría se resuelve estableciendo un estándar más laxo, con el objeto de llegar a la convicción condenatoria respecto de personas que no estaban concertadas, pero que no pueden desconocer haber facilitado los medios (cuenta bancaria) para cometer un ilícito.

El Honorable Senador señor Pugh coincidió con el establecimiento de un estándar más laxo en la norma en discusión, debido a la complejidad de la figura. Según dijera, podría ocurrir que la persona que facilita su cuenta haya sido engañada por quienes perpetran el ilícito. Al situar a la persona que facilita los medios en la cadena delictual se entienden mejor los elementos del tipo.

El Honorable Senador señor Huenchumilla comentó que como la norma sugerida por el Ministerio Público no exige concierto, se establece un estándar jurídico menor. La cuestión a determinar, adujo, es qué sucede si se produce concierto: en tal caso, el problema será si el caso se considera dentro de esta norma o si corresponde aplicar el artículo 15 del Código Penal. El señor Senador hizo presente que si bien existen dificultades en materia probatoria para acreditar el concierto, su prueba no es imposible e, incluso, puede ser explícito. Quien se concierta con otro para delinquir comete una conducta de mayor gravedad respecto de quien tiene un conocimiento tácito.

El asesor del Ministerio Público, señor Peña, sostuvo que de haber concierto con mayor razón se podrá considerar que la persona conoció la ilicitud de la conducta. Sin embargo, en circunstancias que el concierto da cuenta de un conocimiento previo de la existencia del ilícito, por la particular naturaleza de los delitos informáticos (donde se funciona en el anonimato) es muy difícil probar el concierto y los tribunales desestiman cualquier imputación respecto de quienes participan mediante la facilitación de medios. La modificación propuesta permite perseguir penalmente a esa persona, a pesar de que los tribunales podrían resolver que no se configura la participación de quien facilita los medios para la comisión. El punto es que el Ministerio Público tendrá la posibilidad de ofrecer a ese imputado una rebaja de la pena para efectos de que aporte datos que permitan llegar a la persona que lo contactó para facilitar la cuenta corriente. Hoy no es posible este ofrecimiento, debido a que cuando la persona sabe que será absuelta o que la pena que recibirá no tiene mayor utilidad en la práctica, no presta ningún tipo de colaboración e impide continuar la investigación.

Por otra parte, agregó, supuesto que se acredita la concertación, cabe el aforismo jurídico según el cual “quien puede lo más puede lo menos”, para explicar que ella se encuentra cubierta por la norma. Además, será factible utilizar el artículo 15, N° 3, del CP, para efectos de ser considerado autor.

El Honorable Senador señor Insulza concordó con el representante del Ministerio Público, en cuanto a que si la norma cubre a quien debió conocer la ilicitud de la conducta, también lo hace respecto de quien se concertó.

A continuación, el señor Presidente de la Comisión puso en votación la propuesta consistente en incorporar un inciso final al artículo 6°, del tenor que sigue:

“Para los efectos de este artículo se considerará también autor al que, conociendo o no pudiendo menos que conocer la ilicitud de la conducta descrita en el inciso primero, facilita los medios con que se comete el delito.”.

- Sometida a votación ad referéndum la idea de incorporar un nuevo inciso final, fue aprobada por la unanimidad de los miembros de la Comisión, Honorables Senadores señores Harboe, Huenchumilla, Insulza, Pérez y Pugh.

o o o

La idea contenida en el nuevo inciso final del artículo 6°, que pasa a ser 7°, se materializó en la indicación 60 bis ingresada por el Ejecutivo, del siguiente tenor:

Indicación N° 60 bis.-

De Su Excelencia el Presidente de la República, para incorporar un nuevo inciso final del siguiente tenor:

“Para los efectos de este artículo se considerará también autor al que, conociendo o no pudiendo menos que conocer la ilicitud de la conducta descrita en el inciso primero, facilita los medios con que se comete el delito.”.

Ante la pregunta del Honorable Senador señor Pérez, acerca de la incorporación de la fórmula “el que conozca o no pudiendo menos que conocer”, el señor Motles recordó que esta figura nace a instancias del Ministerio Público, el cual, de acuerdo con la casuística en este tipo de ilícitos, hizo presente la figura de quien facilita su cuenta bancaria para que se transfiera el dinero defraudado de una persona o entidad bancaria. Añadió que esta figura es utilizada de igual forma respecto del delito de receptación.

A su turno, el señor Celedón precisó que nuestro Código Penal contiene una figura muy amplia de autoría y una de esas hipótesis concierne a quienes concertados facilitan los medios. En el caso en particular, se está creando una figura excepcional al no existir concierto previo, sino más bien prescindir de dicho elemento.

- Sometida a votación, esta indicación fue aprobada por la unanimidad de los miembros de la Comisión, Honorables Senadores señores Harboe, Insulza, Kast y Pérez.

o o o

- - -

ARTÍCULO 7°

Esta disposición regula el denominado “abuso de los dispositivos”. Al efecto, sanciona con la pena de presidio menor en su grado mínimo y multa de cinco a diez unidades tributarias mensuales al que, para la perpetración de los delitos previstos en los artículos 1 a 4 de esta ley o de las conductas señaladas en el artículo 5° de la ley N° 20.009, entregare u obtuviere para su utilización, importare, difundiera o realizare otra forma de puesta a disposición uno o más dispositivos, programas computacionales, contraseñas, códigos de seguridad o de acceso u otros datos similares, creados o adaptados principalmente para la perpetración de dichos delitos,.

Aun cuando este artículo no fue objeto de indicaciones, la Comisión estuvo por analizar su contenido prescriptivo con arreglo a lo dispuesto en el artículo 121 del Reglamento.

Sobre el particular, el Profesor señor Hevia manifestó su preocupación respecto de la instrucción que necesitan los profesionales del área de ciberseguridad, que exige la utilización de dispositivos y programas computacionales cuyo objetivo es el hackeo. En este sentido, arguyó, la norma podría penalizar la posesión de estos dispositivos (como “actos preparatorios”), y no el delito que se podría llegar a perpetrar con ellos. Tal situación perjudicará el entrenamiento en ciberseguridad, pues la norma podría aplicarse incluso a dispositivos de lectura de tarjetas, antenas que se utilizan para comunicaciones o microscopios para examinar chips. Además, este artículo podría afectar el área de innovación, ya que para modificar o desarrollar nueva tecnología se emplean herramientas de la misma clase que las ocupadas para hackeo.

El académico señor Álvarez acotó que, en la especie, el Convenio de Budapest establece una obligación respecto de la cual nuestro país hizo una reserva, a fin de distinguir el abuso de dispositivo propiamente tal (hardware) del relativo a datos (claves o contraseñas). Una de las razones de la reserva se fundó en el riesgo de penalizar la mera tenencia de este tipo de dispositivos, sancionando conductas que no necesariamente son delictivas. Lo medular es que al revisar los mecanismos de control del tipo penal, creados o adaptados, se advierte que las herramientas son neutras tecnológicamente.

Una fórmula para cumplir con la obligación del Convenio de Budapest consiste en sancionar la tenencia de los dispositivos físicos y generar alguna cláusula de cierre que proteja a aquellos que utilicen estas herramientas con fines de investigación, entrenamiento o educación, o bien, excluir toda referencia a contraseñas, códigos de seguridad de acceso u otros datos similares para acotar el ámbito de la norma. Sin embargo, se mantendría sin solución lo referido a la tenencia de los dispositivos.

El señor Celedón hizo presente que la redacción actual del artículo 7º es equilibrada y asegura la posibilidad de investigación científica y la innovación. En este sentido, dijo, el tipo penal contiene dos elementos de resguardo:

a) Que la puesta a disposición sea para perpetración de delitos.

b) Que sean programas o dispositivos que tengan como principal objeto la comisión de delitos.

A juicio del personero, sería muy difícil que la actividad probatoria permitiera concluir esos dos elementos de forma copulativa. La puesta a disposición debe ser para delitos contenidos en esta ley y en el artículo 5° de la ley N° 20.009.

El Honorable Senador señor Pugh recordó que en circunstancias que actualmente cualquier persona puede descargar una herramienta, incluso de manera casual, resulta complejo sancionar esta clase de actos preparatorios (hay que atenerse estrictamente al contexto de los hechos). No sería conveniente obstaculizar la innovación e investigación en esta área del conocimiento, especialmente porque nuestro país tiene la posibilidad de ser un referente regional en ciberseguridad.

El asesor del Ministerio Público, señor Peña, concordó con lo expresado por el Ejecutivo: el estándar de la norma es alto y no sería aplicable a profesores o alumnos que se dedican a la investigación o innovación en ciberseguridad (habría que acreditar que la tenencia se materializó para perpetrar un delito). Por otra parte, en circunstancias que el ordenamiento jurídico no contempla una norma que sancione a quien sea sorprendido instalando lectores de tarjetas de débito o crédito en cajeros automáticos, con este artículo se podrá penalizar la conducta. La tenencia de una contraseña o un programa no sería punible, pero si esa persona tiene otras que le facilitan cuentas corrientes podría configurarse la conducta sancionada.

En un segundo momento de la discusión, el señor Fernández observó que la pena que establece la norma es baja, pero ésta representa una innovación en nuestro ordenamiento jurídico.

Por su parte, el señor Celedón aclaró que, en la medida que exista concierto previo y puesta a disposición de medios, podría perseguirse penalmente al sujeto en calidad de autor, en virtud del numeral 3 del artículo 15 del CP.

Enseguida, explicó que el tipo penal otorga bastantes resguardos debido a que necesita de elementos copulativos: una puesta a disposición para la perpetración de un delito y debe tratarse de un artefacto adaptado para la comisión de un ilícito. Además, enfatizó que esta norma se encuentra contemplada en el Convenio de Budapest.

El Profesor, señor Hevia, indicó que, desde el punto de vista de ciberseguridad, existen una serie de aspectos que constituyen retrocesos en la normativa de este proyecto de ley. Respecto de este artículo en particular, la amplitud con la que se construye la figura es bastante inadecuada, en relación con el objeto inicial de precisar dispositivos. Asimismo, advirtió que esta amplitud puede dar pie nuevamente a efectos inhibitorios.

El Honorable Senador señor Harboe indicó que estos dispositivos tienen por objetivo la perpetración de delitos.

-Sometido a votación el artículo 7, fue aprobado por la unanimidad de los miembros presentes, Honorables Senadores señores Harboe, Huenchumilla, Elizalde y Pugh.

- - -

o o o

Indicación N° 61.-

Del Honorable Senador señor Pugh, para incorporar a continuación del artículo 7° el siguiente artículo, nuevo:

“Artículo... .- Vigilancia no autorizada. El que, sin tener el derecho legal de participar en la vigilancia, observe o vigile a otra persona para recopilar información relacionada con dicha persona, será castigado con presidio menor en su grado mínimo a medio. Si el acto es cometido por una persona jurídica, se estará a lo dispuesto en la ley N° 20.393.”.

Con motivo del análisis de esta Indicación, el Honorable Senador señor Pugh, luego de hacer presente que cualquier proceso de vigilancia que no esté autorizado por la ley N° 19.974 debería estar penado, destacó que en circunstancias que la tecnología actual permite a cualquier persona poseer la capacidad para observar y vigilar a otros, la enmienda procura proteger el derecho a la privacidad mediante la penalización de quienes haciendo uso de elementos tecnológicos realicen actividades para las cuales no están facultados.

El señor Celedón, si bien coincidió con el espíritu de la Indicación, hizo presente su inquietud acerca de su concordancia con las ideas matrices del cuerpo legal que se discute. Al respecto, previno que no observándose en la proposición elementos informáticos, salvo en un sentido lato, cabría pensar que la propuesta se encuadra propiamente en el ámbito específico de la ley N° 19.974.

- Esta indicación fue retirada por su autor.

o o o

ARTÍCULO 8°.-

En su inciso primero, considera circunstancia atenuante especial de responsabilidad penal, que permitirá rebajar la pena hasta en un grado, la cooperación eficaz que conduzca al esclarecimiento de hechos investigados que sean constitutivos de alguno de los delitos previstos en esta ley o permita la identificación de sus responsables; o sirva para prevenir o impedir la perpetración o consumación de otros delitos de igual o mayor gravedad contemplados en esta ley; siempre que, en todo caso, dichos delitos fueren a ejecutarse o se hubieren ejecutado por una agrupación u organización conformada por dos o más personas, o por una asociación ilícita.

En su inciso segundo, entiende por cooperación eficaz el suministro de datos o informaciones precisas, verídicas y comprobables, que contribuyan necesariamente a los fines señalados en el inciso anterior.

En su inciso tercero, impone al Ministerio Público el deber de expresar, en la formalización de la investigación o en su escrito de acusación, si la cooperación prestada por el imputado ha sido eficaz a los fines señalados en el inciso primero.

En su inciso cuarto, precisa que la reducción de pena se determinará con posterioridad a la individualización de la sanción penal según las circunstancias atenuantes o agravantes comunes que concurran; o de su compensación, de acuerdo con las reglas generales.

Indicación N° 62.-

Del Honorable Senador señor Durana, para sustituirlo por el que sigue:

“Artículo 8°.- Circunstancia atenuante especial. Será circunstancia atenuante especial de responsabilidad penal, y permitirá rebajar la pena hasta en un grado, la cooperación que los tribunales de justicia, estimen eficaz para el esclarecimiento de hechos investigados que sean constitutivos de alguno de los delitos previstos en esta ley o permita la identificación de sus responsables; o sirva para prevenir o impedir la perpetración o consumación de otros delitos de igual o mayor gravedad contemplados en esta ley; siempre que, en todo caso, dichos delitos fueren a ejecutarse o se hubieren ejecutado por una agrupación u organización conformada por dos o más personas, o por una asociación ilícita.

Se entiende por cooperación eficaz el suministro de datos o informaciones precisas, verídicas y comprobables, que contribuyan necesariamente a los fines señalados en el inciso anterior.

La reducción de pena se determinará con posterioridad a la individualización de la sanción penal según las circunstancias atenuantes o agravantes comunes que concurran; o de su compensación, de acuerdo con las reglas generales.”.

Con ocasión del estudio de esta Indicación, el Honorable Senador señor Harboe precisó que su finalidad es entregar a los tribunales de justicia la calificación del carácter eficaz de la cooperación, facultad que en el texto aprobado en general por el Senado recae en el Ministerio Público.

El Jefe de Asesores del Ministerio del ramo declaró que el Ejecutivo no pretende innovar en materia de cooperación eficaz, en particular en lo concerniente a la ley N° 20.000, que entrega al Ministerio Público la calificación de la cooperación que se presta. Lo dicho, porque se trata de una cooperación que se da en el marco de una investigación y, por mandato constitucional, toca al Ministerio Público la exclusividad de la investigación y persecución penal, sin perjuicio de la facultad del tribunal para recorrer toda la escala de la pena.

El asesor del Ministerio Público, señor Peña, coincidió con lo expresado por el Ejecutivo, en el entendido de que –en su concepto- debe ser el órgano persecutor el que inste por obtener la cooperación eficaz, y el tribunal el que la conceda. Sin embargo, existe un problema en la parte final del inciso primero de la norma, cuando prescribe que la cooperación debe referirse a delitos que “fuesen a ejecutarse o se hubieran ejecutado por una agrupación u organización conformada por dos o más personas o por una asociación ilícita”. Según arguyera, no es una buena fórmula supeditar la cooperación eficaz a que el delito informático sea cometido por una agrupación u organización criminal, dado que, por la naturaleza propia de estos ilícitos, podría ocurrir que una persona con conocimientos en esta área realice un relevante fraude informático sin conformar una agrupación u organización. Cuando alguien coopere para detener a este delincuente informático que actúa en solitario no podrá ofrecérsele la cooperación eficaz, porque la norma exige que el delito sea ejecutado por una organización o agrupación. Por lo mismo, sugirió suprimir la frase consignada de modo de no restar posibilidades a la investigación del Ministerio Público.

Consultado por el Honorable Senador señor Huenchumilla acerca del respaldo legal de la cooperación eficaz, el señor Peña explicó que esta institución se consagra en el artículo 22 de la ley N° 20.000. A su turno, el artículo 11, N° 9, del Código Penal, establece la atenuante de la colaboración sustancial.

El Honorable Senador señor Huenchumilla hizo presente que si el delincuente es uno solo y colabora eficazmente con la justicia podría acogerse a la atenuante establecida en el artículo 11, N° 9, del Código Penal. Pero, prosiguió, esta institución parece tener su mayor efecto cuando hay más de un delincuente.

El asesor del Ministerio Público aclaró que en estos casos, al igual que en los delitos de la ley N° 20.000, puede tratarse de una persona que se ha coordinado con otra para la perpetración de un delito. Este otro sujeto puede cometer diversos delitos donde actúa en forma solitaria, por lo cual la cooperación eficaz puede también referirse a estos otros ilícitos. La norma, tal cual se encuentra redactada, excluiría la hipótesis de los otros delitos cometidos por uno de los sujetos.

El Honorable Senador señor Harboe acotó que si lo usual sea que quien coopera eficazmente señale la participación de un tercero en otros delitos en los cuales el primero no interviene, entonces esas otras hipótesis quedarían excluidas si se tratara de una agrupación.

El señor Celedón, en concordancia con la opinión del personero del Ministerio Público, precisó que la diferencia entre la atenuante del artículo 11, N° 9, del Código Penal y la figura de la cooperación eficaz, radica en que esta última no alude a los mismos hechos sino a otros, de igual o mayor gravedad, y la rebaja de penas no se guía por la lógica de las atenuantes generales. De allí es que sea una atenuante especial, que además permite rebajar hasta en dos grados la pena, mientras que en las generales solo se puede disminuir en uno. Por otra parte, si bien la ley N° 20.000 no exige la pluralidad de sujetos para la cooperación eficaz, presta una mayor utilidad respecto de bandas criminales.

El Honorable Senador señor Huenchumilla planteó que la figura en comentario obedece más a la hipótesis del informante, que no participa en el delito pero tiene conocimiento de quién lo cometió. A su turno, la cooperación eficaz remite a la hipótesis en que el sujeto que colabora con la investigación ha tenido participación en la perpetración del ilícito. Si el cooperador eficaz no participa en la comisión delictiva sería simplemente un informante.

En lo que atañe a la facultad del Ministerio Público para calificar la cooperación eficaz, el señor Senador aclaró que quien resuelve finalmente en esta materia es el respectivo tribunal. Por lo anterior, sería oportuno explicar el sentido de entregar al órgano persecutor una facultad que no tiene efecto definitivo.

El señor Celedón recordó que un agente encubierto es un agente policial, a diferencia del informante que no posee esta calidad. Mientras este último no tiene participación en el ilícito, en la cooperación eficaz existe una persona que participó en la perpetración del hecho delictivo y otra que está dispuesta a entregar información para su esclarecimiento con el objeto de obtener algún beneficio procesal.

El asesor del Ministerio Público, señor Peña, apuntó que la norma que consagra la figura de la cooperación eficaz exige que la declaración sirva para prevenir o impedir la perpetración o consumación de otros delitos. Si la acción fuera relativa al delito cometido por el cooperador, el sujeto podría optar a la atenuante del artículo 11, N° 9, del CP. La cooperación eficaz es una circunstancia atenuante especial que rebaja de inmediato en un grado en la pena, bajo la condición de que la cooperación permita evitar un delito de igual o mayor gravedad. El informante no obtiene una rebaja de pena, su intervención constituye simplemente una técnica especial de investigación.

En cuanto al fundamento de que el Ministerio Público tenga la facultad de calificar una cooperación de eficaz, el personero señaló que al órgano persecutor le compete alegar esta circunstancia atenuante especial en la formalización o acusación, por lo que debe argumentar los motivos o razones que ameritan considerarla como tal. Esta argumentación sirve para que el juez determine la eficacia de la colaboración prestada: en la práctica, al ser la cooperación eficaz un beneficio para el imputado, los tribunales confían en la alegación del órgano persecutor. A la postre, esta colaboración dará pie al inicio de la nueva causa respecto de la cual se entregó información.

Ante la inquietud del Honorable Senador señor Huenchumilla acerca de la posibilidad de que la regulación especial sobre cooperación eficaz contenida en esta iniciativa de ley se aparte del derecho penal sustantivo, el señor Peña aclaró que esta institución no se refiere al delito perpetrado por quien la presta, pues en tal caso sería la colaboración sustancial del artículo 11, N° 9, del CP. Además, dijo, la cooperación eficaz no se encuentra considerada para toda clase de figuras penales: los delitos contenidos en la ley N° 20.000 y los informáticos son de aquellos que se denominan de emprendimiento. Y los ilícitos informáticos revisten la complejidad relativa a la alta cifra negra que contienen (el anonimato del mundo cibernético dificulta llegar a la persona que comete el delito). De allí es que la cooperación eficaz sea de suma utilidad para llegar a un sujeto respecto del cual es muy complejo acceder.

El Profesor Hevia destacó que la experiencia internacional muestra la conveniencia de establecer algún incentivo para que quien está participando en alguna actividad ilícita colabore con la justicia y la investigación policial.

A continuación, el señor Presidente sometió a votación la eliminación de la frase final del inciso primero del artículo 8°, que reza: “; siempre que, en todo caso, dichos delitos fueren a ejecutarse o se hubieren ejecutado por una agrupación u organización conformada por dos o más personas, o por una asociación ilícita”.

- Dicha supresión fue aprobada ad referéndum por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Huenchumilla y Pugh.

Esta idea se formalizó mediante la indicación 62 bis que se describe en su oportunidad, de acuerdo con el orden correspondiente.

Prosiguiendo con el debate acerca de la indicación N° 62, el especialista del Ministerio Público, señor Peña, señaló que, atendidas las peculiares características de estos delitos (que es posible cometerlos por una sola persona), es importante que la cooperación eficaz se pueda aplicar en aquellos casos en que no existe asociación ilícita o una agrupación de sujetos que materialicen el hecho delictual.

En todo caso, reiteró, si bien la cooperación eficaz debe ser concedida por un tribunal de justicia, como el órgano investigativo es el Ministerio Público sería deseable que (al igual que tratándose de la ley N° 20.000) sea éste quien la proponga en la etapa de formalización o acusación, fundado en el actuar de un imputado que entregue antecedentes suficientes para perseguir a terceras personas que cometan delitos de igual o mayor gravedad que el que se investiga.

El Honorable Senador señor Pérez precisó que la enmienda propuesta por el Senador señor Durana tiene sentido, incluso en la línea de lo expresado por el representante del Ministerio Público. Que sea este órgano el que proponga la cooperación eficaz y el tribunal quien finalmente establezca su aplicación, se justifica por cuanto la imposición de la pena y su regulación son una atribución exclusiva de los tribunales de justicia. En ese marco, el texto del artículo 8° del proyecto de ley no antagoniza con la Indicación N° 62: su inciso tercero dispone que será el Ministerio Público quien señalará si la cooperación prestada por el imputado ha sido eficaz, lo cual implica que será el tribunal el que ponderará y decidirá esta atenuante. Sin perjuicio de lo consignado, añadió, la norma acordad en general por el Senado contiene un desarrollo más íntegro que la enmienda en discusión.

Al retomar el uso de la palabra, el señor Peña explicó que lo argüido precedentemente se recoge en el inciso tercero de la norma: es el órgano persecutor el que debe manifestar ante el tribunal si la cooperación prestada por el imputado fue útil para investigar otro delito de igual o mayor gravedad. Luego será el juez el que, teniendo en consideración dichos antecedentes, determinará si la concede o no (en estos mismos términos está pensada la norma de la ley N° 20.000).

El Jefe de Asesores señor Celedón hizo presente que en materia de cooperación eficaz la regla del artículo 22 de la ley N° 20.000 ha funcionado durante un período considerable de tiempo. Esta institución ha servido como un mecanismo negociador para el Ministerio Público, dado que permite destrabar la investigación penal que se está llevando a cabo u otra de un delito de igual o mayor gravedad al investigado. En consecuencia, sería deseable que la calificación de la cooperación eficaz siga siendo realizada por el Ministerio Público, y que el tribunal sea el que decida su aplicación. No puede olvidarse, adujo, que en la práctica el juez aplica esta atenuante en casi la totalidad de los casos en que se alega por el órgano persecutor.

El Honorable Senador señor Huenchumilla aclaró que la regla general es que el Ministerio Público califica si la cooperación ha sido eficaz en la investigación del delito o de otros hechos ilícitos. Pero es el tribunal quien decide su aplicación al momento de regular la pena. Dado que el mismo procedimiento rige respecto de todas las circunstancias modificatorias de la responsabilidad (atenuantes y agravantes), fue partidario de rechazar esta Indicación.

- Sometida a votación la indicación N° 62, fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Huenchumilla, Insulza y Pérez.

o o o

Indicación N° 62 bis.-

De Su Excelencia el Presidente de la República, para suprimir en el inciso primero la expresión “; siempre que, en todo caso, dichos delitos fueren a ejecutarse o se hubieren ejecutado por una agrupación u organización conformada por dos o más personas, o por una asociación ilícita”.

- Sometida a votación, esta indicación fue aprobada por la unanimidad de los miembros de la Comisión, Honorables Senadores señores Harboe, Insulza, Kast y Pérez.

o o o

Inciso tercero

Indicación N° 63.-

De los Honorables Senadores señores Araya, Harboe e Insulza, para suprimirlo.

- Esta indicación fue retirada por sus autores.

ARTÍCULO 9°.-

En su inciso primero, considera circunstancias agravantes de los delitos de que trata esta ley:

1) Utilizar tecnologías de encriptación sobre datos informáticos contenidos en sistemas informáticos que tengan por principal finalidad la obstaculización de la acción de la justicia.

2) Cometer el delito abusando de una posición privilegiada de garante o custodio de los datos informáticos contenidos en un sistema informático, en razón del ejercicio de un cargo o función.

En su inciso segundo, dispone que si como resultado de la comisión de las conductas contempladas en los artículos 1° y 4°, se interrumpiese o altere el funcionamiento de los sistemas informáticos o su data y esto afectase o alterase la provisión o prestación de servicios de utilidad pública, tales como electricidad, gas, agua, transporte, telecomunicaciones o financieros, la pena correspondiente se aumentará en un grado.

Indicación N° 64.-

De los Honorables Senadores señores Araya, Harboe e Insulza, propone reemplazarlo por el siguiente:

“Artículo 9º.- Circunstancias agravantes. Constituye circunstancia agravante de los delitos de que trata esta ley el cometer el delito abusando de una posición de confianza en la administración del sistema informático o custodio de los datos informáticos contenidos en él, en razón del ejercicio de un cargo o función.

Asimismo, si como resultado de la comisión de las conductas contempladas en los artículos 1° y 4°, se interrumpiese o altere el funcionamiento de los sistemas informáticos o la integridad de los datos informáticos y esto afectase o alterase la provisión o prestación de servicios de utilidad pública, tales como electricidad, gas, agua, transporte, telecomunicaciones o financieros, la pena correspondiente se aumentará en un grado.”.

- Sometida a votación esta indicación, fue aprobada con enmiendas por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Huenchumilla, Insulza, Kast y Pérez.

En lo que atañe a esta materia, el Jefe de Asesores, señor Celedón, comentó que, luego de un análisis del Ejecutivo del numeral 1) acordado en general por el Senado, se ha estimado que esta norma podría vulnerar el principio de no autoincriminación. Por lo mismo, añadió, si bien sería más adecuado el texto de la Indicación en esta materia, caben algunas dudas respecto del inciso segundo de la enmienda que se propone, cuando alude a los artículos 1° y 4° del proyecto de ley. En esa línea, previno, como los artículos 2° (acceso ilícito) y 3° (interceptación) podrían constituir figuras bases con alguna consecuencia en la prohibición de datos de servicios de utilidad pública, sería preferible ampliar el catálogo de delitos incluidos en la referencia legislativa a todos los ilícitos contendidos en este Título.

El profesional del Ministerio Público, señor Peña, coincidió con el representante del Ministerio del Interior y Seguridad Pública, en cuanto a que la actual redacción del artículo 9° podría suscitar inconvenientes al vulnerar el principio de no autoincriminación. Igualmente, concordó respecto de la necesidad de ampliar el catálogo de delitos a que se remite el inciso segundo.

El académico señor Álvarez estuvo conteste con la idea de modificar el artículo 9° en lo relativo al numeral 1) y a la eventual vulneración del principio de no autoincriminación. El uso de tecnologías de cifrado, dijo, es un elemento que debiese ser fomentado, pues incrementa los niveles de seguridad personal (establecer una agravante en este ámbito podría generar un efecto nocivo). Luego, explicó que la norma que propone la Indicación N° 64 es más precisa en la identificación de los dos bienes que debiesen ser objeto de protección especial: la posición de confianza en la administración del sistema informático y la de custodio de datos informáticos. En ese contexto, sugirió un texto simplificado del artículo 9° que recoja la Indicación N° 64 y lo sustentado por el Ministerio Público y el Ejecutivo, y de ampliar el catálogo de delitos referidos en el inciso segundo.

Además, llamó la atención acerca de la existencia de nuevas conductas que atentan contra menores de edad, que tanto pueden ser víctimas de un delito directo (pornografía infantil), cuanto de un hecho punible informático como acto preparatorio de otro delito. Esta situación estaría recogida en la Indicación N° 71, cuya idea de base cabría incluir en un artículo 9° corregido al tenor de lo que se discute.

Sobre la afectación de servicios de utilidad pública, el académico precisó que la norma que se acuerde en definitiva debería simplificar la concurrencia de elementos y considerar la interrupción o afectación de servicios como circunstancia agravante.

El Honorable Senador señor Huenchumilla apuntó que si bien las circunstancias agravantes en general no aumentan las penas por sí solas sino que concurren al momento de la ponderación de aquéllas, la agravante contemplada en el inciso segundo del artículo 9° incrementa directamente la pena en un grado.

El señor Peña hizo presente su preocupación por el uso del calificativo “gravemente” en una norma de esta índole, dado que –en su opinión- podría prestarse para confusión. Cuando se afecta o interrumpe la provisión de servicios públicos la conducta en sí es seria, por lo cual sumarle el que también sea “grave” puede producir efectos perniciosos al momento en que el juez califique la alteración o afectación. La idea original de esta disposición fue que la alteración o afectación, sin necesidad de gravedad, conllevara un aumento de la pena al tratarse de la provisión de servicios públicos (su sola interrupción o alteración causa un perjuicio significativo, por lo que exigir gravedad haría más engorroso su persecución penal).

El Honorable Senador señor Huenchumilla sostuvo que mientras la conducta de mayor gravedad corresponde a la de interrupción del servicio, la afectación constituye una conducta menor (no necesariamente supone interrupción). En el rango intermedio, agregó, se puede producir una amplia gama de afectaciones. Lo que aquí se pretende sancionar (con el aumento en un grado de la pena) es que la afectación sea de tal naturaleza que sea grave, de manera que si sólo fuera una afectación menor debería sancionarse sin el aumento de la sanción penal.

El Profesor, señor Álvarez, explicó que considerando que la “afectación” implica un nivel de intensidad en la conducta distinta a la “interrupción”, la calificación penal debería ser diferente.

El señor Celedón coincidió con lo argumentado por el Ministerio Público y recordó que las penas por estos ilícitos son bajas al corresponder a simples delitos (de allí que cabría evitar la calificación de gravedad). El aumento en un grado de la pena no implica un incremento sustantivo en su duración (como sí ocurre respecto de crímenes). Lo medular, arguyó, es que la sociedad dé una señal de inflexibilidad acerca de la alteración en la provisión de servicios de utilidad pública.

Sobre la circunstancia modificatoria de la responsabilidad establecida en el numeral 2) del texto propuesto, manifestó su inquietud acerca de si constituye una agravante general o especial propia de esta ley. El numeral 7) del artículo 12 del Código Penal contiene la agravante del abuso de confianza, y la del numeral 18) la relativa a la edad y sexo del ofendido. Si bien la norma se justifica desde el punto de vista de la posibilidad de vulneración de la confianza respecto de un menor en materia de delitos informáticos, esta regla podría confundirse con otras agravantes del artículo 12 del CP (interpretada como de aplicación general).

El académico, señor Álvarez, aclaró que la asiduidad en el uso de tecnología por parte de niños, niñas y adolescentes exige incrementar las barreras de protección, incluso en delitos especiales. Los ilícitos cometidos para afectar la indemnidad sexual de un menor por medios telemáticos o del uso de tecnología son, entre otros, robos de credenciales, accesos no autorizados y ataques a sistemas informáticos (esto es, delitos informáticos). Son fenómenos nuevos para los cuales se sugiere una solución específica que tendrá utilidad creciente a medida que crezca la densificación en el uso de tecnologías.

Concluida la discusión de este asunto, la Comisión fue partidaria de conferirle una nueva redacción al artículo 9°, que recoja las observaciones antes reseñadas. En ese entendido, el Presidente de la Comisión sometió a votación el siguiente texto alternativo para el artículo en cuestión:

“Artículo 9°.- Circunstancias agravantes. Constituyen circunstancias agravantes de los delitos de que trata esta ley:

1)Cometer el delito abusando de una posición de confianza en la administración del sistema informático o custodio de los datos informáticos contenidos en él, en razón del ejercicio de un cargo o función.

2)Cometer el delito abusando de la vulnerabilidad, confianza o desconocimiento de niños, niñas, adolescentes o adultos mayores.

Asimismo, si como resultado de la comisión de las conductas contempladas en este Título, se afectase o interrumpiese la provisión o prestación de servicios de utilidad pública, tales como electricidad, gas, agua, transporte, telecomunicaciones o financieros, la pena correspondiente se aumentará en un grado.”.

- Sometido a votación ad referéndum el texto antes sugerido, fue aprobado por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Huenchumilla, Insulza, Kast y Pérez.

La idea contenida en el artículo 9°, que pasa a ser 10°, se materializó en la indicación 64 bis ingresada por el Ejecutivo, del siguiente tenor:

Indicación N° 64 bis.-

De Su Excelencia el Presidente de la República, para sustituirlo por el siguiente:

“Artículo 10°.- Circunstancias agravantes. Constituyen circunstancias agravantes de los delitos de que trata esta ley:

1) Cometer el delito abusando de una posición de confianza en la administración del sistema informático o custodio de los datos informáticos contenidos en él, en razón del ejercicio de un cargo o función.

2) Cometer el delito abusando de la vulnerabilidad, confianza o desconocimiento de niños, niñas, adolescentes o adultos mayores.

Asimismo, si como resultado de la comisión de las conductas contempladas en este Título, se afectase o interrumpiese la provisión o prestación de servicios de utilidad pública, tales como electricidad, gas, agua, transporte, telecomunicaciones o financieros, la pena correspondiente se aumentará en un grado.”.

En relación con esta indicación, el señor Celedón advirtió la necesidad de incluir, dentro del inciso final del artículo propuesto, la afectación o interrupción de procesos electorales regulados por la ley Nº 18.700, orgánica constitucional sobre votaciones populares y escrutinios.

Ante esta propuesta, la Comisión manifestó su acuerdo en la incorporación, en la norma, de la afectación o interrupción de los procesos electorales señalados.

- Sometida a votación, esta indicación fue aprobada con la enmienda señalada, por la unanimidad de los miembros de la Comisión, Honorables Senadores señores Harboe, Insulza, Kast y Pérez.

Inciso primero

Número 1)

Indicaciones N°s. 65 y 66.-

Del Honorable Senador señor Girardi, y de las Honorables Senadoras señoras Rincón y Aravena, para eliminarlo.

- Sometidas a votación, estas indicaciones, fueron aprobadas con enmiendas por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Huenchumilla, Insulza, Kast y Pérez.

Indicación N° 67.-

Del Honorable Senador señor Pugh, para sustituirlo por el que sigue:

“1) Utilizar ilícitamente datos personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero.”.

- Sometida a votación esta indicación, fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Huenchumilla, Insulza, Kast y Pérez.

Indicación N° 68.-

De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente:

“1) Utilizar tecnologías destinadas a destruir u ocultar en una investigación penal, los datos o sistemas informáticos a través de los cuales se cometió el delito.”.

- Sometida a votación esta indicación, fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Huenchumilla, Insulza, Kast y Pérez.

Número 2)

Indicación N° 69.-

De Su Excelencia el Presidente de la República, para sustituirlo por el que sigue:

“2) Cometer el delito abusando de su calidad de responsable, en razón de su cargo o función, del sistema o datos informáticos.”.

- Sometida a votación esta indicación, fue aprobada con enmiendas por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Huenchumilla, Insulza, Kast y Pérez.

Indicación N° 70.-

Del Honorable Senador señor Pugh, para reemplazar la expresión “privilegiada de garante” por: “de confianza en la administración del sistema informático”.

- Sometida a votación esta indicación, fue aprobada con enmiendas por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Huenchumilla, Insulza, Kast y Pérez.

o o o

Indicación N° 71.-

De las Honorables Senadoras señoras Rincón y Aravena, para consultar, a continuación del número 2), el siguiente número, nuevo:

“…) Cometer el delito abusando de la vulnerabilidad, confianza o desconocimiento de niños, niñas, adolescentes o adultos mayores, o produciendo perjuicio en su contra.”.

- Sometida a votación esta indicación, fue aprobada con enmiendas por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Huenchumilla, Insulza, Kast y Pérez.

o o o

Indicación N° 72.-

De las Honorables Senadoras señoras Rincón y Aravena, para incorporar en seguida un número nuevo, del tenor que sigue:

“…) Cometer el delito como medio o con el fin principal de ejercer violencia en contra de las mujeres, sea de forma física, psicológica, sexual, económica, simbólica o institucional.”.

- Sometida a votación esta indicación, fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Huenchumilla, Insulza, Kast y Pérez.

o o o

Inciso segundo

Indicación N° 73.-

De Su Excelencia el Presidente de la República, para reemplazar la expresión “los artículos 1° y 4°” por “este título”.

- Sometida a votación esta indicación, fue aprobada con enmiendas por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Huenchumilla, Insulza, Kast y Pérez.

Indicación N° 74.-

De Su Excelencia el Presidente de la República, para sustituir la locución “su data” por “sus datos”.

- Sometida a votación esta indicación, fue aprobada con enmiendas por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Huenchumilla, Insulza, Kast y Pérez.

o o o

Indicación N° 75.-

De las Honorables Senadoras señoras Rincón y Aravena, para introducir, después del artículo 9°, los siguientes artículos, nuevos:

“Artículo…- Ciberamenazas contra la mujer. El que por medio de la transmisión de cualquier comunicación textual, visual, escrita u oral, a través de medios electrónicos, amenazare seriamente a una mujer con causar un mal a ella misma o a su familia, en su persona, honra o propiedad, siempre que por los antecedentes aparezca verosímil la consumación del hecho, será castigado con las penas de presidio menor en sus grados mínimo a medio si el hecho fuere constitutivo de delito y con la pena de la pena de reclusión menor en sus grados mínimo a medio si el hecho no fuere constitutivo de delito.

La condena por este delito será inscrita, además del Registro de Condenas del Servicio de Registro Civil e Identificación, en el registro de personas condenadas por actos de violencia intrafamiliar o violencia contra la mujer, y en el Registro de personas inhabilitadas para trabajar con menores de edad, si la víctima lo fuere.

Artículo...- Revelación de datos o documentos como forma de violencia contra la mujer. El que por medio de Internet u otras tecnologías de información o comunicación (TICS) viole la privacidad de una mujer, revelando, sin su consentimiento, datos de su identidad, información personal como su dirección, nombres de sus hijos e hijas, número de teléfono o dirección de correo electrónico, o documentos personales, con el objeto causarle angustia, pánico o alarma, será castigado con la pena de presidio menor en sus grados mínimo a medio.

La condena por este delito será inscrita, además del Registro de Condenas del Servicio de Registro Civil e Identificación, en el registro de personas condenadas por actos de violencia intrafamiliar o violencia contra la mujer, y en el Registro de personas inhabilitadas para trabajar con menores de edad, si la víctima lo fuere.”.

Con motivo del análisis de esta Indicación, el Honorable Senador señor Insulza precisó que –por su relevancia- la norma que se propone debería tener un carácter más general. En este sentido, consultó al representante del Ministerio Público si en nuestro ordenamiento jurídico penal existe alguna norma que sancione este tipo de conductas independientemente de si se utilizan o no medios tecnológicos.

El personero del Ministerio Público, señor Peña, explicó que, en circunstancias que el proyecto de ley signado Boletín N° 11.077-07, sobre el derecho de las mujeres a una vida libre de violencia, contempla normas similares y de mayor alcance a las que se proponen en esta Indicación, lo adecuado sería que una modificación de esta índole quede incluida en dicha iniciativa legal.

Cabe consignar que la Comisión, coincidiendo con el espíritu de la proposición, estuvo por su rechazo, en el entendido que la idea sobre que versa debe recogerse en el mencionado Boletín N° 11.077-07.

- Sometida a votación esta indicación, fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Huenchumilla, Insulza, Kast y Pérez.

o o o

ARTÍCULO 10.-

Prescribe que, sin perjuicio de las reglas contenidas en el Código Procesal Penal, las investigaciones a que dieren lugar los delitos previstos en esta ley también podrán iniciarse por querella del Ministro del Interior y Seguridad Pública, de los delegados presidenciales regionales y de los delegados presidenciales provinciales, cuando las conductas señaladas en esta ley interrumpieren el normal funcionamiento de un servicio de utilidad pública.

Indicación N° 76.-

Del Honorable Senador señor Durana, para reemplazarlo por el siguiente:

“Artículo 10.- Sin perjuicio de las reglas contenidas en el Código Procesal Penal, las investigaciones a que dieren lugar los delitos previstos en esta ley también podrán iniciarse por querella del Ministro del Interior y Seguridad Pública, de los gobernadores regionales, de los delegados presidenciales regionales y de los delegados presidenciales provinciales, cuando las conductas señaladas en esta ley interrumpieren el normal funcionamiento de un servicio de utilidad pública.”.

- Esta indicación fue declarada inadmisible por el señor Presidente, con arreglo a lo dispuesto en el artículo 65, inciso cuarto, N° 2, de la Carta Fundamental.

ARTÍCULO 11.-

En su inciso primero, dispone que cuando la investigación de los delitos contemplados en esta ley lo hiciere imprescindible y existieren fundadas sospechas, basadas en hechos determinados, de la participación en una asociación ilícita, o en una agrupación u organización conformada por dos o más personas, destinada a cometer estos ilícitos, el Ministerio Público podrá aplicar las técnicas previstas y reguladas en los artículos 222 a 226 del Código Procesal Penal, conforme lo disponen dichas normas, y siempre que cuente con autorización judicial.

En su inciso segundo, precisa que, de igual forma y cumpliéndose las condiciones establecidas en el inciso anterior, el Ministerio Público, y siempre que cuente con autorización judicial, podrá utilizar las técnicas especiales de investigación consistentes en entregas vigiladas y controladas, el uso de agentes encubiertos e informantes, en la forma regulada por los artículos 23 y 25 de la ley N° 20.000, siempre que fuere necesario para lograr el esclarecimiento de los hechos, establecer la identidad y la participación de personas determinadas en éstos, conocer sus planes, prevenirlos o comprobarlos.

En su inciso tercero, impide que los resultados de las técnicas especiales de investigación establecidas en este artículo sean utilizados como medios de prueba en el procedimiento cuando ellos hubieren sido obtenidos fuera de los casos o sin haberse cumplido los requisitos que autorizan su procedencia.

Indicación N° 77.-

Del Honorable Senador señor Girardi, propone suprimirlo.

- Sometida a votación esta indicación, fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Insulza y Kast.

Con ocasión del análisis de esta materia, el personero del Ministerio Público, señor Peña, destacó la relevancia que la materia regulada en este artículo reviste para su institución, por cuanto otorga técnicas de investigación respecto de delitos que tienen características especiales. Como estos ilícitos pueden ser cometidos por una sola persona, supeditar la existencia de técnicas de investigación impide al órgano persecutor utilizar un agente encubierto on line. Por tal razón, y por idénticos motivos a los considerados en el debate del artículo 8°, sugirió eliminar la exigencia de que se trate de una agrupación o asociación ilícita y que (al igual que en la ley N° 20.000) sea el Ministerio Público el que otorgue a las policías autorización para entregas vigiladas y uso de agentes encubiertos e informantes (atendido el anonimato existente en las redes esta autorización se torna indispensable). Por ello, además, cobra importancia el inciso tercero, al disponer que cuando las técnicas especiales de investigación no se lleven a cabo en la forma prevista por el legislador, no podrán utilizarse como medios de prueba. La Corte Suprema anula el juicio y dispone que los medios de prueba utilizados no sean válidos, cuando existe vulneración de garantías constitucionales.

El Jefe de Asesores señor Celedón sostuvo que por la naturaleza de los delitos informáticos las técnicas de investigación son una herramienta fundamental. En ese orden, dijo, si bien el planteamiento del órgano persecutor supone la utilización de estas técnicas especiales no sólo respecto de agrupaciones o bandas criminales, el agente encubierto es, por definición, quien se introduce en una organización criminal, por lo cual para desbaratar bandas criminales es esencial la utilización de estas técnicas especiales de investigación. No sería proporcional utilizarlas respecto de sujetos individualmente considerados, lo cual se desprende del artículo 25 de la ley N° 20.000.

Enseguida, recordó que cuando se tramitó la ley N° 20.931, que facilita la aplicación efectiva de las penas establecidas para los delitos de robo, hurto y receptación y mejora su persecución penal, hubo una decisión explícita de incorporar técnicas especiales de investigación respecto de delitos contra la propiedad. Como estas herramientas se relacionan directamente con la pluralidad de sujetos, se exige autorización judicial para utilizarlas. Si no fuera así, muchas investigaciones no podrían sortear la vulneración de derechos fundamentales.

El Profesor, señor Álvarez, manifestó que en materia de proporcionalidad los elementos que se deben acreditar para que proceda la solicitud de autorización de este tipo de medidas poseen un estándar superior en el Código Procesal Penal (artículos 222 y 226 bis), que incluso respecto del texto aprobado en general por el Senado. En este sentido, dijo, el Ministerio Público plantea que las técnicas en cuestión procedan cuando fuera “imprescindible”, mientras el artículo 222 del CPP y el texto aprobado en general de este proyecto de ley disponen que ellas tengan lugar “cuando fuere imprescindible y existieran fundadas sospechas basadas en hechos determinados” (lo cual aumenta el estándar de exigencia).

En ese marco, prosiguió, el exigente estándar requerido es inexcusable debido a la garantía constitucional del número 4° del artículo 19 de la Constitución Política (sobre protección de la vida privada y de los datos personales). En lo que atañe al artículo 222 del CPP, el legislador ha sido extremadamente celoso en ampliar el ámbito de acción de las interceptaciones. La inviolabilidad de las comunicaciones es una garantía fuerte en nuestro ordenamiento: al menos nueve sentencias del Tribunal Constitucional, desde el año 2000 en adelante, interpretan restrictivamente las excepciones a esta garantía constitucional. Así, autorizar la interceptación de comunicaciones bastando sólo que sea “imprescindible” parece un estándar demasiado bajo.

Luego, sugirió recoger la primera parte del artículo 11 aprobado en general, de manera que proceda sólo respecto de la pluralidad de actores y que no pueda ser ordenada en función de investigar un delincuente solitario, considerando que las penas de estos delitos establecen una desproporción en función de los bienes jurídicos protegidos. Esta norma debería establecerse para ciertos delitos (como acceso no autorizado y ataque a la integridad del sistema) y no para el catálogo completo de ilícitos.

El personero del Ministerio Público, señor Peña, aclaró que cuando se sostiene que no es necesario hacer alusión a una agrupación o asociación ilícita, no se considera la participación de sujetos que, si bien no se encuentran organizados ni agrupados, realizan conductas particulares En materia informática existe una red que otorga una plataforma donde conviven distintos sujetos, por ello no es necesaria la asociación ilícita (puede tratarse de una sola persona). Se requiere que el agente encubierto pueda comunicarse eventualmente con ese sujeto que, por ejemplo, vende las claves personales de diversas personas. En este caso, tratándose de delitos informáticos que se cometen en una red de Internet que otorga anonimato, no se hace necesaria la existencia de una agrupación o asociación ilícita.

Lo señalado se diferencia de los delitos de la ley N° 20.000, arguyó, porque en ésta se establecen delitos de emprendimiento, que se cometen en distintas etapas y suponen una asociación. Aquí se justifica que el agente encubierto se inmiscuya en la agrupación o asociación de sujetos que realizan el tráfico de drogas. En cambio en los delitos informáticos el sujeto puede no conocer la identidad de la persona que, por ejemplo, le venderá las claves de otros.

Por otra parte, si bien es el órgano persecutor el que solicita la medida, al juez de garantía le compete autorizar la utilización de estas técnicas de investigación. En este sentido, el inciso segundo contempla técnicas de investigación que se encuentran reguladas en la ley N° 20.000 sin la intervención del juez de garantía, debido a que el inciso tercero de la propuesta cubre la hipótesis respecto al no cumplimiento de requisitos necesarios para la referida autorización.

El Honorable Senador señor Huenchumilla hizo presente que, dado que en nuestro ordenamiento jurídico el principio general es el de la protección de los derechos fundamentales de la persona, todas estas técnicas de investigación intrusivas son de carácter excepcional y de aplicación restrictiva. Los delitos informáticos son un ámbito criminal especialísimo y nuevo, que se relaciona con el desarrollo de la tecnología y supone un escenario distinto. En una legislación nueva, que regula las tecnologías de la información, se necesitan medidas intrusivas especialísimas, aunque cabe precisar quiénes operarán el sistema y de qué modo. Con todo, se debe elevar el estándar de exigencias objetivas para la procedencia de estas técnicas de investigación.

El señor Celedón precisó que la norma en discusión hace referencia a los artículos 23 y 25 de la ley N° 20.000, que establece que el agente encubierto debe ser un funcionario policial (por su especialidad, un funcionario de la Brigada del Cibercrimen de la PDI).

El personero del Ministerio Público reiteró que, con arreglo al artículo 25 de la ley N° 20.000, el agente encubierto es el funcionario policial que oculta su identidad oficial y se involucra o introduce en las organizaciones delictuales o en meras asociaciones o agrupaciones con propósitos delictivos, para identificar a sus partícipes, reunir información y recoger antecedentes para la investigación (que sólo puede ser llevada a cabo por funcionarios policiales, sin perjuicio de que sea el Ministerio Público el que la dirige).

Las técnicas de investigación se encuentran reguladas en los artículos 23 y 25 de la ley N° 20.000. La salvedad se produce porque Internet constituye una red, por lo cual la necesidad de establecer una asociación ilícita o una agrupación resulta redundante por la realidad existente al momento de cometer los delitos. La red provee la posibilidad de contactar a otro sujeto sin conocer su verdadera identidad. En este caso, la asociación ilícita es imposible de acreditar por las características del delito, el anonimato y la dificultad de la investigación. Con todo, el Ministerio Público debe respetar las garantías fundamentales de los ciudadanos (cuando son infringidas se persiguen las responsabilidades sin distinciones).

El académico, señor Álvarez, advirtió que, dado que el artículo 11 contiene los elementos necesarios para la calificación que debe realizar el Ministerio Público, la pretensión del órgano persecutor queda cubierta en el mismo precepto. El punto central es que no debe permitirse la interceptación de comunicaciones por cualquier delito informático, pues extralimitaría la afectación de la garantía de inviolabilidad.

El Honorable Senador señor Insulza, si bien estuvo conteste con la dificultad de acreditar la asociación ilícita en esta materia, señaló que estas técnicas de investigación deberían utilizarse en circunstancias excepcionales, por lo cual habría que establecer un estándar mayor para su procedencia.

En una siguiente sesión, la Comisión prosiguió la discusión acerca del artículo 11 de este proyecto de ley y de sus correspondientes indicaciones.

En esta oportunidad, el asesor del Ministerio Público, señor Peña, sugirió una nueva redacción para el artículo en estudio:

“Artículo 11.- Cuando la investigación de los delitos contemplados en esta ley lo hiciere imprescindible, y existieren fundadas sospechas basadas en hechos determinados, de que una persona hubiere cometido o participado en la preparación o comisión de algunos de los delitos contemplados en esta ley, el juez de garantía, a petición del Ministerio Público, podrá ordenar la realización de las técnicas previstas y reguladas en los artículos 222 a 226 del Código Procesal Penal, conforme lo disponen dichas normas.

De igual forma, cumpliéndose los requisitos establecidos en el inciso anterior, el Ministerio Público podrá ordenar a funcionarios policiales actuar bajo identidad supuesta en comunicaciones mantenidas en canales abiertos y cerrados de comunicación, con el fin de esclarecer los hechos tipificados como delitos en esta ley, establecer la identidad y participación de personas determinadas en la comisión de los mismos, prevenirlos o comprobarlos. El referido agente encubierto en línea, podrá intercambiar o enviar por sí mismo archivos ilícitos por razón de su contenido y analizar los resultados de los algoritmos aplicados para la identificación de dichos archivos ilícitos, pudiendo obtener también imágenes y grabaciones de las referidas comunicaciones.

Los resultados de las técnicas especiales de investigación establecidas en este artículo no podrán ser utilizados como medios de prueba en el procedimiento cuando ellos hubieren sido obtenidos fuera de los casos o sin haberse cumplido los requisitos que autorizan su procedencia.”.

Una disposición de estas características, explicó, constituiría una propuesta intermedia que busca hacer aplicables las normas de persecución penal en este tipo de ilícitos, en consideración a sus especiales características de comisión y la existencia de internet (que justificaría eliminar la exigencia de asociación o agrupación de personas). Así, las principales modificaciones en el texto antes consignado serían la existencia de fundadas sospechas basadas en hechos determinados (aspecto contenido en el proyecto de ley aprobado en general); autorización del juez de garantía, y supresión del reenvío a los artículos de la ley Nº 20.000 (porque supone la existencia de una asociación ilícita o agrupación de sujetos).

Luego, la norma sugerida define la idea de un agente encubierto en línea y sus particularidades (muy distintas de las del agente encubierto en materia de drogas), y se explicita la forma en que ha de llevarse a cabo en la práctica esta medida especial de investigación, para lo cual se recogen nociones de la legislación española en este ámbito.

El Honorable Senador señor Insulza advirtió que uno de los puntos que más preocupación suscita es el referido a la necesidad de contar con autorización judicial previa para la procedencia de esta técnica especial de investigación. Además, añadió, existen reticencias acerca de la eliminación de la alusión a la asociación ilícita o agrupación de sujetos, que según el Ministerio Público se justificaría por el modo de operar de quienes cometen estos ilícitos. En ese marco, la sugerencia del Ministerio Público asigna al agente encubierto un conjunto relevante de funciones, a saber: esclarecer los hechos tipificados como delitos en esta ley; establecer la identidad y participación de personas determinadas en la comisión de los mismos, prevenirlos o comprobarlos; intercambiar o enviar por sí mismo archivos ilícitos y analizar los resultados. Por otra parte, la mención en una norma jurídica del concepto de “algoritmos” podría generar problemas de interpretación.

El señor Celedón hizo presente que las observaciones efectuadas por el Profesor señor Álvarez no difieren sustantivamente del planteamiento del Ejecutivo, diferenciándose únicamente en cuanto a la exigencia expresa de autorización judicial previa respecto de esta técnica especial de investigación.

Seguidamente, sobre el texto sugerido por el Ministerio Público, previno que en circunstancias que estas técnicas especiales se enmarcan dentro de una organización criminal al tenor del artículo 25 de la ley N° 20.000, como la redacción que se recomienda no hace referencia a este cuerpo legal se estaría creando la figura de un agente encubierto sui generis ajeno a la tradición nacional. Más discutible aún, prosiguió, es obviar la autorización judicial para la utilización de estas técnicas especiales de investigación, atendido que los estándares actuales no permiten una situación de tal naturaleza.

El Honorable Senador señor Huenchumilla acotó que es necesario establecer claramente que la autorización judicial es previa. La correcta interpretación de las normas procesales indica que así debe ser, pues se trata de medidas excepcionales que colisionan con los derechos fundamentales de las personas.

El académico, señor Alejandro Hevia, comentó que la norma sugerida alude a archivos ilícitos y algoritmos aplicados para la identificación de estos archivos. Al respecto, sostuvo que la remisión debería precisar de qué algoritmos se trata, si están contenidos en un reglamento y qué los identifica. Lo medular es precaver la posibilidad de incluir como ilícito algo que en esencia no lo es.

El Director de la Unidad Especializada en Lavado de Dinero, Delitos Económicos, Medioambientales y Crimen Organizado del Ministerio Público explicó que la idea del agente encubierto cibernético se ha recogido de la legislación española, que ya ha tenido aplicación práctica y que alude específicamente a algoritmos. En cuanto a la intervención telefónica, la normativa de inteligencia es más laxa que la del Código Procesal Penal. Con todo, dijo, en la investigación criminal siempre debe haber autorización judicial previa, siendo inaceptable una ratificación posterior.

El Honorable Senador señor Huenchumilla enfatizó que en otros tiempos la interpretación pudo ser laxa para los servicios de inteligencia, pero que ello no puede serlo en un régimen democrático en el que rija plenamente el estado de derecho.

El personero del Ministerio Público, señor Peña, reiteró que la disposición sugerida por el Ministerio Público exige fundadas sospechas en hechos determinados e intervención del juez de garantía, y describe pormenorizadamente la función del agente encubierto y su forma de operar (que difiere de aquella regulada en la ley Nº 20.000). Tratándose de delitos informáticos el agente encubierto hace entregas en línea, que se comprueban mediante algoritmos. También existe la posibilidad de grabar la conversación entre el agente encubierto y el sujeto investigado por un delito informático.

No obstante, precisó, esta técnica de investigación en el caso de un delito informático podría proceder sin autorización judicial previa, al igual que en la ley N° 20.000, cuando se produce en los albores de un procedimiento y no se cuenta con otro mecanismo para obtener la identidad del sujeto investigado. Pero, cuando no se cumplan los requisitos que la norma exige para la utilización de esta técnica especial de investigación, no se podrá emplear como medio probatorio. La idea es que la norma se adapte a la realidad de la investigación de un delito, que se comete en una red donde la gente no se conoce y prima el anonimato. Como estos ilícitos se pueden cometer por una sola persona que tenga acceso a una comunidad de sujetos en la dark web, la norma debe redactarse en esos términos. La autorización del juez de garantía podría generar un atraso en la investigación y, por ende, un perjuicio importante en la persecución penal: en ningún caso se busca la vulneración de garantías fundamentales, sólo investigar oportunamente esta clase de hechos punibles.

El Honorable Senador señor Insulza manifestó su preocupación por la posibilidad de admitir esta técnica especial de investigación sin necesidad de autorización judicial, aun cuando sea al comienzo de una investigación criminal. Es un evidente riesgo que no se autoricen judicialmente medidas de esta naturaleza, incluso esto reviste un peligro importante para quien desempeña la labor de agente encubierto.

En lo que concierne a los algoritmos, el académico, señor Hevia, señaló que el agente encubierto utilizará esta herramienta para identificar a quienes participan en una eventual actividad ilícita, al inicio de una investigación. El algoritmo dará antecedentes para determinar si la persona está cometiendo un ilícito o para incrementar su monitoreo. No obstante, como podría ser complejo para el juez comprender el mecanismo de los algoritmos técnicos, la norma ha de ser más precisa acerca de lo que autoriza. Los algoritmos son necesarios para identificar delitos como pornografía infantil, pero si no son adecuadamente establecidos se podrían emplear para identificar conversaciones en chats, lo que afectaría a ciudadanos inocentes que no se encuentran involucrados en la actividad delictual. En tales términos, arguyó, debe procederse con extremo cuidado al momento de entregar la responsabilidad a un algoritmo para la identificación de un ilícito.

El señor Peña aclaró que de lo que se trata es de analizar el resultado de los algoritmos para la identificación de archivos ilícitos que se intercambiarán por el agente encubierto con el imputado.

El Honorable Senador señor Kast sostuvo que si se establecen condiciones rigurosas y claras en la ley para evitar irregularidades, no debería existir un impedimento para entregar facultades de esta naturaleza.

El Honorable Senador señor Huenchumilla adujo que en la mayoría de los delitos hay una etapa de investigación que en algunos casos requiere de medidas intrusivas, y éstas a su vez autorización judicial. Pero en algunos ilícitos, como en el abigeato, Carabineros de Chile ejerce una labor de inteligencia policial preventiva, independientemente de la existencia de una investigación criminal. La cuestión es determinar si en los delitos informáticos es posible realizar una acción policial preventiva sin que haya investigación, para anticiparse a la eventual comisión del hecho punible. Por tal razón, cobra importancia el rol que jugaría en esta materia la ley N° 19.974, sobre sistema de inteligencia del Estado, en lo relativo a la prevención de este tipo de delitos.

El Director de la Unidad Especializada en Lavado de Dinero, Delitos Económicos, Medioambientales y Crimen Organizado del Ministerio Público informó que el agente encubierto, atendido su carácter de medida excepcional, no podría ser utilizado por la policía sin que exista a su respecto control, registro e instrucciones generales del Ministerio Público sobre forma, momento y condiciones en que se autoriza. Su propia excepcionalidad demanda una preocupación especial del órgano persecutor para que el funcionario policial que desarrolle esta labor sea el idóneo. Utilizar esta técnica especial de investigación requiere de una investigación criminal, de modo que la autorización de un agente encubierto se dará en el contexto de antecedentes que lo ameriten. La legislación de inteligencia podría quizá aplicarse al terrorismo cibernético con fines preventivos o de detección, aunque, por regla general, el llamado cibercrimen no ameritará recurrir al sistema nacional de inteligencia.

El Honorable Senador señor Kast enfatizó que para la procedencia del agente encubierto sin autorización deberían existir antecedentes y un indicio nítido acerca de la existencia de un hecho punible.

El Jefe de Asesores, señor Celedón, luego de insistir en el elevado estándar exigido para el uso de técnicas especiales de investigación, que se justifica por la circunstancia de que la figura del agente encubierto corresponde a una de las medidas más intrusivas que contempla la legislación, hizo presente la necesidad de que la disposición que, en definitiva, se acuerde, aluda al artículo 25 de la ley N° 20.000 en lo que concierne a la exención de responsabilidad y la entrega de una identidad por parte del Servicio de Registro Civil e Identificación (elementos de los cuales carece el texto sugerido por el Ministerio Público).

Recogiendo las observaciones críticas hechas a la propuesta, el asesor señor Peña, en representación del Ministerio Público, presentó un tercer texto alternativo para el artículo 11, del siguiente tenor:

“Artículo 11.- Cuando la investigación de los delitos contemplados en esta ley lo hiciere imprescindible, y existieren fundadas sospechas basadas en hechos determinados, de que una persona hubiere cometido o participado en la preparación o comisión de algunos de los delitos contemplados en esta ley, el Juez de Garantía, a petición del Ministerio Público, podrá ordenar la realización de las técnicas previstas y reguladas en los artículos 222 a 226 del Código Procesal Penal, conforme lo disponen dichas normas.

De igual forma, cumpliéndose los requisitos establecidos en el inciso anterior, el Juez de Garantía, a petición del Ministerio Público podrá ordenar a funcionarios policiales actuar bajo identidad supuesta en comunicaciones mantenidas en canales cerrados de comunicación, con el fin de esclarecer los hechos tipificados como delitos en esta ley, establecer la identidad y participación de personas determinadas en la comisión de los mismos, impedirlos o comprobarlos. El referido agente encubierto en línea, podrá intercambiar o enviar por sí mismo archivos ilícitos por razón de su contenido, pudiendo obtener también imágenes y grabaciones de las referidas comunicaciones. No obstará a la consumación de los delitos que se pesquisen el hecho de que hayan participado en su investigación agentes encubiertos. La intervención de estos últimos no será considerada inducción o instigación al delito.

Los resultados de las técnicas especiales de investigación establecidas en este artículo no podrán ser utilizados como medios de prueba en el procedimiento cuando ellos hubieren sido obtenidos fuera de los casos o sin haberse cumplido los requisitos que autorizan su procedencia.”.

Refiriéndose a este nuevo texto, el señor Celedón destacó que, si bien salva las dificultades que se advirtieron durante el debate de este asunto, el inciso final que se plantea podría suscitar problemas de interpretación en lo que atañe a la posibilidad de un hallazgo casual. En efecto, dijo, cuando se excede la orden judicial la prueba puede ser considerada ilícita, pero si con ocasión de la indagatoria se descubren otros hechos punibles, particularmente de aquellos que merecen pena de crimen, esa prueba debería ser considerada.

En opinión del Honorable Senador señor Harboe, la norma cumple un rol de resguardo, tratándose de elementos probatorios que se hayan obtenido en contravención a la ley o en la investigación de un delito distinto. En ese entendido, añadió, la disposición no aludiría sólo al hallazgo casual, sino que también supone que los elementos probatorios carecen de los requisitos de procedencia dispuestos en la ley, como en el caso de interceptación telefónica o captación de mensajería instantánea sin autorización judicial.

El asesor señor Celedón explicó que el fraude de etiqueta se produce cuando se formaliza a una persona por un delito determinado, como terrorismo, aplicando técnicas especiales de investigación y medidas cautelares, pero se termina acusando al individuo por un delito común. En cambio, en la norma en estudio, relativa al hallazgo casual (expresamente regulado en nuestra legislación), hay una remisión a la entrada y registro y a interceptaciones telefónicas. La regla de interceptación telefónica es de proporcionalidad, precisó, por lo que si se está frente a una investigación de delitos informáticos y casualmente se obtienen antecedentes respecto de un ilícito que merezca pena de crimen debería desestimarse.

El señor Fernández sugirió mantener en la norma la frase “sin haberse cumplido los requisitos que autoricen su procedencia”, para efectos de satisfacer la inquietud del Ejecutivo. Asimismo, sostuvo que en la utilización de técnicas especiales existen fórmulas para hacerse cargo de hallazgo de objetos, documentos o antecedentes que permitan imputar otro tipo de delito. Siendo así, se cumpliría con dicha finalidad eliminando la frase “fuera de los casos”.

En lo que atañe a dicha sugerencia, el Honorable Senador señor Harboe hizo presente que la idea es explicitar que, en ningún caso, puede obtenerse información o ésta hacerse valer como medio de prueba si se hubiere obtenido sin cumplir con los requisitos que autorizan su procedencia.

- En tales términos, sometida a votación ad referéndum la idea contenida en este tercer texto alternativo del artículo 11, fue aprobado con enmiendas por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Insulza y Kast.

La idea contenida en el artículo 11°, que pasa a ser 12°, se materializó en la indicación 77 bis ingresada por el Ejecutivo, del siguiente tenor:

Indicación N° 77 bis.-

De Su Excelencia el Presidente de la República, para sustituirlo por el siguiente:

“Artículo 12.- Cuando la investigación de los delitos contemplados en esta ley lo hiciere imprescindible y existieren fundadas sospechas basadas en hechos determinados, de que una persona hubiere cometido o participado en la preparación o comisión de algunos de los delitos contemplados en esta ley, el Juez de Garantía, a petición del Ministerio Público, podrá ordenar la realización de las técnicas previstas y reguladas en los artículos 222 a 226 del Código Procesal Penal, conforme lo disponen dichas normas.

De igual forma, cumpliéndose los requisitos establecidos en el inciso anterior, el Juez de Garantía, a petición del Ministerio Público, podrá ordenar a funcionarios policiales actuar bajo identidad supuesta en comunicaciones mantenidas en canales cerrados de comunicación, con el fin de esclarecer los hechos tipificados como delitos en esta ley, establecer la identidad y participación de personas determinadas en la comisión de los mismos, impedirlos o comprobarlos. El referido agente encubierto en línea, podrá intercambiar o enviar por sí mismo archivos ilícitos por razón de su contenido, pudiendo obtener también imágenes y grabaciones de las referidas comunicaciones. No obstará a la consumación de los delitos que se pesquisen el hecho de que hayan participado en su investigación agentes encubiertos. La intervención de estos últimos no será considerada inducción o instigación al delito.

Los resultados de las técnicas especiales de investigación establecidas en este artículo no podrán ser utilizados como medios de prueba en el procedimiento cuando ellos hubieren sido obtenidos sin haberse cumplido los requisitos que autorizan su procedencia.”.

- Sometida a votación, esta indicación fue aprobada por la unanimidad de los miembros de la Comisión, Honorables Senadores señores Harboe, Insulza, Kast y Pérez.

Inciso segundo

Indicación N° 78.-

Del Honorable Senador señor Pugh, propone suprimirlo.

- Sometida a votación, esta indicación fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Insulza y Kast.

Inciso tercero

Indicación N° 79.-

Del Honorable Senador señor Pugh, propone eliminarlo.

- Sometida a votación, esta indicación fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Insulza y Kast.

ARTÍCULO 12.-

En su inciso primero, prescribe que, sin perjuicio de las reglas generales, caerán especialmente en comiso los instrumentos de los delitos penados en esta ley, los efectos que de ellos provengan y las utilidades que hubieren originado, cualquiera que sea su naturaleza jurídica.

En su inciso segundo, precisa que cuando por cualquier circunstancia no sea posible decomisar las especies, se podrá aplicar el comiso a una suma de dinero equivalente a su valor.

Inciso segundo

Indicación N° 79 bis.-

De Su Excelencia el Presidente de la República, para sustituirlo por el siguiente:

“Cuando por cualquier circunstancia no sea posible decomisar estas especies, se podrá aplicar el comiso a una suma de dinero equivalente a su valor, respecto de los responsables del delito. Si por la naturaleza de la información contenida en las especies, estas no pueden ser enajenadas a terceros, se podrá ordenar la destrucción total o parcial de los instrumentos del delito y los efectos que de ellos provengan.”.

En relación con esta indicación, el señor Celedón explicó que -en su parte final- se refiere a material que no es susceptible de incautación, por lo cual se debe proceder a su destrucción.

- Sometida a votación, esta indicación fue aprobada por la unanimidad de los miembros de la Comisión, Honorables Senadores señores Harboe, Insulza, Kast y Pérez.

Indicación N° 80.-

De los Honorables Senadores señores Araya, Harboe e Insulza, para agregar a continuación de la palabra “valor”, la expresión “, respecto de responsables del delito”.

Con motivo de su análisis, luego de que el Jefe de Asesores del Ministerio manifestara su parecer favorable a esta Indicación, el personero del Ministerio Público, señor Fernández, planteó la posibilidad de establecer una destinación especial para el comiso de estos activos según las características del delito cometido. De no ser el caso, los bienes decomisados deberán destinarse a la Corporación Administrativa del Poder Judicial.

- Sometida a votación esta indicación, fue aprobada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Insulza y Kast.

TÍTULO III

DISPOSICIONES FINALES

Indicación N° 81.-

Del Honorable Senador señor Girardi, propone reemplazarlo por el siguiente:

“TÍTULO III

DISPOSICIÓN FINAL”

- Sometida a votación, esta indicación fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Insulza y Kast.

ARTÍCULO 14.-

Para efectos de este proyecto de ley, entiende por:

a) Datos informáticos: Toda representación de hechos, información o conceptos expresados en cualquier forma que se preste a tratamiento informático, incluidos los programas diseñados para que un sistema informático ejecute una función.

b) Sistema informático: Todo dispositivo aislado o conjunto de dispositivos interconectados o relacionados entre sí, cuya función, o la de alguno de sus elementos, sea el tratamiento automatizado de datos en ejecución de un programa.

Indicación N° 82.-

Del Honorable Senador señor Girardi, para contemplarlo como artículo 1°, cambiando la numeración correlativa de los artículos anteriores.

- Sometida a votación, esta indicación fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Insulza y Kast.

o o o

Indicación N° 82 bis.-

De Su Excelencia el Presidente de la República, para incorporar un nuevo literal c) al inciso primero del siguiente tenor:

“c) Proveedores de servicios: Toda entidad pública o privada que ofrezca a los usuarios de sus servicios la posibilidad de comunicar a través de un sistema informático y cualquier otra entidad que procese o almacene datos informáticos para dicho servicio de comunicación o para los usuarios del mismo.”.

- Sometida a votación, esta indicación fue aprobada por la unanimidad de los miembros de la Comisión, Honorables Senadores señores Harboe, Insulza, Kast y Pérez.

o o o

o o o

Indicación N° 83.-

De las Honorables Senadoras señoras Rincón y Aravena, para introducir una letra nueva, del siguiente tenor:

“…) Violencia contra la mujer: cualquier acción u omisión, sea que tenga lugar en el ámbito público o en el privado, basada en el género y ejercida en el marco de las relaciones de poder históricamente desiguales que emanan de los roles diferenciados asignados a hombres y mujeres, que resultan de una construcción social, cultural, histórica y económica, que cause o pueda causar muerte, menoscabo físico, sexual, psicológico, económico o de otra clase a las mujeres, incluyendo la amenaza de realizarlas.

Son tipos de violencia, en particular:

1. Violencia física: cualquier agresión dirigida contra el cuerpo de la mujer, que vulnere, perturbe o amenace su integridad física, su libertad personal o su derecho a la vida.

2. Violencia psicológica: cualquier acción u omisión que vulnere, perturbe o amenace la integridad psíquica o estabilidad emocional de una mujer, tales como tratos humillantes, vejatorios o degradantes, control o vigilancia de sus conductas, intimidación, coacción, exigencia de obediencia, aislamiento, explotación o limitación de su libertad de acción, opinión o pensamiento.

3. Violencia sexual: toda vulneración, perturbación o amenaza al derecho de las mujeres a la libertad e integridad, indemnidad y autonomía sexual y reproductiva o al derecho de las niñas a la indemnidad sexual.

4. Violencia económica: toda acción u omisión, intencionada y/o arbitraria, ejercida en el contexto de relaciones afectivas o familiares, que tenga como efecto directo la vulneración de la autonomía económica de la mujer, que se lleve a cabo con afán de ejercer un control sobre ella o generar dependencia y que se manifiesta en un menoscabo injusto de sus recursos económicos o patrimoniales o el de sus hijos, tales como el no pago de las obligaciones alimentarias, entre otros.

5. Violencia simbólica: mensajes, íconos, significados y representaciones que transmiten, reproducen y naturalizan relaciones de subordinación, desigualdad y discriminación de las mujeres en la sociedad.

6. Violencia institucional: toda acción u omisión realizada por personas en el ejercicio de una función pública y, en general, por cualquier agente estatal, que tenga como fin retardar, obstaculizar o impedir que las mujeres ejerzan los derechos previstos en esta ley, en la Constitución Política de la República y en los tratados internacionales de derechos humanos ratificados por Chile y que se encuentren vigentes.”.

- Esta indicación fue declarada inadmisible por el señor Presidente de la Comisión, con arreglo a lo dispuesto en el artículo 69, inciso primero, de la Carta Fundamental.

o o o

A continuación, para efectos de regular la autorización del ethical hacking, el señor Celedón propuso el siguiente texto:

“Para efectos de lo previsto en el artículo 2° se entenderá que cuenta con autorización para el acceso a un sistema informático, el que en el marco de investigaciones de vulnerabilidad o para mejorar la seguridad informática, acceda a un sistema informático mediando la autorización expresa del titular del mismo. La autorización antes señalada deberá realizarse específicamente con fines de seguridad informática.

El investigador que detecte una vulnerabilidad en seguridad informática, deberá notificar de ésta al titular del sistema informático, en un plazo máximo de 24 horas desde la detección, sin que pueda solicitar contraprestación de ningún tipo por ello.

El protocolo de notificación y revelación de la vulnerabilidad, así como otras especificaciones técnicas pertinentes, será definido por un reglamento dictado por el Ministerio del Interior y Seguridad Pública.”.

A continuación, el Presidente de la Comisión sometió a votación el nuevo artículo 16 sugerido por el Ejecutivo, del siguiente tenor:

“Para efectos de lo previsto en el artículo 2° se entenderá que cuenta con autorización para el acceso a un sistema informático, el que en el marco de investigaciones de vulnerabilidad o para mejorar la seguridad informática, acceda a un sistema informático mediando la autorización expresa del titular del mismo. La autorización antes señalada deberá realizarse específicamente con fines de seguridad informática.

El investigador que detecte una vulnerabilidad en seguridad informática, deberá notificar de ésta al titular del sistema informático, en un plazo máximo de 24 horas desde la detección, sin que pueda solicitar contraprestación de ningún tipo por ello.

El protocolo de notificación y revelación de la vulnerabilidad, así como otras especificaciones técnicas pertinentes, será definido por un reglamento dictado por el Ministerio del Interior y Seguridad Pública.”.

Al respecto, el Honorable Senador señor Elizalde manifestó sus dudas acerca de lo expuesto en el inciso segundo, por cuanto estamos frente a la hipótesis donde se ha autorizado a alguien para buscar una vulnerabilidad en un sistema. Al respecto, consultó por el motivo por el cual se restringe aquella autorización conforme a la ley, disponiendo 24 horas para hacer la notificación y no solicitar contraprestación.

El señor Celedón explicó que la norma pretende avanzar en que el titular de una empresa pueda autorizar el acceso al sistema con la finalidad de encontrar vulnerabilidades. De esta forma, de no fijarse un plazo consensualmente debería operar el legal. Ahora bien, sostuvo que, en el marco del principio de la autonomía de la voluntad, se estableciera un plazo distinto, debería primar aquél que establece la norma.

Sin perjuicio de lo señalado, hizo hincapié en que no existe inconveniente por parte del Ejecutivo en retirar el inciso segundo de la norma.

Al retomar el uso de la palabra, el Honorable Senador señor Elizalde observó que el inciso segundo de la norma propuesta no establece lo explicado por el Personero de Gobierno. Además, al regular una tipificación corresponde a una norma de orden público y, en consecuencia, no puede ser modificada por la voluntad de las partes.

En el mismo sentido, aseveró que es necesario simplificar esta norma, por lo cual planteó la posibilidad de aprobar solo el inciso primero. Asimismo, señaló que parte importante de esta autorización tiene por finalidad mejorar la ciberseguridad, por lo cual, desde el punto de vista de la finalidad, tiene sentido una norma de este tipo. Del mismo modo, esta norma complementa el artículo segundo aprobado recientemente.

El Honorable Senador señor Harboe coincidió con lo expuesto por el Honorable Senador señor Elizalde, en cuanto a que si existe una hipótesis donde se produce un acuerdo contractual entre dos particulares, uno de los cuales encarga al otro el análisis de su vulnerabilidad informática, el Estado no debiese regular el plazo ni la solicitud de contraprestación. Por el contrario, enfatizó que es importante incentivar el servicio de investigación informática.

Esta norma, adujo, se debe entender para casos en que existe autorización y ésta se define dentro del marco penal.

Por su parte, el señor Fernández precisó que la norma podría establecer expresamente que, ante la no regulación contractual, rigiera lo dispuesto por la norma.

El Profesor, señor Álvarez, opinó que la norma responde a dos espíritus en conjunto y se debe adoptar la decisión acerca de cual se seguirá. Agregó que no se necesita esta norma para autorizar el ethical hacking, sin embargo, si el sentido es incentivar esta actividad desde la política pública, los incisos segundo y tercero no tienen sentido. Por otra parte, ante una autorización más genérica, la norma debiera contener lo dispuesto desde el inicio del inciso primero hasta su punto seguido.

Enseguida, la Comisión acordó aprobar el inciso primero del artículo 16 sugerido hasta el punto seguido que sucede a la palabra “mismo”.

Seguidamente, el Honorable Senador señor Huenchumilla consultó acerca de si la norma en discusión es materia de derecho público o privado. Luego, agregó que las normas relativas a delitos están dentro del ámbito de derecho público.

El señor Farren destacó que la modificación del inciso primero, es un avance respecto de la normativa existente en otros países. En efecto, la norma se hace cargo de la autorización y mejora lo que existe en otras legislaciones.

A continuación, el Presidente de la Comisión sometió a votación el inciso primero del nuevo artículo 16 sugerido.

-Sometida a votación ad referéndum la idea contenida en el texto del inciso primero del nuevo artículo 16 propuesto por el Ejecutivo, fue aprobado con la modificación señalada, por la unanimidad de los miembros presentes, Honorables Senadores señores Harboe, Huenchumilla, Elizalde y Pugh.

Así las cosas, el inciso primero del nuevo artículo 16 propuesto fue aprobado en el siguiente tenor:

“Para efectos de lo previsto en el artículo 2° se entenderá que cuenta con autorización para el acceso a un sistema informático, el que en el marco de investigaciones de vulnerabilidad o para mejorar la seguridad informática, acceda a un sistema informático mediando la autorización expresa del titular del mismo.”.

o o o

La idea contenida en el inciso primero del nuevo artículo 16°, se materializó en la indicación 83 bis ingresada por el Ejecutivo, del siguiente tenor:

Indicación N° 83 bis.-

De Su Excelencia el Presidente de la República, para incorporar el siguiente artículo décimo sexto nuevo, pasando el actual a ser décimo octavo y así sucesivamente:

“Artículo 16.- Para efectos de lo previsto en el artículo 2° se entenderá que cuenta con autorización para el acceso a un sistema informático, el que en el marco de investigaciones de vulnerabilidad o para mejorar la seguridad informática, acceda a un sistema informático mediando la autorización expresa del titular del mismo.”.

- Sometida a votación, esta indicación fue aprobada por la unanimidad de los miembros de la Comisión, Honorables Senadores señores Harboe, Insulza, Kast y Pérez.

o o o

ARTÍCULO 16.-

Introduce, mediante tres numerales, diversas enmiendas en el Código Procesal Penal.

Número 1)

Agrega un artículo 218 bis, del siguiente tenor:

“Artículo 218 bis.- Preservación provisoria de datos informáticos. El Ministerio Público con ocasión de una investigación penal podrá requerir, a cualquiera de las empresas concesionarias de servicio público de telecomunicaciones que presten servicios a los proveedores de acceso a Internet y también a estos últimos, la conservación o protección de datos informáticos o informaciones concretas incluidas en un sistema informático, que se encuentren a su disposición hasta que se obtenga la respectiva autorización judicial para su entrega. Los datos se conservarán durante un período de 90 días, prorrogable una sola vez, hasta que se autorice la entrega o se cumplan 180 días. La empresa requerida estará obligada a prestar su colaboración y guardar secreto del desarrollo de esta diligencia.”.

Indicación N° 84.-

Del Honorable Senador señor Girardi, propone eliminarlo.

Con motivo de su estudio, el Jefe de Asesores señor Celedón manifestó la opinión contraria del Ejecutivo a la propuesta, fundado en la circunstancia de que, según arguyera, una parte sustantiva de este proyecto de ley corresponde a normas de carácter procesal penal.

El Honorable Senador señor Harboe previno que la norma aprobada en general por el Senado entrega al Ministerio Público una facultad sin control judicial. En este sentido, agregó, el órgano persecutor podría exigir a las empresas de telecomunicaciones datos relativos a la comunicación privada de personas sin necesidad de autorización judicial previa. Ello, sin perjuicio de que además los datos obtenidos se deberán conservar por un período de noventa días, prorrogables por una vez.

Sobre el particular, el señor Celedón aclaró que como la preservación provisoria está siempre sujeta a autorización judicial, mientras ella no exista no se libera la información.

El personero del Ministerio Público señor Fernández explicó que esta norma recoge el artículo 16 de la Convención de Budapest, que busca una conservación rápida de datos informáticos almacenados. Dado que el fiscal respectivo debe obtener autorización judicial para acceder a cualquier antecedente relacionado con ese dato conservado, la norma está destinada a evitar que se elimine la información en cuestión, lo que más tarde haría imposible conseguirla legalmente. Lo medular es que no existe posibilidad alguna de acceso por parte del Ministerio Público a la información, mientras no se cuente con la correspondiente autorización judicial.

- Sometida a votación, esta indicación fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Huenchumilla, Insulza y Kast.

Número 2)

Reemplaza el artículo 219, por el siguiente:

“Artículo 219.- Copias de comunicaciones o transmisiones. El juez de garantía podrá autorizar, a petición del fiscal, que cualquier empresa concesionaria de servicio público de telecomunicaciones que preste servicios a los proveedores de acceso a Internet y también estos últimos, facilite datos o informaciones acerca de las comunicaciones transmitidas o recibidas por ellas. Respecto de las comunicaciones a que hace referencia el artículo 222 de este Código, se regirán por lo señalado en dicha disposición. Del mismo modo, podrá ordenar la entrega de las versiones que existieren de las transmisiones de radio, televisión u otros medios.

La entrega de los antecedentes previstos en el inciso anterior deberá realizarse en el plazo que disponga la resolución judicial. Si el requerido estimare que no pudiere cumplir con el plazo, en atención al volumen y la naturaleza de la información solicitada, deberá comunicar de dicha circunstancia fundadamente al tribunal, dentro del término señalado en la resolución judicial respectiva.

Para dar cumplimiento a lo previsto en los incisos precedentes, las empresas señaladas en el inciso primero deberán disponer de una persona que tendrá a su cargo, no necesariamente de forma exclusiva, dar respuesta a los requerimientos del Ministerio Público. Asimismo, las empresas deberán tomar las medidas pertinentes para que dicho encargado cuente con las atribuciones y las competencias que le permitan entregar de manera expedita la información que sea requerida.

La negativa o retardo injustificado de entrega de la información señalada en este artículo facultará al Ministerio Público para requerir al juez de garantía, autorización para el ingreso al domicilio, sin restricción de horario, de la empresa en que se encuentren los sistemas informáticos que contengan la información requerida y copiarla. El juez autorizará esta medida en caso que se cumplan los supuestos previstos en este artículo, debiendo comunicar dicha autorización por la vía más expedita posible, sin perjuicio de remitir con posterioridad la resolución respectiva.

Si, a pesar de las medidas señaladas en este artículo, la información no fuere entregada, podrá ser requerida al representante legal y al gerente general de la empresa de que se trate, bajo apercibimiento de arresto.”.

Artículo 219 propuesto

Indicación N° 85.-

De los Honorables Senadores señores Araya, Harboe e Insulza, para reemplazarlo por el siguiente:

“Artículo 219.- Copias de comunicaciones privadas o transmisiones públicas. El juez de garantía podrá autorizar, a petición del fiscal, que cualquier empresa concesionaria de servicio público de telecomunicaciones que preste servicios a los proveedores de acceso a Internet y también estos últimos, facilite datos o informaciones acerca de las comunicaciones transmitidas o recibidas por ellas. Del mismo modo, podrá ordenar la entrega de las versiones que existieren de las transmisiones de radio, televisión u otros medios.

La entrega de los antecedentes previstos en el inciso anterior deberá realizarse en el plazo que disponga la resolución judicial. Si el requerido estimare que no pudiere cumplir con el plazo, en atención al volumen y la naturaleza de la información solicitada, deberá comunicar de dicha circunstancia fundadamente al tribunal, dentro del término señalado en la resolución judicial respectiva.

Para el cumplimiento de lo dispuesto en este artículo las empresas y proveedores mencionados en el inciso primero deberán mantener, con carácter reservado y adoptando las medidas de seguridad correspondientes, a disposición del Ministerio Público, por un plazo de un año, un listado y registro actualizado de sus rangos autorizados de direcciones IP y de los números IP de las conexiones que realicen sus clientes o usuarios. La infracción a lo dispuesto en este inciso será castigada según las sanciones y el procedimiento previsto en los artículos 36 y 36 A de la ley Nº 18.168, General de Telecomunicaciones.

Asimismo, los encargados de realizar la diligencia y los empleados de las empresas mencionadas en este artículo deberán guardar secreto acerca de la misma, salvo que se les citare como testigos al procedimiento. La infracción del deber de secreto de las personas antes señaladas, será sancionado con la pena de reclusión menor en sus grados mínimo a medio y multa de seis a diez unidades tributarias mensuales.

Para dar cumplimiento a lo previsto en los incisos precedentes, las empresas señaladas en el inciso primero deberán disponer de una persona que tendrá a su cargo, no necesariamente de forma exclusiva, dar respuesta a los requerimientos del Ministerio Público. Asimismo, las empresas deberán tomar las medidas pertinentes para que dicho encargado cuente con las atribuciones y las competencias que le permitan entregar de manera expedita la información que sea requerida.

La negativa o retardo injustificado de entrega de la información señalada en este artículo, así como aquellos casos en que existan antecedentes o circunstancias que hagan presumir que la información pudiera desaparecer, facultará al Ministerio Público para requerir al juez de garantía, autorización para el ingreso al domicilio, sin restricción de horario, de la empresa en que se encuentren los sistemas informáticos que contengan la información requerida y copiarla. El juez autorizará esta medida en caso que se cumplan los supuestos previstos en este artículo, debiendo comunicar dicha autorización por la vía más expedita posible, sin perjuicio de remitir con posterioridad la resolución respectiva.

Si, a pesar de las medidas señaladas en este artículo, la información no fuere entregada, podrá ser requerida al representante legal y al gerente general de la empresa de que se trate, bajo apercibimiento de arresto.”.

Respecto de esta modificación, el asesor del Ministerio del Interior y Seguridad Pública, señor Motles, sostuvo que la Indicación N° 86 del Ejecutivo, que propone reemplazar el artículo 219 del Código Procesal Penal, no sólo recoge las ideas que plantea la Indicación en discusión, sino que además le introduce adecuaciones de técnica legislativa para facilitar su interpretación. El propósito del Ejecutivo es apuntar a una mayor sistematicidad normativa en la materia.

Adicionalmente, el Ejecutivo considera que el empleo de la alusión que se contiene en su propuesta a las “empresas de comunicaciones” tendría un alcance más amplio, lo que le daría cobertura a un mayor número de hipótesis. Se trata de que la norma no se restrinja sólo a la concesionaria que presta servicios de internet, pudiendo extenderse a otra clase de prestadores de servicio.

Ante la inquietud del Honorable Senador señor Harboe acerca de la primacía actual del concepto de plataforma por sobre el de empresa de comunicaciones y de si tal definición engloba también a las empresas de telecomunicaciones, el señor Motles señaló que al tenor del artículo 1 C del Convenio de Budapest debería utilizarse la expresión “proveedor de servicios”, y, por su parte, el personero del Ministerio Público señor Fernández explicó que el concepto en comentario aludiría tanto al ente que brinda la posibilidad de comunicarse cuanto al procesamiento para el servicio de comunicación.

El señor Peña acotó que si bien el término “proveedores de servicios” tiene un carácter más inclusivo, podría suscitar inconvenientes relativos a los tipos de información a los que se podría acceder en una investigación. Sin embargo, dijo, siendo cuatro las categorías de información que poseen relevancia en la materia, a saber, dirección IP, tráfico, datos de suscriptor y contenido, únicamente dos de esas clases de información son relevantes al inicio del procedimiento: dirección IP y datos de suscriptor. El Ministerio Público requiere estos datos al comienzo del procedimiento a los proveedores de servicios: por lo mismo, no podría haber confusión con otras clases de datos (tráfico y contenido), para las cuales se necesita autorización judicial porque podrían importar la vulneración de garantías constitucionales. El problema radica en que el texto aprobado en general por el Senado para el artículo 219 del Código Procesal Penal excluye esta distinción, que resulta especialmente significativa para la investigación y persecución penal de los delitos informáticos.

El señor Fernández complementó lo señalado, explicando que la misma razón sirve de fundamento para las transmisiones de radio, televisión y otros medios: tratándose de información eminentemente pública no se requeriría autorización judicial.

Con el ánimo de perfeccionar la normativa, se planteó una redacción alternativa para el artículo 219 del CPP, que dio lugar a un estudio pormenorizado del siguiente tenor:

Respecto del inciso primero del artículo 219 propuesto:

Al hacer uso de la palabra, el señor Celedón, recordó que tanto el informe de la Corte Suprema, el Ejecutivo y las propuestas de los autores de la indicación, coincidían en que se debían separar los tipos de datos. En efecto, el Máximo Tribunal criticó que en los artículos 219 y 222 del Código Procesal Penal se confundían diversos elementos y, en consecuencia, la regulación adolecía problemas de sistematicidad. Por lo tanto, era necesario separar la información privada que se encontraba en manos de las empresas de telecomunicaciones, la información pública en poder de las mismas entidades y de la prensa, y datos de contenido. Esto es recogido por la nueva propuesta que se trabajó en conjunto con el Ministerio Público.

Por otra parte, destacó que se agrega un acápite propuesto por el órgano persecutor, relativo a eximir de autorización judicial el requerimiento de la dirección IP y los datos de suscriptor.

El señor Peña explicó que la idea contenida en la propuesta es diferenciar que se entiende por datos relativos direcciones IP y datos de suscriptor, versus datos de tráfico y de contenido. Al efecto, precisó que se propone que este último grupo de datos (de tráfico y contenido), en cuanto afectan o restringen la garantía constitucional relativa a la privacidad de las comunicaciones entre las personas, requieren de autorización judicial, lo cual concuerda con los dispuesto en el artículo 9° del Código Procesal Penal. En tanto, los datos relativos direcciones IP y datos de suscriptor que, si bien corresponden a datos personales y eventualmente podrían restringir derechos fundamentales, se debe atender a lo establecido en la propia ley de datos personales (ley N° 19.628) y la finalidad para la cual serán utilizados.

En este mismo orden de ideas, indicó que la modalidad de los delitos informáticos es bastante particular, por lo cual probablemente se tendrá la ocurrencia de un delito cometido por medios informáticos, donde no se contará con ningún dato que no sea la cuenta de un usuario de alguna red social. Ese dato en particular no entrega ninguna certeza de la identidad de la persona detrás de esta cuenta. Por lo tanto, un dato como la dirección IP -el cual corresponde a un código numérico que señala desde donde habría salido esta comunicación- no reviste el carácter de personal. Este mecanismo facilitaría enormemente la investigación de estos delitos.

En cuanto a los datos de suscriptor, aclaró que en casos como filtraciones de datos de usuarios de tarjetas de crédito realizadas mediante una cuenta de twitter, se solicita a dicha red social la preservación de los datos de esa cuenta. Con posterioridad, se requiere que se envíen los datos respecto de quien sería el suscriptor de la correspondiente cuenta. Luego, añadió que normalmente, en estos casos, la cuenta fue creada con un correo inventado con datos falsos.

En consecuencia, solicitar este tipo de datos, tales como dirección IP y datos de suscriptor, puede llevar a lograr la identificación de la persona que eventualmente hubiese cometido el delito. Esta sería la fase inicial de la investigación penal, por cuanto sin esos datos no podría comenzarse la investigación, no existe otra diligencia investigativa que nos pueda llevar a buen puerto. Por lo tanto, en este estadio procesal y atendidas las circunstancias particulares de los delitos informáticos, se torna relevante tener acceso a información de esas características, por cuanto permitirá seguir con la investigación administrativa y con posterioridad, cuando se cuente con algún antecedente y se requiera alguna medida relativa a conocer datos de contenido o tráfico, se podrá hacer una presentación fundada ante el juez de garantía para autorizar alguna otra medida.

En relación con la dirección IP, el Honorable Senador señor Harboe manifestó su preocupación por la redacción del texto propuesto, por cuanto se refiere a una investigación penal en curso. Al respecto, agregó que el Ministerio Público puede encontrarse en una investigación desformalizada por siete u ocho años. De esta forma, pedir datos personales sin ningún límite temporal puede significar la afectación directa de la obligación de las Compañías de mantener durante un tiempo determinado tipo de información, o bien, del afectado respecto del cual no se ha realizado ninguna formalización. En consecuencia, deberíamos hablar, no de una investigación penal en curso, sino una formalizada, con el objeto de subir el estándar.

Respecto de los datos de suscriptores, llamó la atención acerca de la utilización del término “proveedor de servicios”, por cuanto puede ser extremadamente complejo. En efecto, no distingue entre proveedores de un servicio de plataforma y uno de servicio que crea contenido. Asimismo, en relación con la transmisión de radio, televisión u otros medios, precisó que la normativa que regula la radiodifusión en Chile y la televisión no contempla la obligación de almacenar la información. Además, al no distinguir en el tipo de radio, se puede estar imponiendo una obligación a radios comunitarias, las cuales no tienen capacidad de almacenamiento.

Seguidamente, el señor Fernández aclaró que se debe distinguir en el debate, por un parte, el registro de IP y, por otra, la obligación de las empresas de mantener a disposición del Ministerio Público esta información. La primera parte del artículo propuesto es similar a la norma contenida en el artículo 19 del Código Procesal Penal, que regula las posibilidades del órgano persecutor de requerir información necesaria para avanzar en la investigación, adaptada a aquella vinculada a comunicaciones. De esta forma, se habilita a que el Ministerio Público pueda solicitar esta información sin autorización judicial.

En el mismo orden de ideas, explicó que solicitar a un juez autorización para tener conocimiento de una dirección IP puede resultar ser algo poco efectivo, en términos de la precariedad de la información disponible al inicio de la investigación. Por lo tanto, lo que se regula es una facultad del Ministerio Público, distinguiendo las características de la información. Al iniciar una investigación, se solicita información asociada a la relación comercial del sujeto, desde la cual se pueden desprender otra información que, de requerirla, puede significar un estándar de afectación de garantías. De esta forma, incorporar un estándar superior al vigente, en materia de dirección de IP y datos de suscriptores, no se justifica desde un punto de vista de afectación de garantías fundamentales.

Una situación distinta, adujo, constituye la obligación de registro de IP por un período determinado, respecto de determinadas empresas. No se establece que las empresas deban mantener otro tipo de información.

El Honorable Senador señor Harboe comentó que, si se establece el derecho del Ministerio Público de requerir la entrega de versiones de las transmisiones de radio y televisión u otros medios públicos, debe crearse correlativamente la obligación, en este caso, la de entregar las versiones ya indicadas. Al respecto, consultó que sucede si la empresa no posee las versiones que le solicita el órgano persecutor.

Al momento de aclarar la inquietud del Honorable Senador señor Harboe, el señor Fernández hizo presente que el legislador en forma explícita regula obligaciones de conservación, por ejemplo, en materia bancaria. De esta manera, la norma explicita que para ese tipo de información el Ministerio Público no requiere autorización judicial para solicitarla. Luego, en relación con la investigación, observó que ésta no puede partir formalizada debido a que solicitar la dirección IP, bajo ese estándar, no permitiría alcanzar el objetivo de la correspondiente investigación.

Ante la consulta del Honorable Senador señor Insulza acerca del período de tiempo durante el cual las empresas se encuentran obligadas a mantener estos registros, el asesor Presidencial, señor Mario Farren, recordó que el objetivo final es identificar los datos con los cuales se pueda solicitar, al juez de garantía, la habilitación para continuar la investigación y acceder a datos de contenido y tráfico. Agregó que a futuro puede cambiar la tecnología y el código IP no será el elemento que permita realizar la identificación inicial. De esta forma, cuando una persona accede a una red social o a un medio se está exponiendo a un ambiente donde interactúa con otros individuos. En consecuencia, parece justo llegar al punto de determinar de qué persona se trata y solicitar que se autorice la entrega de información.

En relación a la obligación de mantener los registros, señaló que nadie está obligado a lo imposible, por lo cual, si en la tecnología no está contemplado que esa información deba guardarse, habría que discutir si es pertinente exigir que se mantengan estos registros por las empresas.

El señor Celedón compartió los argumentos del Ministerio Público, en cuanto a la inconveniencia de exigir un estándar de formalización para solicitar la dirección IP, debido a que no habría certeza respecto de la identidad de la persona sería objeto de la referida formalización. La idea es obtener la identidad del sujeto que está detrás del hecho delictivo, para posteriormente llegar a una formalización.

Enseguida, sostuvo que los datos de suscriptor siempre se van a tener por parte de la empresa, el problema lo constituye la dirección IP. En efecto, esta dirección se encuentra dentro de los datos que la ley exige que se mantengan por un período de un año. La solución que otorga el Ministerio Publico es que, en la medida que no se trate de empresas de telecomunicaciones, no existe una sanción y, por ende, una herramienta o mecanismo que haga exigible la obligación.

Al retomar el uso de la palabra, el señor Fernández informó que, la normativa vigente y la que se propone, van en la línea de conservar lo más evidente que se tiene actualmente como dato fundamental para este tipo de investigaciones, esto es, la dirección IP. No existen propuestas respecto a ampliar a otras mantenciones de registro, por cuanto obligaría a escuchar a diversas industrias y autoridades reguladoras. En consecuencia, la dirección IP es el ámbito central en materia de delitos informáticos e ilícitos cometidos por medios cibernéticos.

El señor Peña señaló que se debe distinguir entre empresa de comunicaciones y proveedor de servicios. Así, las sanciones establecidas en el artículo 219 del Código Procesal Penal están establecidas a la luz de la ley N° 18.168 General de Telecomunicaciones y se refieren a no tener a disposición del Ministerio Público los datos que el propio artículo señala. En materia de proveedores de servicios, para efectos delictuales, generalmente se piensa una entidad extranjera. Al respecto, explicó que -en primera instancia- se solicita a este proveedor de servicios la dirección IP y los datos de suscriptor, con el objeto de identificar a la persona detrás del hecho punible. Con estos antecedentes reunidos es posible solicitar, a un juez de garantía, el acceso a los datos de contenido de la persona identificada. En ese momento se alcanzaría el estándar para realizar la formalización correspondiente.

En la práctica, arguyó, no es posible obligar, al proveedor de servicios que se encuentra en el extranjero, a mantener una información determinada. Por lo tanto, la obligación no va a este proveedor, sino a la empresa de telecomunicaciones, por cuanto a estas entidades se puede exigir la existencia de un registro. Asimismo, a una radio comunitaria no es demasiado lo que se le puede reclamar, por cuanto no mantienen direcciones IP, sino eventualmente copia de las transmisiones.

Luego, recordó que la norma en estudio tiene carácter procesal penal, por lo cual su objetivo es acceder a la información. Sin embargo, si ésta no existe será una diligencia que no podrá realizarse, poniendo fin a la línea investigativa.

A continuación, hizo uso de la palabra el Investigador en Ciberseguridad de la Universidad Mayor, señor Pedro Huichalaf, quien observó la necesidad de contextualizar la materia que se está tratando de regular. En primer lugar, afirmó que se están solicitando medidas intrusivas relacionadas con el IP, individualización del titular e información. Actualmente, el Código Procesal Penal señala que las empresas de telecomunicaciones -denominadas concesionarios de servicios públicos en la ley general de telecomunicaciones- deben resguardar por dos años la dirección IP y para acceder a esta información, el Ministerio Público en la investigación de un delito común, debe requerir previamente la autorización del juez de garantía. En los concesionarios de servicios públicos se incluyen los proveedores de acceso a internet, la telefonía móvil y fija, excluyéndose radio y televisión, debido a que tienen otro tipo de concesiones.

De acuerdo a lo anterior, sostuvo que lo que intenta establecer la propuesta es que, en caso de delito informático, además de la obligación de almacenamiento, el Ministerio Público pueda requerir la dirección IP sin autorización judicial previa. En consecuencia, se rebaja el estándar de acceso.

Por otra parte, advirtió que el texto sugerido no se refiere a concesionarios de servicios públicos, sino a proveedores de servicios de internet o proveedores de servicios, generando una evidente indefinición debido a que el concepto legal -de acuerdo a ley general de telecomunicaciones- es concesionario de servicios públicos.

Al momento de aclarar la inquietud del Honorable Senador señor Harboe en torno a la forma en que se pueden incorporar radio y televisión, el señor Huichalaf recordó que el texto aprobado en general por el Honorable Senado individualiza correctamente a los concesionarios de servicio público y, por ende, no se incorpora a radio y televisión debido a que son servicios diferentes. Con la norma propuesta, a los concesionarios de radiodifusión (radio y televisión) se les obliga a mantener transmisiones sin indicar plazo, situación que no se establece en la ley general de telecomunicaciones.

En el mismo orden de ideas, concluyó que el texto propuesto utiliza un erróneo concepto legal, rebaja el estándar de acceso a información y hace referencia a proveedores de servicios, concepto no contemplado en la ley. Además, si se señala a proveedores de acceso a internet (concesionarios de servicio público), debe considerarse que proveedores como Twitter no tienen ninguna autorización ni concesión para actuar en Chile.

Enseguida, el señor Motles expresó que la propuesta en discusión viene a salvar la confusión señalada precedentemente. De esta forma, se debe distinguir lo sugerido para los artículos 219 y 222 del Código Procesal Penal. Actualmente, la obligación de las empresas de telecomunicaciones, de retener información por un plazo no inferior a un año, se encuentra en el artículo 222 del cuerpo legal reseñado, relativo a la interceptación telefónica. De esta forma, debe distinguirse que la obligación de retención no dice relación con la interceptación telefónica, sino con datos relativos al tráfico. Por lo tanto, esa norma se traslada al artículo 219 del Código Procesal Penal y, por ende, los datos relativos al tráfico requieren autorización judicial, por lo cual no se estaría rebajando el estándar. Agregó que, cuando se posea información general que permita individualizar a la persona detrás de un hecho que reviste carácter de delito, se requerirá la autorización judicial correspondiente.

Luego, acotó que la información que se desea solicitar, por medio de requerimiento de información, debe tener la nomenclatura de proveedor de servicios debido a que es más amplia que “empresa de telecomunicaciones”. Entonces, a efectos de requerir información que permita identificar a una persona, se utiliza el concepto “proveedor de servicios”, que deriva del Convenio de Budapest.

Una situación distinta, adujo, es el caso de la obligación de las empresas de retener información, donde se mantiene la nomenclatura actual de “servicios regulados por la ley general de telecomunicaciones”.

El Honorable Senador señor Harboe aclaró que existe una situación de escalonamiento gradual. Así, cuando el Ministerio Público solicite el registro de IP, que permitiría identificar a una persona, o bien, los datos de suscripción, lo puede hacer sin autorización judicial. Los datos relativos al tráfico son más amplios (fecha de conexión, tiempo de la misma, datos traspasados, etc.) y requieren autorización judicial. Asimismo, el órgano persecutor podrá solicitar las transmisiones de radio y televisión, si existieren, sin autorización judicial. Adicionalmente, se establece el secreto de los proveedores de servicios.

El señor Fernández explicó que el término “proveedores de servicio” es más amplio, por cuanto se refiere a toda la información relacionada con el mundo cibernético que se requiere para esta primera aproximación (incluye twitter, Instagram, etc.). Por lo tanto, no puede encontrase acotado a las concesiones entregadas por el Estado.

Ante la consulta del Honorable Senador señor Pérez acerca de la inclusión de radio y televisión en esta amplia concepción, el señor Fernández precisó que la norma señala la información pública que se puede solicitar, es decir, puede tratarse de una concesión de servicio público. La norma inicial permite que se pueda requerir esta información a cualquier proveedor de servicios.

Por su parte, el señor Celedón destacó que es evidente de que el Ministerio Público no podrá exigir un registro de radio o televisión, por cuanto no es una obligación que contemple un mecanismo de cumplimiento. Del mismo, modo aseveró que en la mayoría de los casos debiese tratarse de delitos de acción privada.

A continuación, el Presidente de la Comisión sometió a votación el inciso primero de la propuesta de texto del artículo 219 del Código Procesal Penal, correspondiente al artículo 16 del proyecto de ley, del siguiente tenor:

“Artículo 219.- Copias de comunicaciones, transmisiones y datos informáticos: El Ministerio Público podrá requerir, en el marco de una investigación penal en curso, a cualquier proveedor de servicios que ofrezca servicios en territorio chileno, que facilite los datos de suscriptor que posea sobre sus abonados, así como también la información referente a las direcciones IP utilizadas por estos. Del mismo modo, podrá solicitar la entrega de las versiones que existieren de las transmisiones de radio, televisión u otros medios públicos. Los proveedores de servicios deberán mantener el secreto de esta solicitud.”.

- Sometido a votación ad referéndum la idea contenida en el inciso primero del artículo 219 del Código Procesal Penal propuesto, fue aprobada por la unanimidad de los miembros presentes, Honorables Senadores señores Harboe, Insulza y Pérez.

En cuanto al inciso segundo del artículo 219 propuesto:

Seguidamente, el Presidente de la Comisión sometió a votación el inciso segundo de la propuesta de texto del artículo 219 del Código Procesal Penal, correspondiente al artículo 16 del proyecto de ley, del siguiente tenor:

“Por datos de suscriptor se entenderá toda información en forma de datos informáticos o en cualquier otro formato, que posea un proveedor de servicios y esté relacionada con los abonados a dichos servicios, excluidos los datos sobre tráfico y contendido, y que permita determinar su identidad, el período de servicio, dirección postal o geográfica y el número de teléfono del abonado, así como cualquier otro número de acceso, correo electrónico, información sobre facturación y medio de pago.”.

En relación con el inciso segundo del texto sugerido, el señor Motles indicó que viene a definir el concepto utilizado en el inciso primero, en cuanto al alcance de lo que se entiende por datos de suscriptor. En este sentido, se plantean los datos mínimos que permitirían identificar a la persona detrás del hecho que reviste carácter de delito.

- Sometido a votación ad referéndum la idea contenida en el inciso segundo del artículo 219 del Código Procesal Penal propuesto, fue aprobada por la unanimidad de los miembros presentes, Honorables Senadores señores Harboe, Insulza y Pérez.

Sobre los incisos tercero, cuarto y quinto del artículo 219 propuesto:

A continuación, el Presidente de la Comisión puso en votación los incisos tercero, cuarto y quinto de la propuesta de texto del artículo 219 del Código Procesal Penal, que rezan:

“Podrá también el Ministerio Público requerir a cualquier proveedor de servicios, previa autorización judicial, que entregue la información que tenga almacenada relativa al tráfico y el contenido de comunicaciones de sus abonados, referida al período de tiempo determinado establecido por la señalada resolución judicial.

Para efectos de este artículo se entenderá por datos relativos al tráfico, todos los datos relativos a comunicación realizada por medio de un sistema informático, generado por este último en tanto elemento de la cadena de comunicación, y que indiquen el origen, el destino, la ruta, la hora, la fecha, el tamaño y la duración de la comunicación o el tipo de servicio subyacente.

Las empresas de comunicaciones deberán mantener, con carácter reservado y adoptando las medidas de seguridad correspondientes, a disposición del Ministerio Público a efectos de una investigación penal, por un plazo de dos años, un listado y registro actualizado de sus rangos autorizados de direcciones IP y de los números IP de las conexiones que realicen sus clientes o usuarios, con sus correspondientes datos relativos al tráfico, así como los domicilios o residencias de sus clientes o usuarios. Transcurrido el plazo máximo de mantención de los datos señalados precedentemente, las empresas deberán destruir en forma segura dicha información.”.

En cuanto a los incisos en estudio, el señor Motles explicó que se refieren a la información cuya solicitud requiere autorización judicial previa y atañe a los datos relativos al tráfico (cantidad de información, el número de veces que se empleó esta dirección, etc.). De esta forma, esta información podría vulnerar garantías fundamentales, motivo por el cual requiere el estándar judicial. Del mismo modo, en este estadio de la investigación existirían antecedentes para fundar una solicitud al juez de garantía para acceder a esta información.

Ante la inquietud del Honorable Senador señor Harboe, acerca del actual nivel de privacidad que otorgan las comunicaciones de redes sociales, el señor Fernández explicó que no existe posibilidad de acceso a contenido de información de redes sociales y de mecanismo de comunicación (como, por ejemplo, whatsapp), debido a que se trata de empresas extranjeras que no entregan el referido contenido. No obstante, es posible obtenerlo de proveedores nacionales.

A nivel de los proveedores tradicionales internacionales, informó que es posible obtener contenido previa resolución judicial en materia de correos electrónicos o aplicaciones como Uber. En lo relativo a comunicaciones, indicó que actualmente la única forma de obtener esta información es mediante acceso al teléfono donde se encuentra el contenido, recuperando desde ahí la información.

Seguidamente, el Honorable Senador señor Harboe observó la amplitud de la norma, por cuanto el período de tiempo sobre el cual se aplica la medida lo determina la resolución judicial.

En este sentido, consultó si el plazo de dos años que se establece en la norma es nuevo y cuál es la regulación actual en esta materia.

Al momento de responder la inquietud planteada, el señor Motles afirmó que el actual artículo 222 del Código Procesal Penal contempla la obligación de mantener almacenada la información por un plazo no inferior a un año. La norma propuesta aumenta este plazo a dos años, pero limita su máximo y dispone que posteriormente esta información debe ser destruida. La regla vigente dispone un piso mínimo y no un máximo.

El señor Fernández señaló que la norma, al disponer que el juez establecerá el plazo, obedece a una medida de control para efectos de fijar un período de tiempo en que el Ministerio Público accederá al contenido y no dejar un plazo abierto para ello.

A su turno, el Profesor, señor Hevia manifestó sus reparos respecto de la obligación de retención, debido a que la recopilación de datos de origen o destino de tráfico corresponde a información extremadamente sensible, por cuanto puede caracterizar patrones de comportamiento. Por lo tanto, esta información debe ser protegida adecuadamente y, en consecuencia, la decisión de recopilar es bastante delicada.

En el mismo orden de ideas, hizo presente que se tratará de una gran cantidad de información acerca de los ciudadanos que, eventualmente, se va a filtrar. De esta forma, la actividad descrita de llevarse a cabo con absoluta responsabilidad. Asimismo, los plazos son elementos con los cuales se puede ir regulando esta materia. A mayor plazo, más costos de almacenamiento seguro, debido a que una base de datos con esta información puede generar un interés de acceso a todos los actores maliciosos.

Enseguida, llamó la atención acerca de si la obligación de retención -al incorporarse en el Código Procesal Penal- va a modificar la regulación de otros delitos. A su vez, hizo presente que la Corte de Justicia de la Unión Europea criticó la retención de este tipo de datos en forma masiva, debido a que no se distingue entre los distintos delitos.

La gran mayoría de los datos de tráfico, arguyó, probablemente van a terminar en proveedores extranjeros. Por lo tanto, se debe sopesar si es que la idea de retener estos datos será efectivamente útil. Del mismo modo, comentó que existen técnicas para ocultar la dirección IP y que los delincuentes saben cómo utilizar. Luego, advirtió que el tratamiento de este tipo de información debe asimilarse a la de residuos tóxicos, debido a que su almacenamiento requiere una serie de medidas de cuidado y su filtración puede llegar a producir un daño considerable.

Al volver a hacer uso de la palabra, el Honorable Senador señor Harboe acotó que cada vez que se impone una obligación de almacenamiento de datos, se establecen deberes de conservación y seguridad. En consecuencia, ampliar el período de almacenamiento significa para las empresas un tremendo costo de mantención, siempre que hagan las inversiones correspondientes para mantener la información a resguardo.

Por otra parte, señaló que la dirección IP y los datos de suscriptor podrían ser recolectados para investigaciones criminales de ilícitos que merecieran cualquier pena asociada. Sin embargo, los datos de contenido quedan reservados para investigaciones criminales por ilícitos que merezcan pena de crimen.

El señor Fernández coincidió en la importancia de resguardar adecuadamente la información retenida. Asimismo, indicó que la generación de penalidades por el uso indebido de esa información es una forma de resguardar su destino, al igual que una declaración explícita de su uso exclusivo o finalidad. Es decir, esta información se recopila solo para efectos de la investigación criminal y, por ende, es sancionable una utilización diversa.

Ante la inquietud del Honorable Senador señor Harboe acerca de los casos donde a través de la prensa se difunden conversaciones, el señor Fernández sostuvo que este tipo de situaciones deben abordarse mediante una norma relativa al secreto de la investigación. Sin embargo, la responsabilidad debe ir en dirección a lo público y respecto de todos los que tienen acceso a la carpeta de investigación. En efecto, el ejercicio de las garantías de los intervinientes, les otorga acceso a la información y, a su vez, de poder ofrecerla a la prensa.

En relación a este registro en particular, aseveró que cualquier filtración, acceso o uso para fines distintos debiese tener una sanción penal.

Enseguida, destacó la diferenciación que se realiza en el texto sugerido y que la interceptación en tiempo real solo proceda respecto de delitos con pena de crimen. En este mismo sentido, advirtió que tener que solicitar la dirección IP mediante autorización judicial nos llevaría a que muchos delitos no se pudieran investigar, entre otros, pornografía infantil, amenazas, etc. Es decir, una serie de ilícitos en que la forma de comisión tradicional se materializa por vía de mensaje. No obstante, para el acceso al contenido se requiere de autorización judicial. Por este motivo, el acceso tanto a dirección IP como a datos de suscriptor es una herramienta de investigación básica.

La limitante relativa a la pena de crimen, agregó, está en la misma línea de la intervención de comunicaciones (telefónica, de correo electrónico, etc.), como regla general. Sin perjuicio, de que el tráfico de llamadas tiene un carácter fundamental para cualquier delito, sino sería extremadamente difícil identificar a quienes realizan ilícitos.

Seguidamente, el señor Motles comentó que el texto propuesto supera una serie de deficiencias respecto del aprobado en general. En efecto, distingue de forma proporcional y escalonada a qué tipo de datos se va a acceder, por este motivo se hace una diferencia entre cuan cerca se está de la privacidad o intimidad del actor versus si el estándar es judicial o no. Asimismo, acotó que en el texto propuesto para el artículo 222 del Código Procesal Penal se contempla la interceptación en tiempo real para delitos con pena de crimen.

De acuerdo a lo anterior, el personero de Gobierno sostuvo que el texto sugerido logra distinguir, primero, la información que permite individualizar a una persona y, luego, ciertos patrones de conducta (metadatos), los cuales requieren autorización judicial. Por último, las comunicaciones en tiempo real se encuentran en un artículo aparte debido a que se trata de una técnica investigativa distinta.

Al retomar el uso de la palabra, el señor Huichalaf recordó que cuando se hizo referencia a la indefinición del vocablo relativo a las empresas, se señaló que se optó por la definición de empresas que prestan servicios, solo con el objeto de identificar a la persona. En tanto, en una segunda etapa estamos frente a la recuperación de información, pero nuevamente se cae en una imprecisión al hablar de servicios de comunicación, debido a que esta definición que no existe en la legislación para estos efectos. Luego, comentó que el artículo aprobado en general habla de proveedores de acceso a internet, por cuanto éstas son las empresas que obtienen el IP o pueden conservar los metadatos. Al definir servicios de comunicación en un sentido muy amplio, podría el Ministerio Público empezar a solicitar información (metadatos) a cualquier otra empresa, como aquellas de correos electrónicos o hosting.

El señor Motles indicó que el texto aprobado en general, al imponer la obligación de retención de datos, hace referencia a la forma en que se define. Luego, en el texto propuesto se optó por ampliar el concepto a uno genérico como empresa de comunicaciones, pero no existe inconveniente en mantener el término incluido en el texto aprobado en general.

De acuerdo a lo señalado, en el inciso quinto del texto propuesto la Comisión acordó sustituir el término “empresas de comunicaciones” por “empresas concesionarias de servicios públicos de telecomunicaciones y proveedores de internet”. De esta forma, el inciso quinto queda del siguiente tenor:

“Las empresas concesionarias de servicios públicos de telecomunicaciones y proveedores de internet deberán mantener, con carácter reservado y adoptando las medidas de seguridad correspondientes, a disposición del Ministerio Público a efectos de una investigación penal, por un plazo de dos años, un listado y registro actualizado de sus rangos autorizados de direcciones IP y de los números IP de las conexiones que realicen sus clientes o usuarios, con sus correspondientes datos relativos al tráfico, así como los domicilios o residencias de sus clientes o usuarios. Transcurrido el plazo máximo de mantención de los datos señalados precedentemente, las empresas deberán destruir en forma segura dicha información.”.

- Sometida a votación ad referéndum las ideas contenidas en los incisos tercero, cuarto y quinto del artículo 219 del Código Procesal Penal propuesto, fueron aprobadas con la enmienda señalada, por la unanimidad de los miembros presentes, Honorables Senadores señores Harboe, Insulza y Pérez.

En lo que atañe al inciso sexto del artículo 219 propuesto:

El Presidente de la Comisión sometió a votación el inciso sexto de la propuesta de texto del artículo 219 del Código Procesal Penal, correspondiente al artículo 16 del proyecto de ley, del siguiente tenor:

“Los funcionarios públicos y los empleados de las empresas mencionadas en este artículo que intervengan en este tipo de requerimientos deberán guardar secreto acerca de los mismos, salvo que se les citare a declarar.”.

En relación con el inciso señalado, el señor Motles explicó que esta disposición tiene por objeto establecer el deber de secreto, en tanto, en los incisos siguientes se contemplan las sanciones por la correspondiente infracción. De esta forma, la causa de esta obligación dice relación con la importancia de los datos que deben almacenarse.

El Honorable Senador señor Harboe sugirió precisar la norma agregando a todos los intervinientes en una investigación.

En función de lo anterior, la Comisión acordó agregar la frase “todos los intervinientes en una investigación”, luego del término “funcionarios públicos”. Así las cosas, el inciso sexto quedo bajo el siguiente tenor:

“Los funcionarios públicos, todos los intervinientes en una investigación y los empleados de las empresas mencionadas en este artículo que intervengan en este tipo de requerimientos, deberán guardar secreto acerca de los mismos, salvo que se les citare a declarar.”.

- Sometido a votación ad referéndum la idea contenida en el inciso sexto del artículo 219 del Código Procesal Penal propuesto, fue aprobada con la enmienda señalada, por la unanimidad de los miembros presentes, Honorables Senadores señores Harboe, Insulza y Pérez.

En lo que atañe al inciso séptimo del artículo 219 propuesto:

Enseguida, el Presidente de la Comisión sometió a votación el inciso séptimo de la propuesta de texto del artículo 219 del Código Procesal Penal, correspondiente al artículo 16 del proyecto de ley, del siguiente tenor:

“La entrega de los antecedentes deberá realizarse en el plazo que disponga el fiscal en el caso de aquellos señalados en el inciso primero de este artículo, o la resolución judicial, en el caso de los antecedentes a que se refiere el inciso tercero. Si el requerido estimare que no puede cumplir con el plazo, en atención al volumen y la naturaleza de la información solicitada, deberá comunicar de dicha circunstancia fundadamente al fiscal o al tribunal, según correspondiere, dentro del término señalado en el requerimiento o en la resolución judicial respectiva.”.

En relación con esta enmienda, el Honorable Senador señor Harboe afirmó que se hace cargo de todos los antecedentes anteriores requeridos por el fiscal. Sin embargo, se tiene conocimiento de que las radios y los canales de televisión comunitaria no cuentan con esta información. Por tal motivo, es necesario incorporar una frase que exprese que estas entidades pueden excusarse de cumplir esta obligación.

A su turno, el señor Fernández propuso agregar una frase que dé cuenta de la inexistencia de la información.

En función de señalado, la Comisión acordó agregar la frase “o porque la información no está en su poder”, luego del término “información solicitada”. De esta forma, el inciso en discusión quedó del siguiente tenor:

“La entrega de los antecedentes deberá realizarse en el plazo que disponga el fiscal en el caso de aquellos señalados en el inciso primero de este artículo, o la resolución judicial, en el caso de los antecedentes a que se refiere el inciso tercero. Si el requerido estimare que no puede cumplir con el plazo, en atención al volumen y la naturaleza de la información solicitada o porque la información no está en su poder, deberá comunicar de dicha circunstancia fundadamente al fiscal o al tribunal, según correspondiere, dentro del término señalado en el requerimiento o en la resolución judicial respectiva.”.

- Sometido a votación ad referéndum la idea contenida en el inciso séptimo del artículo 219 del Código Procesal Penal propuesto, fue aprobado con la enmienda señalada, por la unanimidad de los miembros presentes, Honorables Senadores señores Harboe, Insulza y Pérez.

Respecto del inciso octavo del artículo 219 propuesto:

A continuación, el Presidente de la Comisión sometió a votación el inciso octavo de la propuesta de texto del artículo 219 del Código Procesal Penal, correspondiente al artículo 16 del proyecto de ley, del siguiente tenor:

“La negativa o retardo injustificado de entrega de la información señalada en este artículo facultará al Ministerio Público para requerir al juez de garantía, autorización para el ingreso al domicilio, sin restricción de horario, de la empresa en que se encuentren los sistemas informáticos que contengan la información requerida y copiarla. El juez autorizará esta medida en caso que se cumplan los supuestos previstos en este artículo, debiendo comunicar dicha autorización por la vía más expedita posible, sin perjuicio de remitir con posterioridad la resolución respectiva.”.

Ante la consulta del Honorable Senador señor Pérez Varela acerca de la forma en que de opera la remisión posterior de la resolución respectiva, el señor Motles aclaró que lo contenido en la propuesta es norma vigente en materia procesal penal. En este caso particular, el Ministerio Público solicita autorización judicial por vía telefónica a un juez de garantía, el cual accede mientras se coordina la diligencia de entrada y registro, remitiéndose con posterioridad la resolución judicial.

Por su parte, el señor Peña hizo presente que la norma en discusión se basa en la misma lógica que se utiliza al momento de hacer una entrada y registro con autorización judicial, en atención a la inminencia de un eventual delito. En la especie, la norma contiene la hipótesis de que se requiere cierta información con premura y que esta autorización para el ingreso deba ser solicitada al juez vía telefónica. No obstante, el fiscal y el juez de garantía deberán dejar registro de su actuación, sin perjuicio de la remisión posterior de la resolución judicial, es decir, la escrituración de la misma. Luego, aclaró que la resolución judicial existe desde el momento en que se autoriza el ingreso para obtener la correspondiente información.

Luego, informó que esta hipótesis normativa está pensada para situaciones donde se requiere ingresar de manera rápida a un recinto cerrado, de acuerdo con lo establecido en el artículo 205 del Código Procesal Penal.

Al complementar lo señalado, el señor Fernández explicó que la dinámica consiste en que el fiscal va a requerir -en un horario fuera del funcionamiento del tribunal- una autorización del juez de garantía. De esta forma, el magistrado autoriza, el fiscal registra esa autorización y posteriormente el juez remite la resolución escriturada.

El Honorable Senador señor Harboe observó que la idea de este inciso es que, en casos calificados, cuando no se pueda solicitar la autorización por escrito, se pueda llevar a cabo la diligencia de la forma que dispone la norma. Sin embargo, llamó la atención respecto de que esta situación excepcional puede llegar a transformarse en la regla general. De esta forma, la garantía de cualquier ciudadano, en cuanto al ingreso a su propiedad o al registro de información privada, consiste precisamente en la autorización judicial previa a la diligencia.

El señor Celedón coincidió con lo manifestado con el Presidente de la Comisión. Del mismo modo, propuso que se establezca en la norma un caso de excepción con referencia a la existencia de grave peligro de la destrucción de los medios de prueba o del éxito de la investigación.

- - -

En una siguiente sesión, la Comisión continuó la discusión respecto del inciso octavo del artículo 219, sustitutivo, del CPP propuesto.

El Honorable Senador señor Harboe llamó la atención acerca de que se está analizando una medida intrusiva, la cual puede consistir en un allanamiento de domicilio, sin límite de horario, donde además se puede tener acceso a información privada sin autorización judicial por escrito.

Luego, añadió que el texto propuesto se circunscribe a empresas, excluyendo a Cajas de Compensación, Cooperativas o ONG´s. Por lo tanto, se debería considerar el concepto organización más que empresa. Asimismo, advirtió que -de acuerdo al texto sugerido- el juez se encuentra obligado a autorizar la medida cumpliéndose lo supuesto establecidos en el artículo.

Enseguida, el Presidente de la Comisión sugirió un texto para el inciso octavo del artículo 219 del Código Procesal Penal, del siguiente tenor:

“En caso de negativa o retardo injustificado de entrega de la información señalada en este artículo, el Ministerio Público podrá solicitar al juez de garantía su autorización previa para el ingreso al domicilio, sin restricción de horario, de la institución u organización en que se encuentren los sistemas informáticos que contengan la información requerida y copiarla en un formato seguro.”.

En relación con el texto propuesto, el señor Celedón comentó que el Ejecutivo tenía en mente proponer un texto de similar tenor. En efecto, se pretendía sugerir eliminar en el texto propuesto por el Ejecutivo y el Ministerio Público la frase “el juez autorizará esta medida en adelante”. Sin embargo, destacó que la redacción propuesta por el Presidente de la Comisión posee una mejor comprensión.

En tanto, el señor Fernández coincidió con la argumentación brindada por el Ejecutivo.

El Honorable Senador señor Pérez recordó que la objeción que hizo presente respecto de la norma en discusión, decía relación con la posibilidad remitir la resolución posteriormente como regla excepcional. En relación con el texto sugerido por el Presidente de la Comisión, consultó acerca de la necesidad de incorporar una regla excepcional para alguna hipótesis en que sea necesaria una actuación de urgencia.

El señor Fernández explicó que la norma puede colocarse en el supuesto de que exista alguna urgencia para requerir fuera de horario la autorización judicial. Lo importante, arguyó, es que ella establezca el mecanismo de autorización judicial previa para operar ante la negativa o retardo en la entrega de la información.

-Sometido a votación ad referéndum la idea contenida en el inciso octavo propuesto del artículo 219 del Código Procesal Penal, fue aprobado por la unanimidad de los miembros presentes, Honorables Senadores señores Harboe, Insulza y Pérez.

En cuanto al inciso noveno del artículo 219 propuesto:

A continuación, el Presidente de la Comisión sometió a votación el inciso noveno de la propuesta de texto del artículo 219 del Código Procesal Penal, correspondiente al artículo 16 del proyecto de ley, del siguiente tenor:

“Si, a pesar de las medidas señaladas en este artículo la información no fuere entregada, podrá ser requerida al representante legal y al gerente general de la empresa de que se trate, bajo apercibimiento de arresto.”.

El Honorable Senador señor Harboe advirtió que esta norma se circunscribe a las empresas, motivo por el cual propuso utilizar un término inclusivo que puede ser “el representante legal de la institución u organización de que se trate”.

La Comisión acogió la sugerencia de su Presidente, quedando el texto del siguiente tenor:

“Si, a pesar de las medidas señaladas en este artículo la información no fuere entregada, podrá ser requerida al representante legal de la institución u organización de que se trate, bajo apercibimiento de arresto.”.

-En tales términos y sometido a votación ad referéndum la idea contenida en el inciso noveno del artículo 219 del Código Procesal Penal propuesto, fue aprobado por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Insulza y Pérez.

Acerca del inciso décimo del artículo 219 propuesto:

Seguidamente, el Presidente de la Comisión sometió a votación el inciso décimo de la propuesta de texto del artículo 219 del Código Procesal Penal, del siguiente tenor:

“La infracción a la mantención del listado y registro actualizado, por un plazo de dos años, de los antecedentes señalados en el inciso quinto será castigada según las sanciones y el procedimiento previsto en los artículos 36 y 36 A de la ley N° 18.168, General de Telecomunicaciones. El incumplimiento de las obligaciones de mantener con carácter secreto y adoptar las medidas de seguridad correspondientes de los antecedentes señalados en el inciso quinto, será sancionado con la pena prevista en el artículo 36 B letra f) de la ley N° 18.168, General de Telecomunicaciones.”.

Ante la consulta del Honorable Senador señor Insulza relativa a las sanciones contenidas en los artículos señalados, el Honorable Senador señor Harboe aclaró que éstas van desde la amonestación hasta la suspensión de las transmisiones o la caducidad de la concesión.

En relación con la obligación de almacenar durante un plazo de dos años la información señalada, el Honorable Senador señor Harboe sostuvo que la opinión mayoritaria de los expertos se inclina en contra del almacenamiento de información durante periodos de tiempo prolongados, debido al riesgo de que la información sea hackeada, filtrada o afectada. En efecto, mientras más tiempo una empresa acumula información mayor es la inversión adicional que debe realizar y, a su vez, aumenta el riesgo de filtración de la misma.

El señor Fernández explicó que la propuesta busca reforzar adecuadamente la sanción penal por violación de secreto y la no adopción de medidas de seguridad que permitan cautelar esa información. Añadió que por esta vía se busca dar respuesta a las inquietudes planteadas en términos de reserva y de medidas de seguridad para evitar el acceso ilícito.

A su turno, el Profesor señor Hevia llamó la atención acerca del importante riesgo que representa almacenar esta información de tráfico, debido a que puede establecer perfiles de todos los ciudadanos. Luego, señaló que en su opinión las empresas en Chile no se encuentran capacitadas técnicamente para llevar a cabo esta labor. De hecho, pocas empresas en el mundo tienen esta capacidad. Por ejemplo, el servicio de inmigraciones de Estados Unidos sufrió la filtración de huellas digitales y fotos de personas que habían ingresado a dicho país. En consecuencia, el riesgo es bastante alto y el costo de mantención de esta información es elevado. Además, un plazo de dos años de almacenamiento es extremadamente apetitoso, tanto para fines comerciales como de inteligencia. Por lo tanto, esta decisión no es posible adoptarla sin sopesar esos riesgos.

Luego, comentó que es positivo que en la ley se contemplen penas altas para este tipo de infracciones. Sin embargo, una vez filtrada la información se puede generar un menoscabo sustancial a los afectados.

Al retomar el uso de la palabra, el señor Fernández manifestó entender la inquietud del Profesor Hevia. No obstante, recordó que en manos de empresas y del Estado se encuentra información muy sensible, incluso más que una dirección IP, sujeta a los mismos riesgos que se han señalado. Por ejemplo, información asociada a la salud de las personas (ISAPRES), la cual es altamente sensible.

Sin perjuicio de lo anterior, hizo presente que la norma es bastante acotada, en términos que solo se refiere al almacenamiento de la dirección IP. Además, en un contexto de protección de datos personales, se pueden adoptar las medidas respecto de información sensible que se encuentra en manos de empresas y el Estado.

El señor Hevia sostuvo que lo que se solicita almacenar a las empresas son datos de tráfico, no solamente la dirección IP. El dato de tráfico significa, desde una cierta dirección IP, con quién me comunico, que sitios visito, etc. Todo ello, constituye un volumen importante de información, mediante el cual se pueden construir perfiles acerca de los intereses que se tienen y con quienes se relaciona. De esta forma, de filtrase esta información de un modo inadecuado, ocasionaría un gran impacto social.

Por su parte, el señor Celedón hizo hincapié en que esta normativa va de la mano con una nueva ley de protección de datos. Luego, comentó que el Ejecutivo elaboró un informe en derecho comparado, que dice relación con el tipo de información y los plazos por los cuales se retiene. En este sentido, se comprometió a hacer llegar a los miembros de esta instancia parlamentaria el referido informe.

El Honorable Senador señor Harboe advirtió acerca de la complejidad de esta materia, debido a que en el afán de mejorar su regulación se puede generar una vulnerabilidad mayor. Asimismo, indicó que parte importante de esta discusión se ha dado en el proyecto de ley que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales (Boletín N° 11.144-07), estableciendo algunas excepciones a esta protección.

Luego, llamó la atención de que con esta regulación se puede establecer la instancia para que se filtren datos de tráfico, que pueden llegar a determinar comportamientos y conductas y, en función, de ello adoptar decisiones. No obstante, apuntó que nos encontramos frente a un presupuesto constituido por la existencia de una investigación penal. De esta forma, lo que debemos preguntarnos es cuánta privacidad estamos dispuestos a sacrificar en función de una investigación penal. Además, se hace necesario diseñar un sistema de persecución eficiente y seguro, sin afectar masivamente el derecho a la privacidad.

En cuanto a la magnitud del mercado de telecomunicaciones en la actualidad, afirmó que en nuestro país existen cerca de diecinueve millones de teléfonos móviles activos. Si se obliga a una Compañía a almacenar durante dos años datos de dirección IP y tráfico, se le pondría en un escenario bastante complejo. Luego, en el evento de que exista esta capacidad, debemos determinar si ese almacenamiento será seguro. Enseguida, sugirió solicitar información a la Subsecretaría de Telecomunicaciones sobre estadísticas en esta materia.

El Honorable Senador señor Insulza destacó la complejidad de reducir el plazo de almacenamiento establecido en la norma, por cuanto el tiempo que dura una investigación penal, por regla general, no es menor a dos años. En función de lo anterior, sugirió aprobar el texto propuesto sin modificaciones.

Por su parte, el Honorable Senador señor Pérez destacó la importancia del informe que entregará el Ejecutivo. Del mismo modo, advirtió el peligro de dictar una norma con poca aplicación, en relación con lo sostenido por el Profesor Hevia, esto es, la inexistencia de capacidad por parte de las empresas para cumplir con estas exigencias. Por lo tanto, llamó a ser precavidos a la hora de adoptar una decisión en esta materia.

El señor Celedón opinó que no es aconsejable dar la sensación de estar tomando una decisión de esta magnitud sin tener a la vista más antecedentes. Sin embargo, advirtió que no será posible conocer a priori cuál es la capacidad de la industria de satisfacer el cumplimiento de esta obligación. Luego, señaló que -desde su punto de vista- la capacidad existe, no obstante, manifestó dudas acerca de la seguridad del almacenamiento. Actualmente, existe la obligación de almacenamiento de al menos un año, pudiendo existir una retención superior a un año respecto de información relevante.

- Sometido a votación ad referéndum la idea contenida en el inciso décimo del artículo 219 del Código Procesal Penal propuesto, fue aprobado por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Insulza y Pérez.

En otro momento de la discusión, el Señor Álvarez, comentó que, al examinar el texto aprobado del artículo 219 del CPP propuesto, referido a la retención de metadatos, advirtió que el objetivo perseguido puede ser menor en relación al riesgo que se asume, al obligar a las empresas de telecomunicaciones a resguardar tal cantidad de información. En efecto, el mero acceso a metadatos representa un riesgo demasiado grande para la privacidad de las personas. En el caso particular de la norma en comento, se guardará información de 18 millones de personas para perseguir cuatro mil o cinco mil delitos al año en el país. Al respecto, invitó a los miembros de la Comisión a reflexionar acerca de la señalada desproporción de la norma.

En el mismo sentido, aseveró que el inciso tercero del artículo 219 del CPP propuesto en la frase “… y el contenido de comunicaciones” es inconstitucional. En efecto, uno de los pocos derechos que nuestro sistema constitucional ha logrado identificar claramente, es la inviolabilidad de las comunicaciones, contemplado en el numeral 5 del artículo 19 de la Carta Fundamental. Asimismo, precisó que el metadato tiene tres garantías distintas involucradas: derecho a la vida privada (primera parte del numeral 4 del artículo 19); derecho a la protección de datos personales (segunda parte del numeral 4 del artículo 19), y derecho a la inviolabilidad de las comunicaciones privadas (numeral 5 del artículo 19).

El Tribunal Constitucional, argumentó, ha dictado nueve sentencias en que ha delimitado el contenido normativo del numeral 5 del artículo 19 del Texto Constitucional. Así, al hablar de contenido de la comunicación, prescribe que debe ser específico, determinado y fijar un procedimiento, es decir, dispone un estándar bastante alto. Del mismo modo sostuvo que, al no distinguir Carta Fundamental entre comunicación privada tradicional (llamada telefónica) y aquella que se desarrolla de cualquier otra forma, para el Tribunal Constitucional el estándar es uno solo. Asimismo, hizo presente que la regla contenida en el artículo 222 del CPP cumple con el estándar exigido, no así la regla contenida en el artículo 219 del CPP propuesto.

Por otra parte, indicó que los países que han avanzado en bajar el estándar de protección de las comunicaciones privadas han sufridos escándalos políticos, tal como ocurrió con Argentina, Brasil y España.

El Profesor, señor Hevia, coincidió plenamente con lo expuesto por el señor Álvarez. Del mismo modo, reiteró su convicción de que, si esta información se va a retener, terminará siendo hackeada y filtrada, debido a que ella es demasiado útil e interesante en materia comercial, de inteligencia o política. Además, el costo de mantener esta información segura será altísimo, por lo tanto, para que sea útil requerirá un nivel de inversión importante de las empresas.

Ante la pregunta del Honorable Senador señor Insulza acerca del período de tiempo por el cual se retienen estos datos en la legislación comparada, el Académico, señor Álvarez, explicó que en el sistema norteamericano se retiene todo tipo de datos, por cuanto no existe una ley federal de datos personales ni ningún marco regulatorio de la privacidad, por lo tanto, el uso de esta información es libre. En tanto, la Unión Europea dictó un reglamento sobre retención de metadatos, sin embargo, el Tribunal de Justicia de la señalada Unión lo declaró inconstitucional por afectación grave de garantías fundamentales, bajo el argumento de la proporcionalidad entre las personas a las cuales se le retienen los datos y los delitos que se persiguen. Asimismo, los países que han avanzado en regímenes más amplios, han establecido la garantía de la orden judicial como un mecanismo de entrada a ese tipo de datos, pero no pueden resolver el problema político.

A nivel nacional, recordó, que se han producido abusos de las disposiciones estrictas del Código Procesal Penal o de la ley inteligencia, en casos de comuneros mapuches o en vendettas internas en Carabineros, donde se ha condenado al Estado al pago de indemnizaciones. En consecuencia, abogó por no modificar el estándar vigente en esta materia y, si existe necesidad de reforma, discutirla solamente en sede procesal y no vincularla con la discusión sustantiva.

El señor Fernández afirmó que existe una preocupación por la protección de los datos personales, no obstante, ésta debería dirigirse hacia cómo se regula y sanciona el mal uso de la información que retienen las compañías. Agregó que ninguno de los ejemplos señalados está asociado a obligaciones de registro impuestas por la ley para el marco investigativo. A su vez, precisó que las empresas igualmente guardan ese tipo de información y lo que se debe resguardar es que no se haga un mal uso de ésta.

En una siguiente sesión, el señor Celedón indicó que, después de analizar legislación comparada (España, Suiza y Portugal) en materia el plazo de retención de metadata, se llegó a la conclusión de reducir dicho plazo a un año. De esta forma, se estaría en la línea de los nuevos parámetros impuestos en materia de protección de datos personales.

En razón de lo expuesto, propuso a la Comisión rebajar el plazo de retención de metadata contenido en el artículo 219 del CPP propuesto.

Por su parte, el Profesor, señor Álvarez, señaló que el inciso tercero del artículo 219 del CPP propuesto, al establecer que el Ministerio Público podrá requerir -previa autorización judicial- que cualquier proveedor de servicios entregue la información almacenada relativa al tráfico y el contenido de las comunicaciones, es eventualmente inconstitucional, por cuanto al menor cinco sentencias del Tribunal Constitucional han declarado que, al limitar la garantía del numeral 5 del artículo 19 de la Carta Fundamental, se debe cumplir con el estándar de especificidad y de determinación, es decir, la exigencia es más alta. Asimismo, destacó que la doctrina se encuentra relativamente conteste con este enfoque.

En consecuencia, afirmó que la norma referida no satisface la especificidad, debido a que no señala la inviolabilidad de las comunicaciones privadas y no cumple con la determinación, por cuanto no identifica en que hipótesis procede. De esta forma, la limitación de la garantía fundamental procedería en cualquier tipo de delito. Sin embargo, el sistema de interceptación de comunicaciones se ha establecido siempre en penas de crimen, salvo en tipos específicos hurto y ciertas normas especiales de la ley de drogas.

El señor Celedón sostuvo que, a su parecer, la norma en discusión no presenta problemas de inconstitucionalidad. Luego, agregó que, si bien el derecho a la privacidad se encuentra protegido por la Constitución Política, el estándar es que los derechos fundamentales pueden ser restringidos y estar sujetos a limitaciones, siempre que estemos presente ante un test de razonabilidad, otro de proporcionalidad (necesidad e idoneidad de la medida) y la existencia de reserva legal. El hecho de que la medida esté sujeta a autorización judicial y a un período de tiempo contenido en la propia resolución judicial, superaría el estándar constitucional.

Por otra parte, indicó que los fallos del Tribunal Constitucional señalan que cuestiones tan relevantes como la persecución penal, ameritan una limitación del derecho a la privacidad.

El Profesor, señor Álvarez, explicó que el número 4 del artículo 19 del Texto Constitucional se ha interpretado de acuerdo a las reglas de proporcionalidad. En tanto, el numeral 5 del mismo artículo señala expresamente “los casos y las formas”. El Tribunal Constitucional ha interpretado de forma detallada cuales son los casos y las formas. Por este motivo, afirmó, se cuenta con un sistema de protección de la interceptación de comunicaciones privado. En efecto, el sistema de protección constitucional de inviolabilidad es de derecho estricto. De esta forma, precisó que cuando la Constitución de la República se refiere a casos y formas, debe identificar en qué hipótesis, de qué manera, por cuanto tiempo y el nivel de intensidad.

A su turno, el señor Peña reiteró los tipos de contenido que se pueden obtener al momento de solicitar evidencia informática. Por una parte, acotó, existen los datos que se encuentran almacenados por las empresas de servicios, por ejemplo, el tráfico de llamados telefónicos, de correos electrónicos, etc. Por otra parte, se encuentra la interceptación de comunicaciones, lo cual constituye algo totalmente distinto.

Enseguida, observó que el Profesor, señor Álvarez, confunde el estándar de interceptación de comunicaciones en tiempo real, el cual siempre ha sido con pena de crimen. En cambio, la norma en comento hace referencia a la información que se encuentra almacenada, la cual tiene un estándar distinto. Por este motivo, se establecen normas totalmente distintas. De esta forma, en el artículo 219 del CPP propuesto el estándar es menor, pero aun así, se requiere contar con autorización judicial.

Luego, el Personero del Ministerio Público señaló -a vía ejemplar- que el artículo 9° del CPP dispone que cuando el Ministerio Público solicita vulneración de garantías constitucionales requiere autorización judicial previa, incluso cuando aún no se ha formalizado la investigación del procedimiento, sin establecer penalidades de crimen. Por lo tanto, en el caso en particular se entiende que existe una vulneración de garantía constitucional, al acceder a información privada, pero en la investigación de un hecho que tiene características graves y, además, se requerirá previamente autorización judicial. En efecto, se somete al juez los fundamentos en virtud de los cuales se está solicitando autorización para conocer datos, que pueden se referidos a comunicación entre sujetos dedicados a la realización de delitos informáticos, pero que no son datos que se están interceptando, sino que son datos que se encuentran almacenados por empresas de comunicación.

En consecuencia, agrega, que los pronunciamientos del Tribunal Constitucional señalados se refieren a una situación diversa, relativas a la interceptación de comunicaciones personales en tiempo real, lo cual no es regulado por el artículo 219 del CPP propuesto.

El señor Fernández indicó que restringir la norma para de delitos que merezcan pena de crimen tendría un efecto negativo para la persecución penal, debido a que en la gran mayoría de las investigaciones criminales existe información que se recaba con autorización judicial. Al respecto, aclaró que no se trataría de una interceptación de comunicaciones, sino que es la obtención de metadatos relevantes para una investigación criminal. En este caso, añadió, no cabría distinguir porque puede ser cualquier tipo de figura que, por sus características de comisión, es necesario acceder a ese tipo de información, con autorización judicial previa. Del mismo modo, advirtió que, si se va a dejar ese tipo de diligencias investigativas exclusivamente para delitos con pena de crimen, se generará una situación muy compleja para la investigación criminal.

Al retomar el uso de la palabra, el señor Álvarez aseveró que al revisar la jurisprudencia constitucional se concluye que -al hablar de inviolabilidad de las comunicaciones- lo que se protege es el acto comunicativo en si mismo y la distinción que tradicionalmente se hacía en torno a las comunicaciones en tiempo real o las respaldadas, no tiene ningún sustento constitucional. Luego, recordó que cada vez que se ha innovado, en forma posterior a la dictación del Código Procesal Penal, el Tribunal Constitucional ha reparado en controles de constitucionalidad ex post, respecto de las normas aprobadas por el Congreso. Así, en el caso sobre pornografía infantil señaló la eficacia de la persecución penal no es óbice para la interceptación indiscriminada de datos. Asimismo, un voto de mayoría en 1984 estimó que la metadata es parte de la protección de la comunicación privada.

Por lo tanto, arguyó, en lo correspondiente al numeral 5 del artículo 19 de la Constitución Política, el estándar es casos y forma, es decir, se deben configurar las hipótesis, el tiempo de duración y en los casos en que procede.

Enseguida, el señor Álvarez sostuvo que para que la norma supere el test de constitucionalidad puede optarse por alguna de estas soluciones, a saber:

a)Eliminar la referencia al contenido de las comunicaciones, o

b)Especificar en qué hipótesis procede el acceso a contenido de comunicaciones.

El Honorable Senador señor Elizalde hizo presente que en la actualidad los contenidos de whatsapp y correos electrónicos han sido autorizados como medios de prueba para distintas hipótesis de delitos. Luego, consultó si, de acoger las modificaciones propuestas a la norma, los contenidos señalados dejarían de ser considerados prueba lícita. De ser positiva la respuesta, se estaría perjudicando una cantidad importante de investigaciones que se encuentran en curso.

Al volver a hacer uso de la palabra, el señor Celedón aclaró que la entidad del delito es un elemento que debe ponderar el juez para decidir si accede a la información. Por lo cual, de aprobar las modificaciones propuestas por el Profesor Álvarez estaríamos retrocediendo considerablemente en materia de persecución penal.

El señor Mottles recordó que esta discusión se realizó anteriormente en la Comisión, determinándose el contenido respecto del cual se iba acceder. Actualmente, el artículo 218 del CPP establece una hipótesis similar y se encuentra vigente, respecto a la autorización judicial que se requiere por parte del Ministerio Público para acceder a la correspondencia digital. De esta forma, con la modificación que se pretende realizar al artículo 219 del CPP se busca adecuar los contenidos acerca de los cuales se va a acceder. En relación a la autorización judicial, aclaró que se referiría a los datos de tráfico y contenido que tuviesen las empresas proveedoras de servicios o de telecomunicaciones. Sin embargo, no se trata de una solicitud amplia porque la norma dispone el período de tiempo y cumple con los estándares de vulneración de garantía fundamental.

A continuación, el señor Presidente sometió a votación la reducción del plazo en la retención de metadata de dos años a uno, en los incisos quinto y décimo del artículo 219 del Código Procesal Penal propuesto.

-Sometido a votación ad referéndum la modificación señalada, fue aprobada por la unanimidad de los miembros presentes, Honorables Senadores señores Harboe, Huenchumilla, Elizalde y Pugh.

Todas y cada una de las ideas acordadas y aprobadas por la Comisión acerca del artículo 219 propuesto del Código Procesal Penal, se materializan en la indicación 84 bis que se describe al finalizar la discusión de este artículo 16, que pasa a ser 18.

- En ese entendido y sometida a votación la indicación N° 85, fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Elizalde, Harboe, Huenchumilla y Pugh.

Indicación N° 86.-

De Su Excelencia el Presidente de la República, para sustituirlo por el que sigue:

“Artículo 219.- Copias de comunicaciones o transmisiones y datos relativos al tráfico.

El juez de garantía podrá autorizar, a petición del fiscal, que cualquier empresa de comunicaciones proporcione copias de los datos o informaciones acerca de las comunicaciones transmitidas o recibidas por ellas. Del mismo modo, podrá ordenar la entrega de las versiones que existieren de las transmisiones públicas de radio, televisión u otros medios.

Las empresas de comunicaciones deberán mantener, con carácter reservado y adoptando las medidas de seguridad correspondientes, a disposición del Ministerio Público a efectos de una investigación penal, por un plazo de dos años, un listado y registro actualizado de sus rangos autorizados de direcciones IP y de los números IP de las conexiones que realicen sus clientes o usuarios, con sus correspondientes datos relativos al tráfico, así como los domicilios o residencias de sus clientes o usuarios. Transcurrido el plazo máximo de mantención de los datos señalados precedentemente, las empresas deberán destruir en forma segura dicha información.

Para efectos de este artículo se entenderá por datos relativos al tráfico, todos los datos relativos a una comunicación realizada por medio de un sistema informático, generados por este último en tanto elemento de la cadena de comunicación, y que indiquen el origen, el destino, la ruta, la hora, la fecha, el tamaño y la duración de la comunicación o el tipo de servicio subyacente.

Las empresas de comunicaciones, deberán dar cumplimiento a esta medida, proporcionando a los funcionarios encargados de la diligencia las facilidades necesarias para que se lleve a cabo con la oportunidad con que se requiera. Los encargados de realizar la diligencia y los empleados de las empresas mencionadas en este artículo deberán guardar secreto acerca de la misma, salvo que se les citare a declarar.

La entrega de los antecedentes previstos en los incisos anteriores deberá realizarse en el plazo que disponga la resolución judicial. Si el requerido estimare que no pudiere cumplir con el plazo, en atención al volumen y la naturaleza de la información solicitada, deberá comunicar de dicha circunstancia fundadamente al tribunal, dentro del término señalado en la resolución judicial respectiva.

Para dar cumplimiento a lo previsto en los incisos precedentes, las empresas señaladas en el inciso primero deberán disponer de una persona que tendrá a su cargo, no necesariamente de forma exclusiva, dar respuesta a los requerimientos del Ministerio Público. Asimismo, las empresas deberán tomar las medidas pertinentes para que dicho encargado cuente con las atribuciones y las competencias que le permitan entregar de manera expedita la información que sea requerida.

La negativa o retardo injustificado de entrega de la información señalada en este artículo facultará al Ministerio Público para requerir al juez de garantía, autorización para el ingreso al domicilio, sin restricción de horario, de la empresa en que se encuentren los sistemas informáticos que contengan la información requerida y copiarla. El juez autorizará esta medida en caso que se cumplan los supuestos previstos en este artículo, debiendo comunicar dicha autorización por la vía más expedita posible, sin perjuicio de remitir con posterioridad la resolución respectiva.

Si, a pesar de las medidas señaladas en este artículo, la información no fuere entregada, podrá ser requerida al representante legal y al gerente general de la empresa de que se trate, bajo apercibimiento de arresto.

La infracción a la mantención del listado y registro actualizado, por un plazo de dos años, de los antecedentes señalados en el inciso segundo será castigada según las sanciones y el procedimiento previsto en los artículos 36 y 36 A de la ley N° 18.168, General de Telecomunicaciones. El incumplimiento de las obligaciones de mantener con carácter secreto y adoptar las medidas de seguridad correspondientes de los antecedentes señalados en el inciso segundo, será sancionando con la pena prevista en el artículo 36 B letra f) de la ley N° 18.168, General de Telecomunicaciones.”.

En concordancia con lo resuelto a propósito del artículo 219 del Código Procesal Penal, la Comisión fue partidaria de rechazar esta Indicación.

- Sometida a votación la indicación N° 86, fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Elizalde, Harboe, Huenchumilla y Pugh.

Inciso primero

Indicación N° 87.-

Del Honorable Senador señor Pugh, para reemplazarlo por el siguiente:

“Artículo 219.- Copias de comunicaciones privadas y transmisiones. El juez de garantía podrá autorizar, a petición del fiscal, que cualquier empresa concesionaria de servicio público de telecomunicaciones que preste servicios a los proveedores de acceso a Internet y también estos últimos, facilite datos o informaciones acerca de las comunicaciones privadas transmitidas o recibidas por ellas, cuando existieren fundadas sospechas, basadas en hechos determinados, de que una persona hubiere cometido o participado en la preparación o comisión, o que ella preparare actualmente la comisión o participación en un hecho punible que mereciera pena de crimen, y la investigación lo hiciere imprescindible.”.

En concordancia con lo resuelto a propósito del artículo 219 del Código Procesal Penal, la Comisión fue partidaria de rechazar esta Indicación.

- Sometida a votación la indicación N° 87, fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Elizalde, Harboe, Huenchumilla y Pugh.

o o o

Indicación N° 88.-

Del Honorable Senador señor Pugh, para agregar a continuación del inciso primero un inciso nuevo, del siguiente tenor:

“El juez de garantía podrá autorizar, a petición del fiscal, que cualquier empresa concesionaria de servicio público de telecomunicaciones entregue las versiones que existieren de las transmisiones emitidas de radio, televisión u otros medios.”.

En concordancia con lo resuelto a propósito del artículo 219 del Código Procesal Penal, la Comisión fue partidaria de rechazar esta Indicación.

- Sometida a votación la indicación N° 88, fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Elizalde, Harboe, Huenchumilla y Pugh.

o o o

Inciso cuarto

Indicación N° 89.-

Del Honorable Senador señor Pugh, propone suprimirlo.

En concordancia con lo resuelto a propósito del artículo 219 del Código Procesal Penal, la Comisión fue partidaria de rechazar esta Indicación.

- Sometida a votación la indicación N° 89, fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Elizalde, Harboe, Huenchumilla y Pugh.

Número 3)

Introduce las siguientes enmiendas en el artículo 222:

a) Reemplaza el epígrafe por el siguiente: “Intervención de las comunicaciones y conservación de los datos relativos al tráfico.”.

b) Sustituye el inciso quinto actual por los siguientes incisos quinto, sexto, séptimo y octavo, nuevos:

“Las empresas concesionarias de servicio público de telecomunicaciones que presten servicios a los proveedores de acceso a Internet y también estos últimos, deberán dar cumplimiento a esta medida, proporcionando a los funcionarios encargados de la diligencia las facilidades necesarias para que se lleve a cabo con la oportunidad con que se requiera.

Las empresas y proveedores mencionados en el inciso anterior deberán mantener, con carácter reservado y adoptando las medidas de seguridad correspondientes, a disposición del Ministerio Público a efectos de una investigación penal en curso, por un plazo no inferior a dos años, un listado y registro actualizado de sus rangos autorizados de direcciones IP y de los números IP de las conexiones que realicen sus clientes o usuarios, con sus correspondientes datos relativos al tráfico, así como los domicilios o residencias de sus clientes o usuarios. La infracción a lo dispuesto en este inciso será castigada según las sanciones y el procedimiento previsto en los artículos 36 y 36 A de la ley N° 18.168, General de Telecomunicaciones.

Para efectos de este artículo se entenderá por datos relativos al tráfico, todos los datos relativos a una comunicación realizada por medio de un sistema informático, generados por este último en tanto elemento de la cadena de comunicación, y que indiquen el origen, la localización del punto de acceso a la red, el destino, la ruta, la hora, la fecha, el tamaño y la duración de la comunicación o el tipo de servicio subyacente.

Asimismo, los encargados de realizar la diligencia y los empleados de las empresas mencionadas en este artículo deberán guardar secreto acerca de la misma, salvo que se les citare como testigos al procedimiento.”.

Indicación N° 90.-

De los Honorables Senadores señores Araya, Harboe e Insulza, propone sustituirlo por el que sigue:

“3) Reemplázase el artículo 222 por el siguiente:

“Artículo 222.- Intervención de las comunicaciones privadas. Cuando existieren fundadas sospechas, basadas en hechos determinados, de que una persona hubiere cometido o participado en la preparación o comisión, o que ella preparare actualmente la comisión o participación en un hecho punible que mereciere pena de crimen, y la investigación lo hiciere imprescindible, el juez de garantía, a petición del ministerio público, podrá ordenar la interceptación y grabación de sus comunicaciones telefónicas o de otras formas de telecomunicación.

La orden a que se refiere el inciso precedente sólo podrá afectar al imputado o a personas respecto de las cuales existieren sospechas fundadas, basadas en hechos determinados, de que ellas sirven de intermediarias de dichas comunicaciones y, asimismo, de aquellas que facilitaren sus medios de comunicación al imputado o sus intermediarios.

No se podrán interceptar las comunicaciones entre el imputado y su abogado, a menos que el juez de garantía lo ordenare, por estimar fundadamente, sobre la base de antecedentes de los que dejará constancia en la respectiva resolución, que el abogado pudiere tener responsabilidad penal en los hechos investigados.

La orden que dispusiere la interceptación y grabación deberá indicar circunstanciadamente el nombre y dirección del afectado por la medida y señalar la forma de la interceptación y la duración de la misma, que no podrá exceder de sesenta días. El juez podrá prorrogar este plazo por períodos de hasta igual duración, para lo cual deberá examinar cada vez la concurrencia de los requisitos previstos en los incisos precedentes.

Las empresas concesionarias de servicio público de telecomunicaciones que presten servicios a los proveedores de acceso a internet y también estos últimos, así como cualquier empresa que preste servicios de comunicación privada, deberán dar cumplimiento a esta medida, proporcionando a los funcionarios encargados de la diligencia las facilidades necesarias para que se lleve a cabo con la oportunidad con que se requiera. La negativa o entorpecimiento a la práctica de la medida de interceptación y grabación será constitutiva del delito de desacato.

Asimismo, los encargados de realizar la diligencia y los empleados de las empresas mencionadas en este inciso deberán guardar secreto acerca de la misma, salvo que se les citare como testigos al procedimiento. La infracción del deber de secreto de las personas antes señaladas, será sancionado con la pena de reclusión menor en sus grados mínimo a medio y multa de seis a diez unidades tributarias mensuales.

Si las sospechas tenidas en consideración para ordenar la medida se disiparen o hubiere transcurrido el plazo de duración fijado para la misma, ella deberá ser interrumpida inmediatamente.”.”.

En relación con las modificaciones que versan sobre el artículo 222 del Código Procesal Penal y que han sido propuestas mediante la iniciativa legal en análisis y vía indicaciones, el Honorable Senador señor Harboe hizo presente que el proyecto de ley que modifica el Código Procesal Penal con el objeto de permitir la utilización de técnicas especiales de investigación en la persecución de conductas que la ley califica como terroristas (Boletín N° 12.589-07) ya contempla enmiendas consistentes a los artículos 222 y 226, por lo que sugirió que la discusión correspondiente al artículo 222 no se dé en esta iniciativa legal.

Coincidiendo con lo expuesto por el señor Senador, el Jefe de Asesores señor Celedón señaló que igualmente habría que introducir algunos perfeccionamientos de menor entidad en el artículo 222. En tal sentido, dijo, lo importante de la propuesta referida a este artículo son dos materias, a saber:

i.El actual epígrafe del artículo 222 que alude a la interceptación de comunicaciones telefónicas. Al respecto, el personero de Gobierno sugirió eliminar el término “telefónicas”, dejándolo como interceptación de comunicaciones. Además, planteó sustituir al final del inciso primero la palabra “telecomunicaciones” por “comunicaciones”.

ii.En el inciso quinto del artículo 222, fue partidario de eliminar toda mención a la retención de la información por un plazo no menor a un año. Lo anterior, a objeto de ampliar el espectro de las interceptaciones a otro tipo de comunicaciones (texto y voz) y excluir lo referente a la retención.

Por su parte, el Honorable Senador señor Pérez indicó que el inciso tercero dispone que no se podrá interceptar las comunicaciones entre el imputado y su abogado. Al respecto, consultó como se logra ese objetivo.

Al momento de contestar esta inquietud, el señor Fernández explicó que la tecnología disponible para intervenir comunicaciones telefónicas no permite una discriminación automática.

El Honorable Senador señor Harboe acotó que, en la práctica, se intercepta la comunicación, pero cuando existe conciencia de que se trata de la comunicación entre el imputado y su abogado, esa información no puede ser utilizada y debe ser borrada.

Seguidamente, el Presidente de la Comisión, con arreglo a lo prescrito en el artículo 121 del Reglamento, sometió a votación la idea de sustituir en el inciso primero de la norma vigente la palabra “telecomunicación” por “comunicación”.

-Sometida a votación ad referéndum dicha idea fue aprobada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Insulza y Pérez.

A continuación, el Presidente de la Comisión sometió a votación la idea de reemplazar el epígrafe sustitutivo que se propone para el artículo 222, en el literal a) del numeral 3) del artículo 16 del proyecto de ley, que reza “Intervención de las comunicaciones y conservación de los datos relativos al tráfico”, por el siguiente: “Interceptación de comunicaciones”.

-Sometida a votación ad referéndum esta sustitución fue aprobada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Insulza y Pérez.

Posteriormente, también en aplicación del artículo 121 del Reglamento, el Presidente de la Comisión sometió a votación la eliminación, en el inciso quinto de la norma vigente, de la oración “Con este objetivo los proveedores de tales servicios deberán mantener, en carácter reservado, a disposición del Ministerio Público, un listado actualizado de sus rangos autorizados de direcciones IP y un registro, no inferior a un año, de los números IP de las conexiones que realicen sus abonados.”.

-Sometida a votación ad referéndum esta supresión, fue aprobada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Insulza y Pérez.

- En esos términos, y sometida a votación la indicación N° 90, fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Insulza y Pérez.

Indicación N° 91.-

De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente:

“3) Reemplázase el artículo 222 por el siguiente:

“Artículo 222.- Interceptación de comunicaciones telefónicas y copias de datos de contenido.

Cuando existieren fundadas sospechas, basadas en hechos determinados, de que una persona hubiere cometido o participado en la preparación o comisión, o que ella preparare actualmente la comisión o participación en un hecho punible que mereciere pena de crimen, y la investigación lo hiciere imprescindible, el juez de garantía, a petición del ministerio público, podrá ordenar la interceptación, grabación o copia de sus comunicaciones telefónicas o de los datos contenidos en otras formas de comunicación.

La orden a que se refiere el inciso precedente sólo podrá afectar al imputado o a personas respecto de las cuales existieren sospechas fundadas, basadas en hechos determinados, de que ellas sirven de intermediarias de dichas comunicaciones y, asimismo, de aquellas que facilitaren sus medios de comunicación al imputado o sus intermediarios.

No se podrán interceptar las comunicaciones entre el imputado y su abogado, a menos que el juez de garantía lo ordenare, por estimar fundadamente, sobre la base de antecedentes de los que dejará constancia en la respectiva resolución, que el abogado pudiere tener responsabilidad penal en los hechos investigados.

La orden que dispusiere la interceptación, grabación o copia deberá indicar circunstanciadamente el nombre y dirección del afectado por la medida, y señalar la forma de la interceptación y la duración de la misma, que no podrá exceder de sesenta días. El juez podrá prorrogar este plazo por períodos de hasta igual duración, para lo cual deberá examinar cada vez la concurrencia de los requisitos previstos en los incisos precedentes.

Las empresas telefónicas y de comunicaciones deberán disponer de una persona que tendrá a su cargo, no necesariamente de forma exclusiva, dar respuesta a las solicitudes del Ministerio Público, debiendo tomar las medidas pertinentes para que dicho encargado cuente con las atribuciones y las competencias que le permitan entregar de manera expedita la información que sea requerida y darán cumplimiento a esta medida, proporcionando a los funcionarios encargados de la diligencia las facilidades necesarias para que se lleve a cabo con la oportunidad con que se requiera. La negativa o entorpecimiento a la práctica de la medida de interceptación y grabación será constitutiva del delito de desacato. Asimismo, los encargados de realizar la diligencia y los empleados de las empresas mencionadas en este inciso deberán guardar secreto acerca de la misma. Su incumplimiento será sancionando con la pena prevista en el artículo 36 B letra f) de la ley N° 18.168, General de Telecomunicaciones, salvo que se les citare como testigos al procedimiento y deban declarar en el mismo.

Si las sospechas tenidas en consideración para ordenar la medida se disiparen o hubiere transcurrido el plazo de duración fijado para la misma, ella deberá ser interrumpida inmediatamente.”.”.

- Sometida a votación esta indicación, fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Insulza y Pérez.

Letra b)

Inciso quinto propuesto

Indicación N° 92.-

Del Honorable Senador señor Pugh, propone reemplazar la frase "concesionarias de servicio público de telecomunicaciones que presten servicios a los proveedores de acceso a Internet y también estos últimos," por la siguiente: "de telecomunicaciones que provean servicios de acceso a Internet".

- Sometida a votación esta indicación, fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Insulza y Pérez.

Inciso sexto propuesto

Indicación N° 93.-

Del Honorable Senador señor Pugh, para suprimir la expresión “y proveedores”.

- Sometida a votación esta indicación, fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Insulza y Pérez.

Indicación N° 94.-

Del Honorable Senador señor Pugh, para reemplazar la frase "a efectos de una investigación penal en curso, por un plazo no inferior a dos años," por la siguiente: ", por el plazo de un año,".

- Sometida a votación esta indicación, fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Insulza y Pérez.

Indicación N° 95.-

De las Honorables Senadoras señoras Rincón y Aravena, para sustituir la expresión “no inferior a dos años” por “de dos años”.

- Sometida a votación esta indicación, fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Insulza y Pérez.

Indicación N° 96.-

De las Honorables Senadoras señoras Rincón y Aravena, para sustituir el texto que señala “un listado y registro actualizado de sus rangos autorizados de direcciones IP y de los números IP de las conexiones que realicen sus clientes o usuarios, con sus correspondientes datos relativos al tráfico, así como los domicilios o residencias de sus clientes o usuarios” por el siguiente: “las direcciones IP de conexión, IP de salida y los datos que indiquen el origen y el destino de la comunicación de usuarios o grupos de usuarios específicos que le sean expresamente solicitados por el Ministerio Publico en investigaciones que merezcan penas de crimen, no estando autorizados a guardar más registros ni datos que los que expresamente indica esta norma”.

- Sometida a votación esta indicación, fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Insulza y Pérez.

Indicación N° 97.-

Del Honorable Senador señor Pugh, para eliminar la frase ", con sus correspondientes datos relativos al tráfico, así como los domicilios o residencias de sus clientes o usuarios".

- Sometida a votación esta indicación, fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Insulza y Pérez.

Indicación N° 98.-

De las Honorables Senadoras señoras Rincón y Aravena, para reemplazar la expresión “artículos 36 y” por “artículos 36, números 1, 2 y 3 y”.

- Sometida a votación esta indicación, fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Insulza y Pérez.

Indicación N° 99.-

De las Honorables Senadoras señoras Rincón y Aravena, para agregar la siguiente oración final: “Sin perjuicio de la pena de presidio menor en su grado medio a máximo que será aplicable a quienes ordenen, autoricen o efectúen el almacenamiento de datos personales de clientes o usuarios no autorizados por esta disposición o su almacenamiento por un plazo superior al previsto en ella.”.

- Sometida a votación esta indicación, fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Insulza y Pérez.

Inciso séptimo propuesto

Indicaciones N°s. 100 y 101.-

Del Honorable Senador señor Pugh, y de las Honorables Senadoras señoras Rincón y Aravena, respectivamente, proponen eliminarlo.

- Sometidas a votación estas indicaciones, fueron rechazadas por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Insulza y Pérez.

Finalmente, todas las ideas planteadas y acordadas por la Comisión acerca del artículo 16, que pasa a ser 18, se materializaron en la indicación 84 bis ingresada por el Ejecutivo, del siguiente tenor:

Indicación N° 84 bis.-

De Su Excelencia el Presidente de la República, para modificarlo de la siguiente manera:

a)Sustitúyase el numeral 1) por el siguiente:

“1) Agrégase el siguiente artículo 218 bis, nuevo:

“Artículo 218 bis.- Preservación provisoria de datos informáticos. El Ministerio Público con ocasión de una investigación penal podrá requerir, a cualquier proveedor de servicio, la conservación o protección de datos informáticos o informaciones concretas incluidas en un sistema informático, que se encuentren a su disposición hasta que se obtenga la respectiva autorización judicial para su entrega. Los datos se conservarán durante un período de 90 días, prorrogable una sola vez, hasta que se autorice la entrega o se cumplan 180 días. La empresa requerida estará obligada a prestar su colaboración y guardar secreto del desarrollo de esta diligencia.”.”.

b) Sustitúyase el numeral 2) por el siguiente:

“2) Sustitúyase el artículo 219 por el siguiente:

“Artículo 219.- Copias de comunicaciones, transmisiones y datos informáticos. El Ministerio Público podrá requerir, en el marco de una investigación penal en curso a cualquier proveedor de servicios que ofrezca servicios en territorio chileno, que facilite los datos de suscriptor que posea sobre sus abonados, así como también la información referente a las direcciones IP utilizadas por éstos. Del mismo modo, podrá solicitar la entrega de las versiones que existieren de las transmisiones de radio, televisión u otros medios públicos. Los proveedores de servicios deberán mantener el secreto de esta solicitud.

Por datos de suscriptor se entenderá, toda información, en forma de datos informáticos o en cualquier otro formato, que posea un proveedor de servicios, que esté relacionada con los abonados a dichos servicios, excluidos los datos sobre tráfico y contenido, y que permita determinar su identidad, el periodo del servicio, dirección postal o geográfica y el número de teléfono del abonado, así como cualquier otro número de acceso, correo electrónico, información sobre facturación y medio de pago.

Podrá también el Ministerio Público requerir a cualquier proveedor de servicios, previa autorización judicial, que entregue la información que tenga almacenada relativa al tráfico y el contenido de comunicaciones de sus abonados, referida al periodo de tiempo determinado establecido por la señalada resolución judicial.

Para efectos de este artículo se entenderá por datos relativos al tráfico, todos los datos relativos a una comunicación realizada por medio de un sistema informático, generados por este último en tanto elemento de la cadena de comunicación, y que indiquen el origen, el destino, la ruta, la hora, la fecha, el tamaño y la duración de la comunicación o el tipo de servicio subyacente.

Las empresas concesionarias de servicios públicos de telecomunicaciones y proveedores de internet deberán mantener, con carácter reservado y adoptando las medidas de seguridad correspondientes, a disposición del Ministerio Público a efectos de una investigación penal, por un plazo de un año, un listado y registro actualizado de sus rangos autorizados de direcciones IP y de los números IP de las conexiones que realicen sus clientes o usuarios, con sus correspondientes datos relativos al tráfico, así como los domicilios o residencias de sus clientes o usuarios. Transcurrido el plazo máximo de mantención de los datos señalados precedentemente, las empresas y proveedores deberán destruir en forma segura dicha información.

Los funcionarios públicos, los intervinientes en la investigación penal y los empleados de las empresas mencionadas en este artículo que intervengan en este tipo de requerimientos deberán guardar secreto acerca de los mismos, salvo que se les citare a declarar.

La entrega de los antecedentes deberá realizarse en el plazo que disponga el fiscal en el caso de aquellos señalados en el inciso primero de este artículo o la resolución judicial, en el caso de los antecedentes a que se refiere el inciso tercero. Si el requerido estimare que no pudiere cumplir con el plazo, en atención al volumen y la naturaleza de la información solicitada o la información no exista o no la posea, deberá comunicar de dicha circunstancia fundadamente al fiscal o al tribunal, según correspondiere, dentro del término señalado en el requerimiento o en la resolución judicial respectiva.

En caso de negativa o retardo injustificado de entrega de la información señalada en este artículo, el Ministerio Público podrá requerir al juez de garantía, su autorización previa, para el ingreso al domicilio, sin restricción de horario, de la institución u organización en que se encuentren los sistemas informáticos que contengan la información requerida y copiarla en formato seguro.

Si, a pesar de las medidas señaladas en este artículo, la información no fuere entregada, podrá ser requerida al representante legal de la institución u organización de que se trate, bajo apercibimiento de arresto.

La infracción a la mantención del listado y registro actualizado, por un plazo de un año, de los antecedentes señalados en el inciso quinto será castigada según las sanciones y el procedimiento previsto en los artículos 36 y 36 A de la ley N° 18.168, General de Telecomunicaciones. El incumplimiento de las obligaciones de mantener con carácter reservado y adoptar las medidas de seguridad correspondientes de los antecedentes señalados en el inciso quinto, será sancionando con la pena prevista en el artículo 36 B letra f) de la ley N° 18.168, General de Telecomunicaciones.”.”.

c)Sustitúyase el numeral 3), por el siguiente:

“3) Modifícase el artículo 222 de la siguiente manera:

a)Suprímase del epígrafe el término “Telefónicas”.

b)Reemplácese en el inciso primero la expresión “telecomunicación” por “comunicación”.

c)Suprímase en el inciso quinto la oración: “Con este objetivo los proveedores de tales servicios deberán mantener, en carácter reservado, a disposición del Ministerio Público, un listado actualizado de sus rangos autorizados de direcciones IP y un registro, no inferior a un año, de los números IP de las conexiones que realicen sus abonados”.”.

d) Agrégase un numeral 4) nuevo del siguiente tenor:

“4) Suprímase la expresión “telefónica” del inciso primero del artículo 223.”.

e)Agrégase un numeral 5) nuevo del siguiente tenor:

“5) Reemplázase en el artículo 225 la voz “telecomunicaciones” por “comunicaciones”.”.

- Sometida a votación, esta indicación fue aprobada por la unanimidad de los miembros de la Comisión, Honorables Senadores señores Harboe, Insulza, Kast y Pérez.

o o o

Indicación N° 102.-

De Su Excelencia el Presidente de la República, para consultar un artículo nuevo, del siguiente tenor:

“Artículo ...- Intercálase, en el literal a) del inciso primero del artículo 27 de la ley N° 19.913, que crea la Unidad de Análisis Financiero y modifica diversas disposiciones en materia de lavado y blanqueo de activos, entre las expresiones “orgánica constitucional del Banco Central de Chile;” y “en el párrafo tercero del número 4° del artículo 97 del Código Tributario”, la oración “en el Título I de la ley que sanciona los delitos informáticos;”.

En relación con esta enmienda, el señor Celedón aclaró que busca que los delitos informáticos sean delito base del ilícito de lavado de activos, toda vez que de la perpetración de delitos informáticos pueden surgir recursos que sean ocultados o utilizados mediante el lavado de activos.

El señor Fernández precisó que esta indicación incorpora una recomendación por la cual nuestro país será evaluado en los estándares internacionales sobre la lucha contra el lavado de activos y el financiamiento del terrorismo y la proliferación (recomendaciones del GAFI). En estas recomendaciones se incorpora la llamada ciberdelicuencia como un delito precedente o base del lavado de activo. La idea es que el enriquecimiento asociado a la comisión de estos delitos merezca una sanción en línea con el ilícito de lavado de activos.

- Sometida a votación esta indicación, fue aprobada con enmiendas formales por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Insulza y Pérez.

o o o

Indicación N° 103.-

De Su Excelencia el Presidente de la República, para incorporar el siguiente artículo, nuevo:

“Artículo ...- Agrégase en el inciso primero del artículo 36 B de la ley N° 18.168, General de Telecomunicaciones, el literal f) de la siguiente manera:

“f) Los que vulneren el deber de reserva o secreto previsto en los artículos 218 bis, 219 y 222 del Código Procesal Penal, mediante el acceso, almacenamiento o difusión de los antecedentes o la información señalada en dichas normas, serán sancionados con la pena de presidio menor en su grado máximo.”.”.

- Sometida a votación esta indicación, fue aprobada con enmiendas formales por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Insulza y Pérez.

o o o

ARTÍCULOS TRANSITORIOS

Artículo tercero transitorio

“Artículo tercero transitorio.- El artículo 16 de la presente ley comenzará a regir transcurridos 90 días desde su publicación.”.

A continuación, el Ejecutivo planteó la necesidad de modificar el artículo tercero transitorio, que actualmente establece un plazo de vacancia de 90 días para la entrada en vigencia del artículo 16, desde la publicación de la ley. En esta línea, se sugirió la norma del siguiente tenor:

"Artículo tercero transitorio: El artículo 18 de la presente ley comenzará a regir transcurridos seis meses desde la publicación en el Diario Oficial de un reglamento dictado por el Ministerio de Transportes y Telecomunicaciones, suscrito además por el Ministro del Interior y Seguridad Pública, que regulará el deber de mantención con carácter reservado de la información señalada en el numeral 2) de dicho artículo, así como la obligación de destrucción de la información y la adopción de medidas de seguridad dispuestos en el propio numeral 2).

El reglamento señalado en el inciso anterior deberá dictarse dentro del plazo de seis meses, contado desde la publicación de la presente ley en el Diario Oficial.”.

-Sometido a votación ad referéndum las ideas contenidas en el texto propuesto relativo al artículo tercero transitorio propuesto, fue aprobado por la unanimidad de los miembros presentes, Honorables Senadores señores Harboe, Insulza y Pugh.

Indicación N° 103 bis.-

De Su Excelencia el Presidente de la República, para sustituir el artículo tercero transitorio, por uno del siguiente tenor:

“Artículo tercero transitorio.- El artículo 18 de la presente ley comenzará a regir transcurridos seis meses desde la publicación en el Diario Oficial de un reglamento dictado por el Ministerio de Transportes y Telecomunicaciones, suscrito además por el Ministro del Interior y Seguridad Pública, que regulará el deber de mantención con carácter reservado de la información señalada en el numeral 2) de dicho artículo, así como la obligación de destrucción de la información y la adopción de medidas de seguridad dispuestos en el propio numeral 2).

El reglamento señalado en el inciso anterior deberá dictarse dentro del plazo de seis meses, contado desde la publicación de la presente ley en el Diario Oficial.”.

- Sometida a votación, esta indicación fue aprobada por la unanimidad de los miembros de la Comisión, Honorables Senadores señores Harboe, Insulza, Kast y Pérez.

o o o

Indicación N° 104.-

De las Honorables Senadoras señoras Rincón y Aravena, propone agregar un artículo transitorio, nuevo, del siguiente tenor:

“Artículo…- La obligación de mantención de datos por parte de las empresas de telecomunicaciones a que se refiere el artículo 222, inciso sexto, sólo entrará en vigencia hasta que se encuentre vigente una legislación especial sobre protección de datos personales que precise el objeto y ámbito de aplicación de la retención de datos; identifique sus finalidades; determine las categorías de datos sometidos a retención; delimite la obligación de retención y el ejercicio del acceso de datos por parte de la autoridad o el Ministerio Público; establezca deberes de protección y seguridad de los datos junto con mecanismos de control; regule el ejercicio de los derechos de los titulares de datos personales; indique los requisitos que regirán para el almacenamiento de los datos, y contemple recursos judiciales y responsabilidades civiles, penales y administrativas ante el incumplimiento de obligaciones por parte de los prestadores.”.

- Sometida a votación esta indicación, fue rechazada por la unanimidad de los miembros presentes de la Comisión, Honorables Senadores señores Harboe, Insulza y Pérez.

- - -

MODIFICACIONES

De conformidad con los acuerdos precedentemente consignados, la Comisión de Seguridad Pública tiene el honor de proponer la aprobación del proyecto de ley acordado en general por el Honorable Senado, enmendado como sigue:

PROYECTO DE LEY:

ARTÍCULO 1°.-

- Reemplazarlo, por el siguiente:

“Artículo 1°.- Ataque a la integridad de un sistema informático. El que deliberadamente obstaculice en forma grave o impida el normal funcionamiento, total o parcial, de un sistema informático, a través de la introducción, transmisión, daño, deterioro, alteración o supresión de los datos informáticos, será castigado con la pena de presidio menor en su grado medio a máximo.”.

(Indicaciones N°s. 3, 4, 5, 6, 7, 8. Aprobadas con enmiendas

por unanimidad 4x0)

ARTÍCULO 2°.-

- Sustituirlo, por el que sigue:

“Artículo 2°.- Acceso ilícito. El que sin autorización o excediendo la autorización que posea y superando barreras técnicas o medidas tecnológicas de seguridad, acceda a un sistema informático será castigado con la pena de presidio menor en su grado mínimo o multa de once a veinte unidades tributarias mensuales.

Si el acceso fuere realizado con el ánimo de apoderarse o usar la información contenida en el sistema informático, se aplicará la pena de presidio menor en su grado mínimo a medio. Igual pena se aplicará a quien divulgue la información a la cual se accedió de manera ilícita, si no fuese obtenida por éste.

En caso de ser una misma persona la que hubiere obtenido y divulgado la información, se aplicará la pena de presidio menor en sus grados medio a máximo.”.

(Indicación 11 bis. Aprobada por unanimidad 4x0.)

ARTÍCULO 3°.-

- Sustituirlo, por el siguiente:

“Artículo 3°.- Interceptación ilícita. El que indebidamente intercepte, interrumpa o interfiera, por medios técnicos, la transmisión no pública de información en un sistema informático o entre dos o más de aquellos, será castigado con la pena de presidio menor en su grado medio.

El que, sin contar con la debida autorización, capte, por medios técnicos, datos contenidos en sistemas informáticos a través de las emisiones electromagnéticas provenientes de éstos, será castigado con la pena de presidio menor en su grado medio a máximo.”.

(Indicaciones N°s. 27, 28, 29, 30, 31. Aprobadas con enmiendas

por unanimidad 4x0)

ARTÍCULO 4°.-

- Sustituirlo, por el siguiente:

“Artículo 4°.- Ataque a la integridad de los datos informáticos. El que indebidamente altere, dañe o suprima datos informáticos, será castigado con presidio menor en su grado medio, siempre que con ello se cause un daño grave al titular de estos mismos.”.

(Indicaciones N°s. 33, 34, 40 y 46. Aprobadas con enmiendas por unanimidad 4x0)

(Indicación N° 36. Aprobada con enmienda por unanimidad 3x0)

(Indicación N° 39. Aprobada por unanimidad 3x0)

(Indicaciones N°s. 35, 42, 43 y 44. Aprobadas por unanimidad 4x0)

ARTÍCULO 5°.-

- Reemplazarlo, por el que sigue:

“Artículo 5°.- Falsificación informática. El que indebidamente introduzca, altere, dañe o suprima datos informáticos con la intención de que sean tomados como auténticos o utilizados para generar documentos auténticos, será sancionado con la pena de presidio menor en sus grados medio a máximo.

Cuando la conducta descrita en el inciso anterior sea cometida por empleado público, abusando de su oficio, será castigado con la pena de presidio menor en su grado máximo a presidio mayor en su grado mínimo.”.

(Indicación N° 56 bis. Aprobada por unanimidad 4x0)

(Indicación N° 48. Aprobada con enmienda por unanimidad 4x0)

(Indicaciones N°s 51, 55 y 56. Aprobadas con enmiendas

por unanimidad 5x0)

o o o

- Intercalar, enseguida, el siguiente artículo 6°, nuevo:

“Artículo 6°.- Receptación de datos. El que conociendo su origen o no pudiendo menos que conocerlo, almacene, a cualquier título, datos informáticos provenientes de la realización de las conductas descritas en los artículos 2°, 3° y 5° sufrirá la pena asignada a los respectivos delitos, rebajada en un grado.”.

(Indicación 56 ter. Aprobada por unanimidad 4x0)

o o o

ARTÍCULO 6°.-

(Pasa a ser 7°.-)

- Sustituir el encabezamiento de su inciso primero, por el que sigue:

“Artículo 7°.- Fraude informático. El que, causando perjuicio a otro y con la finalidad de obtener un beneficio económico para sí o para un tercero, manipule un sistema informático, mediante la introducción, alteración, daño o supresión de datos informáticos o a través de cualquier interferencia en el funcionamiento de un sistema informático, será penado:”.

(Indicación N° 58. Aprobada con enmiendas por unanimidad 5x0)

(Indicación N° 59. Aprobada por unanimidad 5x0)

- Incorporar el siguiente inciso final, nuevo:

“Para los efectos de este artículo se considerará también autor al que, conociendo o no pudiendo menos que conocer la ilicitud de la conducta descrita en el inciso primero, facilita los medios con que se comete el delito.”.

(Indicación N° 60 bis. Aprobada por unanimidad 4x0)

ARTÍCULO 7°.-

(Pasa a ser 8º.-)

- Pasa a ser artículo 8°, sin otra enmienda.

ARTÍCULO 8°.-

(Pasa a ser 9°.-)

- Suprimir en el inciso primero la expresión “; siempre que, en todo caso, dichos delitos fueren a ejecutarse o se hubieren ejecutado por una agrupación u organización conformada por dos o más personas, o por una asociación ilícita”.

(Indicación N° 62 bis. Aprobada por unanimidad 4x0)

ARTÍCULO 9°.-

(Pasa a ser 10.-)

- Reemplazarlo, por el siguiente:

“Artículo 10°.- Circunstancias agravantes. Constituyen circunstancias agravantes de los delitos de que trata esta ley:

1) Cometer el delito abusando de una posición de confianza en la administración del sistema informático o custodio de los datos informáticos contenidos en él, en razón del ejercicio de un cargo o función.

2) Cometer el delito abusando de la vulnerabilidad, confianza o desconocimiento de niños, niñas, adolescentes o adultos mayores.

Asimismo, si como resultado de la comisión de las conductas contempladas en este Título, se afectase o interrumpiese la provisión o prestación de servicios de utilidad pública, tales como electricidad, gas, agua, transporte, telecomunicaciones o financieros, o el normal desenvolvimiento de los procesos electorales regulados en la ley Nº 18.700, orgánica constitucional sobre votaciones populares y escrutinios, la pena correspondiente se aumentará en un grado.”.

(Indicaciones N°s. 64, 64 bis, 65, 66, 69, 70, 71, 73 y 74. Aprobadas con enmiendas por unanimidad 4x0)

ARTÍCULO 10.-

- Pasa a ser artículo 11, sin otra modificación.

ARTÍCULO 11.-

(Pasa a ser 12.-)

- Sustituirlo, por el que sigue:

“Artículo 12.- Cuando la investigación de los delitos contemplados en esta ley lo hiciere imprescindible y existieren fundadas sospechas basadas en hechos determinados, de que una persona hubiere cometido o participado en la preparación o comisión de algunos de los delitos contemplados en esta ley, el Juez de Garantía, a petición del Ministerio Público, podrá ordenar la realización de las técnicas previstas y reguladas en los artículos 222 a 226 del Código Procesal Penal, conforme lo disponen dichas normas.

De igual forma, cumpliéndose los requisitos establecidos en el inciso anterior, el Juez de Garantía, a petición del Ministerio Público, podrá ordenar a funcionarios policiales actuar bajo identidad supuesta en comunicaciones mantenidas en canales cerrados de comunicación, con el fin de esclarecer los hechos tipificados como delitos en esta ley, establecer la identidad y participación de personas determinadas en la comisión de los mismos, impedirlos o comprobarlos. El referido agente encubierto en línea, podrá intercambiar o enviar por sí mismo archivos ilícitos por razón de su contenido, pudiendo obtener también imágenes y grabaciones de las referidas comunicaciones. No obstará a la consumación de los delitos que se pesquisen el hecho de que hayan participado en su investigación agentes encubiertos. La intervención de estos últimos no será considerada inducción o instigación al delito.

Los resultados de las técnicas especiales de investigación establecidas en este artículo no podrán ser utilizados como medios de prueba en el procedimiento cuando ellos hubieren sido obtenidos sin haberse cumplido los requisitos que autorizan su procedencia.”.

(Indicación N° 77 bis. Aprobada por unanimidad 4x0)

ARTÍCULO 12.-

(Pasa a ser 13.-)

- Sustituir su inciso segundo, por el que sigue:

“Cuando por cualquier circunstancia no sea posible decomisar estas especies, se podrá aplicar el comiso a una suma de dinero equivalente a su valor, respecto de los responsables del delito. Si por la naturaleza de la información contenida en las especies, estas no pueden ser enajenadas a terceros, se podrá ordenar la destrucción total o parcial de los instrumentos del delito y los efectos que de ellos provengan.”.

(Indicación N° 79 bis. Aprobada por unanimidad 4x0)

(Indicación N° 80. Aprobada por unanimidad 3x0)

ARTÍCULO 13.-

- Pasa a ser artículo 14, sin otra enmienda.

ARTÍCULO 14.-

(Pasa a ser 15.-)

o o o

- Incorporar la siguiente letra c), nueva:

“c)Proveedores de servicios: Toda entidad pública o privada que ofrezca a los usuarios de sus servicios la posibilidad de comunicar a través de un sistema informático y cualquier otra entidad que procese o almacene datos informáticos para dicho servicio de comunicación o para los usuarios del mismo.”.

(Indicación 82 bis. Aprobado por unanimidad 4x0)

o o o

o o o

- Intercalar, enseguida, el siguiente artículo 16, nuevo:

“Artículo 16.- Para efectos de lo previsto en el artículo 2° se entenderá que cuenta con autorización para el acceso a un sistema informático, el que en el marco de investigaciones de vulnerabilidad o para mejorar la seguridad informática, acceda a un sistema informático mediando la autorización expresa del titular del mismo.”.

(Indicación 83 bis. Aprobada por unanimidad 4x0)

o o o

ARTÍCULO 15.-

- Pasa a ser artículo 17, sin otra modificación.

ARTÍCULO 16.-

(Pasa a ser 18.-)

- Sustituirlo, por el que sigue:

“Artículo 18.- Modifícase el Código Procesal Penal en el siguiente sentido:

1) Agrégase el siguiente artículo 218 bis, nuevo:

“Artículo 218 bis.- Preservación provisoria de datos informáticos. El Ministerio Público con ocasión de una investigación penal podrá requerir, a cualquier proveedor de servicio, la conservación o protección de datos informáticos o informaciones concretas incluidas en un sistema informático, que se encuentren a su disposición hasta que se obtenga la respectiva autorización judicial para su entrega. Los datos se conservarán durante un período de 90 días, prorrogable una sola vez, hasta que se autorice la entrega o se cumplan 180 días. La empresa requerida estará obligada a prestar su colaboración y guardar secreto del desarrollo de esta diligencia.”.

2) Sustitúyase el artículo 219 por el siguiente:

“Artículo 219.- Copias de comunicaciones, transmisiones y datos informáticos. El Ministerio Público podrá requerir, en el marco de una investigación penal en curso a cualquier proveedor de servicios que ofrezca servicios en territorio chileno, que facilite los datos de suscriptor que posea sobre sus abonados, así como también la información referente a las direcciones IP utilizadas por éstos. Del mismo modo, podrá solicitar la entrega de las versiones que existieren de las transmisiones de radio, televisión u otros medios públicos. Los proveedores de servicios deberán mantener el secreto de esta solicitud.

Por datos de suscriptor se entenderá, toda información, en forma de datos informáticos o en cualquier otro formato, que posea un proveedor de servicios, que esté relacionada con los abonados a dichos servicios, excluidos los datos sobre tráfico y contenido, y que permita determinar su identidad, el periodo del servicio, dirección postal o geográfica y el número de teléfono del abonado, así como cualquier otro número de acceso, correo electrónico, información sobre facturación y medio de pago.

Podrá también el Ministerio Público requerir a cualquier proveedor de servicios, previa autorización judicial, que entregue la información que tenga almacenada relativa al tráfico y el contenido de comunicaciones de sus abonados, referida al periodo de tiempo determinado establecido por la señalada resolución judicial.

Para efectos de este artículo se entenderá por datos relativos al tráfico, todos los datos relativos a una comunicación realizada por medio de un sistema informático, generados por este último en tanto elemento de la cadena de comunicación, y que indiquen el origen, el destino, la ruta, la hora, la fecha, el tamaño y la duración de la comunicación o el tipo de servicio subyacente.

Las empresas concesionarias de servicios públicos de telecomunicaciones y proveedores de internet deberán mantener, con carácter reservado y adoptando las medidas de seguridad correspondientes, a disposición del Ministerio Público a efectos de una investigación penal, por un plazo de un año, un listado y registro actualizado de sus rangos autorizados de direcciones IP y de los números IP de las conexiones que realicen sus clientes o usuarios, con sus correspondientes datos relativos al tráfico, así como los domicilios o residencias de sus clientes o usuarios. Transcurrido el plazo máximo de mantención de los datos señalados precedentemente, las empresas y proveedores deberán destruir en forma segura dicha información.

Los funcionarios públicos, los intervinientes en la investigación penal y los empleados de las empresas mencionadas en este artículo que intervengan en este tipo de requerimientos deberán guardar secreto acerca de los mismos, salvo que se les citare a declarar.

La entrega de los antecedentes deberá realizarse en el plazo que disponga el fiscal en el caso de aquellos señalados en el inciso primero de este artículo o la resolución judicial, en el caso de los antecedentes a que se refiere el inciso tercero. Si el requerido estimare que no pudiere cumplir con el plazo, en atención al volumen y la naturaleza de la información solicitada o la información no exista o no la posea, deberá comunicar de dicha circunstancia fundadamente al fiscal o al tribunal, según correspondiere, dentro del término señalado en el requerimiento o en la resolución judicial respectiva.

En caso de negativa o retardo injustificado de entrega de la información señalada en este artículo, el Ministerio Público podrá requerir al juez de garantía, su autorización previa, para el ingreso al domicilio, sin restricción de horario, de la institución u organización en que se encuentren los sistemas informáticos que contengan la información requerida y copiarla en formato seguro.

Si, a pesar de las medidas señaladas en este artículo, la información no fuere entregada, podrá ser requerida al representante legal de la institución u organización de que se trate, bajo apercibimiento de arresto.

La infracción a la mantención del listado y registro actualizado, por un plazo de un año, de los antecedentes señalados en el inciso quinto será castigada según las sanciones y el procedimiento previsto en los artículos 36 y 36 A de la ley N° 18.168, General de Telecomunicaciones. El incumplimiento de las obligaciones de mantener con carácter reservado y adoptar las medidas de seguridad correspondientes de los antecedentes señalados en el inciso quinto, será sancionando con la pena prevista en el artículo 36 B letra f) de la ley N° 18.168, General de Telecomunicaciones.”.

3) Modifícase el artículo 222 de la siguiente manera:

a)Suprímase del epígrafe el término “Telefónicas”.

b)Reemplácese en el inciso primero la expresión “telecomunicación” por “comunicación”.

c)Suprímase en el inciso quinto la oración: “Con este objetivo los proveedores de tales servicios deberán mantener, en carácter reservado, a disposición del Ministerio Público, un listado actualizado de sus rangos autorizados de direcciones IP y un registro, no inferior a un año, de los números IP de las conexiones que realicen sus abonados”.”.

4) Suprímase la expresión “telefónica” del inciso primero del artículo 223.

5) Reemplázase en el artículo 225 la voz “telecomunicaciones” por “comunicaciones”.”.

(Indicación 84 bis. Aprobada por unanimidad 4x0)

o o o

- Intercalar el siguiente artículo 19, nuevo:

“Artículo 19.- Intercálase, en el literal a) del inciso primero del artículo 27 de la ley N° 19.913, que crea la Unidad de Análisis Financiero y modifica diversas disposiciones en materia de lavado y blanqueo de activos, entre las expresiones “orgánica constitucional del Banco Central de Chile;” y “en el párrafo tercero del número 4° del artículo 97 del Código Tributario”, la frase “en el Título I de la ley que sanciona los delitos informáticos;”.”.

(Indicación N° 102. Aprobada por unanimidad 3x0)

o o o

o o o

- A continuación, incorporar el siguiente artículo 20, nuevo:

“Artículo 20.- Agrégase, en el inciso primero del artículo 36 B de la ley N° 18.168, General de Telecomunicaciones, la siguiente letra f), nueva:

“f) Los que vulneren el deber de reserva o secreto previsto en los artículos 218 bis, 219 y 222 del Código Procesal Penal, mediante el acceso, almacenamiento o difusión de los antecedentes o la información señalados en dichas normas, serán sancionados con la pena de presidio menor en su grado máximo.”.”.

(Indicación N° 103. Aprobada por unanimidad 3x0)

o o o

ARTÍCULO 17.-

- Pasa a ser artículo 21, sin otra enmienda.

ARTÍCULOS TRANSITORIOS

ARTÍCULO TERCERO TRANSITORIO.-

- Reemplazarlo, por el que sigue:

“Artículo tercero transitorio.- El artículo 18 de la presente ley comenzará a regir transcurridos seis meses desde la publicación en el Diario Oficial de un reglamento dictado por el Ministerio de Transportes y Telecomunicaciones, suscrito además por el Ministro del Interior y Seguridad Pública, que regulará el deber de mantención con carácter reservado de la información señalada en el numeral 2) de dicho artículo, así como la obligación de destrucción de la información y la adopción de medidas de seguridad dispuestos en el propio numeral 2).

El reglamento señalado en el inciso anterior deberá dictarse dentro del plazo de seis meses, contado desde la publicación de la presente ley en el Diario Oficial.”.

(Indicación N° 103 bis. Aprobada por unanimidad 4x0)

- - -

TEXTO DEL PROYECTO

En virtud de las modificaciones reseñadas, el proyecto de ley quedaría como sigue:

PROYECTO DE LEY:

“TÍTULO I

DE LOS DELITOS INFORMÁTICOS Y SUS SANCIONES

Artículo 1°.- Ataque a la integridad de un sistema informático. El que deliberadamente obstaculice en forma grave o impida el normal funcionamiento, total o parcial, de un sistema informático, a través de la introducción, transmisión, daño, deterioro, alteración o supresión de los datos informáticos, será castigado con la pena de presidio menor en su grado medio a máximo.

Artículo 2°.- Acceso ilícito. El que sin autorización o excediendo la autorización que posea y superando barreras técnicas o medidas tecnológicas de seguridad, acceda a un sistema informático será castigado con la pena de presidio menor en su grado mínimo o multa de once a veinte unidades tributarias mensuales.

Si el acceso fuere realizado con el ánimo de apoderarse o usar la información contenida en el sistema informático, se aplicará la pena de presidio menor en su grado mínimo a medio. Igual pena se aplicará a quien divulgue la información a la cual se accedió de manera ilícita, si no fuese obtenida por éste.

En caso de ser una misma persona la que hubiere obtenido y divulgado la información, se aplicará la pena de presidio menor en sus grados medio a máximo.

Artículo 3°.- Interceptación ilícita. El que indebidamente intercepte, interrumpa o interfiera, por medios técnicos, la transmisión no pública de información en un sistema informático o entre dos o más de aquellos, será castigado con la pena de presidio menor en su grado medio.

El que, sin contar con la debida autorización, capte, por medios técnicos, datos contenidos en sistemas informáticos a través de las emisiones electromagnéticas provenientes de éstos, será castigado con la pena de presidio menor en su grado medio a máximo.

Artículo 4°.- Ataque a la integridad de los datos informáticos. El que indebidamente altere, dañe o suprima datos informáticos, será castigado con presidio menor en su grado medio, siempre que con ello se cause un daño grave al titular de estos mismos.

Artículo 5°.- Falsificación informática. El que indebidamente introduzca, altere, dañe o suprima datos informáticos con la intención de que sean tomados como auténticos o utilizados para generar documentos auténticos, será sancionado con la pena de presidio menor en sus grados medio a máximo.

Cuando la conducta descrita en el inciso anterior sea cometida por empleado público, abusando de su oficio, será castigado con la pena de presidio menor en su grado máximo a presidio mayor en su grado mínimo.

Artículo 6°.- Receptación de datos. El que conociendo su origen o no pudiendo menos que conocerlo, almacene, a cualquier título, datos informáticos provenientes de la realización de las conductas descritas en los artículos 2°, 3° y 5° sufrirá la pena asignada a los respectivos delitos, rebajada en un grado.

Artículo 7°.- Fraude informático. El que, causando perjuicio a otro y con la finalidad de obtener un beneficio económico para sí o para un tercero, manipule un sistema informático, mediante la introducción, alteración, daño o supresión de datos informáticos o a través de cualquier interferencia en el funcionamiento de un sistema informático, será penado:

1) Con presidio menor en sus grados medio a máximo y multa de once a quince unidades tributarias mensuales, si el valor del perjuicio excediera de cuarenta unidades tributarias mensuales.

2) Con presidio menor en su grado medio y multa de seis a diez unidades tributarias mensuales, si el valor del perjuicio excediere de cuatro unidades tributarias mensuales y no pasare de cuarenta unidades tributarias mensuales.

3) Con presidio menor en su grado mínimo y multa de cinco a diez unidades tributarias mensuales, si el valor del perjuicio no excediere de cuatro unidades tributarias mensuales.

Si el valor del perjuicio excediere de cuatrocientas unidades tributarias mensuales, se aplicará la pena de presidio menor en su grado máximo y multa de veintiuna a treinta unidades tributarias mensuales.

Para los efectos de este artículo se considerará también autor al que, conociendo o no pudiendo menos que conocer la ilicitud de la conducta descrita en el inciso primero, facilita los medios con que se comete el delito.

Artículo 8º.- Abuso de los dispositivos. El que para la perpetración de los delitos previstos en los artículos 1 a 4 de esta ley o de las conductas señaladas en el artículo 5° de la ley N° 20.009, entregare u obtuviere para su utilización, importare, difundiera o realizare otra forma de puesta a disposición uno o más dispositivos, programas computacionales, contraseñas, códigos de seguridad o de acceso u otros datos similares, creados o adaptados principalmente para la perpetración de dichos delitos, será sancionado con la pena de presidio menor en su grado mínimo y multa de cinco a diez unidades tributarias mensuales.

Artículo 9°.- Circunstancia atenuante especial. Será circunstancia atenuante especial de responsabilidad penal, y permitirá rebajar la pena hasta en un grado, la cooperación eficaz que conduzca al esclarecimiento de hechos investigados que sean constitutivos de alguno de los delitos previstos en esta ley o permita la identificación de sus responsables; o sirva para prevenir o impedir la perpetración o consumación de otros delitos de igual o mayor gravedad contemplados en esta ley.

Se entiende por cooperación eficaz el suministro de datos o informaciones precisas, verídicas y comprobables, que contribuyan necesariamente a los fines señalados en el inciso anterior.

El Ministerio Público deberá expresar, en la formalización de la investigación o en su escrito de acusación, si la cooperación prestada por el imputado ha sido eficaz a los fines señalados en el inciso primero.

La reducción de pena se determinará con posterioridad a la individualización de la sanción penal según las circunstancias atenuantes o agravantes comunes que concurran; o de su compensación, de acuerdo con las reglas generales.

Artículo 10°.- Circunstancias agravantes. Constituyen circunstancias agravantes de los delitos de que trata esta ley:

1) Cometer el delito abusando de una posición de confianza en la administración del sistema informático o custodio de los datos informáticos contenidos en él, en razón del ejercicio de un cargo o función.

2) Cometer el delito abusando de la vulnerabilidad, confianza o desconocimiento de niños, niñas, adolescentes o adultos mayores.

Asimismo, si como resultado de la comisión de las conductas contempladas en este Título, se afectase o interrumpiese la provisión o prestación de servicios de utilidad pública, tales como electricidad, gas, agua, transporte, telecomunicaciones o financieros, o el normal desenvolvimiento de los procesos electorales regulados en la ley Nº 18.700, orgánica constitucional sobre votaciones populares y escrutinios, la pena correspondiente se aumentará en un grado.

TÍTULO II

DEL PROCEDIMIENTO

Artículo 11.- Sin perjuicio de las reglas contenidas en el Código Procesal Penal, las investigaciones a que dieren lugar los delitos previstos en esta ley también podrán iniciarse por querella del Ministro del Interior y Seguridad Pública, de los delegados presidenciales regionales y de los delegados presidenciales provinciales, cuando las conductas señaladas en esta ley interrumpieren el normal funcionamiento de un servicio de utilidad pública.

Artículo 12.- Cuando la investigación de los delitos contemplados en esta ley lo hiciere imprescindible y existieren fundadas sospechas basadas en hechos determinados, de que una persona hubiere cometido o participado en la preparación o comisión de algunos de los delitos contemplados en esta ley, el Juez de Garantía, a petición del Ministerio Público, podrá ordenar la realización de las técnicas previstas y reguladas en los artículos 222 a 226 del Código Procesal Penal, conforme lo disponen dichas normas.

De igual forma, cumpliéndose los requisitos establecidos en el inciso anterior, el Juez de Garantía, a petición del Ministerio Público, podrá ordenar a funcionarios policiales actuar bajo identidad supuesta en comunicaciones mantenidas en canales cerrados de comunicación, con el fin de esclarecer los hechos tipificados como delitos en esta ley, establecer la identidad y participación de personas determinadas en la comisión de los mismos, impedirlos o comprobarlos. El referido agente encubierto en línea, podrá intercambiar o enviar por sí mismo archivos ilícitos por razón de su contenido, pudiendo obtener también imágenes y grabaciones de las referidas comunicaciones. No obstará a la consumación de los delitos que se pesquisen el hecho de que hayan participado en su investigación agentes encubiertos. La intervención de estos últimos no será considerada inducción o instigación al delito.

Los resultados de las técnicas especiales de investigación establecidas en este artículo no podrán ser utilizados como medios de prueba en el procedimiento cuando ellos hubieren sido obtenidos sin haberse cumplido los requisitos que autorizan su procedencia.

Artículo 13.- Sin perjuicio de las reglas generales, caerán especialmente en comiso los instrumentos de los delitos penados en esta ley, los efectos que de ellos provengan y las utilidades que hubieren originado, cualquiera que sea su naturaleza jurídica.

Cuando por cualquier circunstancia no sea posible decomisar estas especies, se podrá aplicar el comiso a una suma de dinero equivalente a su valor, respecto de los responsables del delito. Si por la naturaleza de la información contenida en las especies, estas no pueden ser enajenadas a terceros, se podrá ordenar la destrucción total o parcial de los instrumentos del delito y los efectos que de ellos provengan.

Artículo 14.- Sin perjuicio de las reglas generales, los antecedentes de investigación que se encuentren en formato electrónico y estén contenidos en documentos electrónicos o sistemas informáticos o que correspondan a datos informáticos, serán tratados en conformidad a los estándares definidos para su preservación o custodia en el procedimiento respectivo, de acuerdo a las instrucciones generales que al efecto dicte el Fiscal Nacional.

TÍTULO III

DISPOSICIONES FINALES

Artículo 15.- Para efectos de esta ley, se entenderá por:

a) Datos informáticos: Toda representación de hechos, información o conceptos expresados en cualquier forma que se preste a tratamiento informático, incluidos los programas diseñados para que un sistema informático ejecute una función.

b) Sistema informático: Todo dispositivo aislado o conjunto de dispositivos interconectados o relacionados entre sí, cuya función, o la de alguno de sus elementos, sea el tratamiento automatizado de datos en ejecución de un programa.

c)Proveedores de servicios: Toda entidad pública o privada que ofrezca a los usuarios de sus servicios la posibilidad de comunicar a través de un sistema informático y cualquier otra entidad que procese o almacene datos informáticos para dicho servicio de comunicación o para los usuarios del mismo.

Artículo 16.- Para efectos de lo previsto en el artículo 2° se entenderá que cuenta con autorización para el acceso a un sistema informático, el que en el marco de investigaciones de vulnerabilidad o para mejorar la seguridad informática, acceda a un sistema informático mediando la autorización expresa del titular del mismo.

Artículo 17.- Sin perjuicio de lo dispuesto en el artículo primero transitorio de esta ley, derógase la ley N° 19.223. Toda referencia legal o reglamentaria a dicho cuerpo legal debe entenderse hecha a esta ley.

Artículo 18.- Modifícase el Código Procesal Penal en el siguiente sentido:

1) Agrégase el siguiente artículo 218 bis, nuevo:

“Artículo 218 bis.- Preservación provisoria de datos informáticos. El Ministerio Público con ocasión de una investigación penal podrá requerir, a cualquier proveedor de servicio, la conservación o protección de datos informáticos o informaciones concretas incluidas en un sistema informático, que se encuentren a su disposición hasta que se obtenga la respectiva autorización judicial para su entrega. Los datos se conservarán durante un período de 90 días, prorrogable una sola vez, hasta que se autorice la entrega o se cumplan 180 días. La empresa requerida estará obligada a prestar su colaboración y guardar secreto del desarrollo de esta diligencia.”.

2) Sustitúyase el artículo 219 por el siguiente:

“Artículo 219.- Copias de comunicaciones, transmisiones y datos informáticos. El Ministerio Público podrá requerir, en el marco de una investigación penal en curso a cualquier proveedor de servicios que ofrezca servicios en territorio chileno, que facilite los datos de suscriptor que posea sobre sus abonados, así como también la información referente a las direcciones IP utilizadas por éstos. Del mismo modo, podrá solicitar la entrega de las versiones que existieren de las transmisiones de radio, televisión u otros medios públicos. Los proveedores de servicios deberán mantener el secreto de esta solicitud.

Por datos de suscriptor se entenderá, toda información, en forma de datos informáticos o en cualquier otro formato, que posea un proveedor de servicios, que esté relacionada con los abonados a dichos servicios, excluidos los datos sobre tráfico y contenido, y que permita determinar su identidad, el periodo del servicio, dirección postal o geográfica y el número de teléfono del abonado, así como cualquier otro número de acceso, correo electrónico, información sobre facturación y medio de pago.

Podrá también el Ministerio Público requerir a cualquier proveedor de servicios, previa autorización judicial, que entregue la información que tenga almacenada relativa al tráfico y el contenido de comunicaciones de sus abonados, referida al periodo de tiempo determinado establecido por la señalada resolución judicial.

Para efectos de este artículo se entenderá por datos relativos al tráfico, todos los datos relativos a una comunicación realizada por medio de un sistema informático, generados por este último en tanto elemento de la cadena de comunicación, y que indiquen el origen, el destino, la ruta, la hora, la fecha, el tamaño y la duración de la comunicación o el tipo de servicio subyacente.

Las empresas concesionarias de servicios públicos de telecomunicaciones y proveedores de internet deberán mantener, con carácter reservado y adoptando las medidas de seguridad correspondientes, a disposición del Ministerio Público a efectos de una investigación penal, por un plazo de un año, un listado y registro actualizado de sus rangos autorizados de direcciones IP y de los números IP de las conexiones que realicen sus clientes o usuarios, con sus correspondientes datos relativos al tráfico, así como los domicilios o residencias de sus clientes o usuarios. Transcurrido el plazo máximo de mantención de los datos señalados precedentemente, las empresas y proveedores deberán destruir en forma segura dicha información.

Los funcionarios públicos, los intervinientes en la investigación penal y los empleados de las empresas mencionadas en este artículo que intervengan en este tipo de requerimientos deberán guardar secreto acerca de los mismos, salvo que se les citare a declarar.

La entrega de los antecedentes deberá realizarse en el plazo que disponga el fiscal en el caso de aquellos señalados en el inciso primero de este artículo o la resolución judicial, en el caso de los antecedentes a que se refiere el inciso tercero. Si el requerido estimare que no pudiere cumplir con el plazo, en atención al volumen y la naturaleza de la información solicitada o la información no exista o no la posea, deberá comunicar de dicha circunstancia fundadamente al fiscal o al tribunal, según correspondiere, dentro del término señalado en el requerimiento o en la resolución judicial respectiva.

En caso de negativa o retardo injustificado de entrega de la información señalada en este artículo, el Ministerio Público podrá requerir al juez de garantía, su autorización previa, para el ingreso al domicilio, sin restricción de horario, de la institución u organización en que se encuentren los sistemas informáticos que contengan la información requerida y copiarla en formato seguro.

Si, a pesar de las medidas señaladas en este artículo, la información no fuere entregada, podrá ser requerida al representante legal de la institución u organización de que se trate, bajo apercibimiento de arresto.

La infracción a la mantención del listado y registro actualizado, por un plazo de un año, de los antecedentes señalados en el inciso quinto será castigada según las sanciones y el procedimiento previsto en los artículos 36 y 36 A de la ley N° 18.168, General de Telecomunicaciones. El incumplimiento de las obligaciones de mantener con carácter reservado y adoptar las medidas de seguridad correspondientes de los antecedentes señalados en el inciso quinto, será sancionando con la pena prevista en el artículo 36 B letra f) de la ley N° 18.168, General de Telecomunicaciones.”.

3) Modifícase el artículo 222 de la siguiente manera:

a)Suprímase del epígrafe el término “Telefónicas”.

b)Reemplácese en el inciso primero la expresión “telecomunicación” por “comunicación”.

c)Suprímase en el inciso quinto la oración: “Con este objetivo los proveedores de tales servicios deberán mantener, en carácter reservado, a disposición del Ministerio Público, un listado actualizado de sus rangos autorizados de direcciones IP y un registro, no inferior a un año, de los números IP de las conexiones que realicen sus abonados”.”.

4) Suprímase la expresión “telefónica” del inciso primero del artículo 223.

5) Reemplázase en el artículo 225 la voz “telecomunicaciones” por “comunicaciones”.

Artículo 19.- Intercálase, en el literal a) del inciso primero del artículo 27 de la ley N° 19.913, que crea la Unidad de Análisis Financiero y modifica diversas disposiciones en materia de lavado y blanqueo de activos, entre las expresiones “orgánica constitucional del Banco Central de Chile;” y “en el párrafo tercero del número 4° del artículo 97 del Código Tributario”, la frase “en el Título I de la ley que sanciona los delitos informáticos;”.

Artículo 20.- Agrégase, en el inciso primero del artículo 36 B de la ley N° 18.168, General de Telecomunicaciones, la siguiente letra f), nueva:

“f) Los que vulneren el deber de reserva o secreto previsto en los artículos 218 bis, 219 y 222 del Código Procesal Penal, mediante el acceso, almacenamiento o difusión de los antecedentes o la información señalados en dichas normas, serán sancionados con la pena de presidio menor en su grado máximo.”.

Artículo 21.- Modifícase la ley N° 20.393, que establece la responsabilidad penal de las personas jurídicas en los delitos de lavado de activos, financiamiento del terrorismo y delitos de cohecho que indica, en el siguiente sentido:

1) Intercálase en el inciso primero del artículo 1, entre “Nº 18.314” y “y en los artículos 250”, la expresión “, en el Título I de la ley que sanciona delitos informáticos”.

2) Intercálase en el inciso primero del artículo 15, entre “Código Penal,” y “y en el artículo 8°”, la expresión “en el Título I de la ley que sanciona delitos informáticos”.

ARTÍCULOS TRANSITORIOS

Artículo primero.- Las modificaciones introducidas por el Título I de la presente ley solo se aplicarán a los hechos delictivos cometidos con posterioridad a la entrada en vigencia de la misma. En consecuencia, las normas de la Ley N° 19.223, continuarán vigentes para todos los efectos relativos a la persecución de los delitos perpetrados con anterioridad a la entrada en vigencia de la presente ley.

Artículo segundo.- Mientras no sean nombrados los delegados presidenciales regionales y provinciales a los que se refiere esta ley, se entenderá que dichos cargos corresponderán a los intendentes y gobernadores, respectivamente.

Artículo tercero.- El artículo 18 de la presente ley comenzará a regir transcurridos seis meses desde la publicación en el Diario Oficial de un reglamento dictado por el Ministerio de Transportes y Telecomunicaciones, suscrito además por el Ministro del Interior y Seguridad Pública, que regulará el deber de mantención con carácter reservado de la información señalada en el numeral 2) de dicho artículo, así como la obligación de destrucción de la información y la adopción de medidas de seguridad dispuestos en el propio numeral 2).

El reglamento señalado en el inciso anterior deberá dictarse dentro del plazo de seis meses, contado desde la publicación de la presente ley en el Diario Oficial.”.

- -

Acordado en sesiones celebradas los días 16 y 23 de abril; 7 de mayo; 4 de junio; 2 y 9 de julio; 6, 8 y 13 de agosto; 3 de septiembre, y 1° de octubre de 2019, con asistencia de los Honorables Senadores señores Felipe Harboe Bascuñán (Presidente), Álvaro Elizalde Soto (José Miguel Insulza Salinas), Francisco Huenchumilla Jaramillo, José Miguel Insulza Salinas, Felipe Kast Sommerhoff, Víctor Pérez Varela y Kenneth Pugh Olavarría (Felipe Kast Sommerhoff).

Sala de la Comisión, a 20 de enero de 2020.

Luis Sepúlveda Vargas

Secretario Accidental de la Comisión

RESUMEN EJECUTIVO

SEGUNDO INFORME DE LA COMISIÓN DE SEGURIDAD PÚBLICA, recaído en el proyecto de ley que establece normas sobre delitos informáticos, deroga la ley N° 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al convenio de Budapest.

(BOLETÍN N° 12.192-25)

I.OBJETIVO DEL PROYECTO: Actualizar la legislación chilena en materia de delitos informáticos y ciberseguridad y adecuarla tanto a las exigencias del Convenio sobre la Ciberdelincuencia del Consejo de Europa, conocido como “Convenio de Budapest”, del cual Chile es parte, cuanto a la evolución de las tecnologías de la información y la comunicación, todo ello para dar un tratamiento más comprensivo del contexto en que se cometen estos ilícitos y subsanar la carencia de medios suficientes para su investigación.

II.ACUERDOS:

Indicaciones Números:

1.- Rechazada 4x0.

2.- Rechazada 4x0.

3.- Aprobada con enmienda 4x0.

4.- Aprobada con enmienda 4x0.

5.- Aprobada con enmienda 4x0.

6.- Aprobada con enmienda 4x0.

7.- Aprobada con enmienda 4x0.

8.- Aprobada con enmienda 4x0.

9.- Rechazada 4x0.

10.- Retirada.

11.- Retirada.

11.- bis.- Aprobada 4x0.

12.- Rechazada 4x0.

13.- Rechazada 4x0.

14.- Rechazada 4x0.

15.- Rechazada 4x0.

16.- Rechazada 4x0.

17.- Rechazada 4x0.

18.- Rechazada 4x0.

19.- Rechazada 4x0.

20.- Rechazada 4x0.

21.- Rechazada 4x0.

22.- Rechazada 4x0.

23.- Rechazada 4x0.

24.- Rechazada 4x0.

25.- Rechazada 4x0.

26.- Rechazada 4x0.

27.- Aprobada con enmienda 4x0.

28.- Aprobada con enmienda 4x0.

29.- Aprobada con enmienda 4x0.

30.- Aprobada con enmienda 4x0.

31.- Aprobada con enmienda 4x0.

32.- Rechazada 3x0.

33.- Aprobada con enmienda 4x0.

34.- Aprobada con enmienda 4x0.

35.- Aprobada 4x0.

36.- Aprobada con enmienda 3x0.

37.- Rechazada 3x0.

38.- Rechazada 3x0.

39.- Aprobada 3x0.

40.- Aprobada con enmienda 4x0.

41.- Rechazada 4x0.

42.- Aprobada 4x0.

43.- Aprobada 4x0.

44.- Aprobada 4x0.

45.- Rechazada 4x0.

46.- Aprobada con enmienda 4x0.

47.- Rechazada 4x0.

48.- Aprobada con enmienda 4x0.

49.- Retirada.

50.- Retirada.

51.- Aprobada con enmienda 5x0.

52.- Retirada.

53.- Retirada.

54.- Rechazada 5x0.

55.- Aprobada con enmienda 5x0.

56.- Aprobada con enmienda 5x0.

56 bis.- Aprobada 4x0.

56 ter.- Aprobada 4x0.

57.- Rechazada 5x0.

58.- Aprobada con enmienda 5x0.

59.- Aprobada 5x0.

60.- Retirada.

60 bis.- Aprobada 4x0.

61.- Retirada.

62.- Rechazada 3x0.

62 bis.- Aprobada 4x0.

63.- Retirada.

64.- Aprobada con enmienda 4x0.

64 bis.- Aprobada con enmienda 4x0.

65.- Aprobada con enmienda 4x0.

66.- Aprobada con enmienda 4x0.

67.- Rechazada 4x0.

68.- Rechazada 4x0.

69.- Aprobada con enmienda 4x0.

70.- Aprobada con enmienda 4x0.

71.- Aprobada con enmienda 4x0.

72.- Rechazada 4x0.

73.- Aprobada con enmienda 4x0.

74.- Aprobada con enmienda 4x0.

75.- Rechazada 4x0.

76.- Inadmisible.

77.- Rechazada 3x0.

77 bis.- Aprobada 4x0.

78.- Rechazada 3x0.

79.- Rechazada 3x0.

79 bis.- Aprobada 4x0.

80.- Aprobada 3x0.

81.- Rechazada 3x0.

82.- Rechazada 3x0.

82 bis.- Aprobada 4x0.

83.- Inadmisible.

83 bis.- Aprobada 4x0.

84.- Rechazada 4x0.

84 bis.- Aprobada 4x0.

85.- Rechazada 4x0.

86.- Rechazada 4x0.

87.- Rechazada 4x0.

88.- Rechazada 4x0.

89.- Rechazada 4x0.

90.- Rechazada 3x0.

91.- Rechazada 3x0.

92.- Rechazada 3x0.

93.- Rechazada 3x0.

94.- Rechazada 3x0.

95.- Rechazada 3x0.

96.- Rechazada 3x0.

97.- Rechazada 3x0.

98.- Rechazada 3x0.

99.- Rechazada 3x0.

100.- Rechazada 3x0.

101.- Rechazada 3x0.

102.- Aprobada 3x0.

103.- Aprobada 3x0.

103 bis.- Aprobada 4x0.

104.- Rechazada 3x0.

III.ESTRUCTURA DEL PROYECTO APROBADO POR LA COMISIÓN: Consta de veintiún artículos permanentes y tres transitorios

IV.NORMAS DE QUÓRUM ESPECIAL: Los artículos 8° (pasa a ser 9°), inciso tercero; 11 (pasa a ser 12), y 13 (pasa a ser 14), así como los artículos 218 bis, 219 sustitutivo y el nuevo inciso sexto del artículo 222 (contenidos en los numerales 1), 2) y 3), letra b), del artículo 16, que pasa a ser 18, respectivamente), tienen carácter orgánico constitucional, de conformidad con lo prescrito en los artículos 84 y 66, inciso segundo, de la Constitución Política de la República, en concordancia con la ley N° 19.640, Orgánica Constitucional del Ministerio Público.

Además, el artículo 219 sustitutivo, contenido en el numeral 2) del artículo 16, que pasa a ser 18, ostenta rango orgánico constitucional por incidir en la organización y atribuciones de los tribunales de justicia, al tenor de lo dispuesto en los artículos 77 y 66, inciso segundo, de la Carta Fundamental.

V.URGENCIA: Simple.

VI.ORIGEN INICIATIVA: El proyecto se originó en Mensaje de S.E. el Presidente de la República.

VII.TRÁMITE CONSTITUCIONAL: Primero.

VIII.INICIO TRAMITACIÓN EN EL SENADO: 7 de noviembre de 2018.

IX.TRÁMITE REGLAMENTARIO: Segundo informe.

X.LEYES QUE SE MODIFICAN O QUE SE RELACIONAN CON LA MATERIA:

1) Ley N° 19.223, que tipifica figuras penales relativas a la informática.

2) Decreto N° 83, del Ministerio de Relaciones Exteriores, de 2017, que promulga el Convenio sobre la Ciberdelincuencia, denominado “Convenio de Budapest”.

3) Código Procesal Penal.

4) Ley N° 20.393, que establece la responsabilidad penal de las personas jurídicas en los delitos de lavado de activos, financiamiento del terrorismo y delitos de cohecho que indica.

Luis Sepúlveda Vargas

Secretario de la Comisión

Valparaíso, 20 de enero de 2020.

INDICACIONES FORMULADAS DURANTE LA DISCUSIÓN EN GENERAL DEL PROYECTO DE LEY, EN PRIMER TRÁMITE CONSTITUCIONAL, QUE ESTABLECE NORMAS SOBRE DELITOS INFORMÁTICOS, DEROGA LA LEY N° 19.223 Y MODIFICA OTROS CUERPOS LEGALES CON EL OBJETO DE ADECUARLOS AL CONVENIO DE BUDAPEST. BOLETÍN Nº 12.192-25

INDICACIONES

21.01.20

TÍTULO I

DE LOS DELITOS INFORMÁTICOS Y SUS SANCIONES

1.- Del Honorable Senador señor Girardi, para reemplazarlo por el siguiente:

“TÍTULO I

DE LAS DEFINICIONES, LOS DELITOS INFORMÁTICOS Y SUS SANCIONES”

ARTÍCULO 1°

2.- Del Honorable Senador señor Durana, para reemplazarlo por el siguiente:

“Artículo 1°.- Perturbación informática. El que maliciosamente obstaculice o perturbe, total o parcialmente, el funcionamiento integral de un sistema informático, a través de cualquier tipo de acción maliciosa, será castigado con la pena de presidio menor en su grado medio a máximo. Si además se hiciere imposible la recuperación del sistema informático en todo o en parte, se aplicará la pena de presidio menor en su grado máximo.”.

3.- De Su Excelencia el Presidente de la República, para sustituirlo por el que sigue:

“Artículo 1°.- Ataque a la integridad de un sistema informático. El que indebidamente obstaculice en forma grave o impida el normal funcionamiento de un sistema informático, a través de la introducción, transmisión, daño, deterioro, alteración o supresión de los datos informáticos, será castigado con la pena de presidio menor en su grado medio a máximo.”.

4.- Del Honorable Senador señor Pugh, y 5.- de los Honorables Senadores señores Araya, Harboe e Insulza, para sustituir la expresión “Perturbación informática” por “Ataque a la integridad del sistema informático”.

6.- Del Honorable Senador señor Pugh, para reemplazar el vocablo “maliciosamente” por “deliberada e ilegítimamente”.

7.- De los Honorables Senadores señores Araya, Harboe e Insulza, para reemplazar la expresión “maliciosamente” por “de manera deliberada e ilegítima”.

8.- De los Honorables Senadores señores Araya, Harboe e Insulza, para reemplazar la expresión “o perturbe”, por “gravemente o impida”.

ARTÍCULO 2°

9.- Del Honorable Senador señor Durana, para sustituirlo por el que sigue:

“Artículo 2°.- Acceso ilícito. El que dolosamente acceda a un sistema informático será castigado con presidio menor en su grado mínimo o multa de once a veinte unidades tributarias mensuales.

Si en la comisión de las conductas descritas en este artículo se vulnerasen, evadiesen o transgrediesen medidas de seguridad destinadas para impedir dicho acceso, se aplicará la pena de presidio menor en su grado medio.”.

10.- Del Honorable Senador señor Pugh, para sustituirlo por el que sigue:

“Artículo 2°.- Acceso ilícito. El que, de forma deliberada e ilegítima, y habiendo superado alguna medida de seguridad o barrera técnica, acceda a un sistema informático, será castigado con presidio menor en su grado mínimo o multa de once a veinte unidades tributarias mensuales.

La misma pena será aplicable a aquella persona que difunda o publique la información contenida en un sistema informático, a sabiendas de que fue obtenida con infracción a las disposiciones contenidas en el inciso anterior. Si una misma persona fuese responsable de la conducta descrita en el inciso anterior y de la posterior difusión o publicación de la información contenida en dicho sistema informático, será castigado con presidio menor en su grado mínimo a medio.

No será objeto de sanción penal el que realizando labores de investigación en seguridad informática hubiere incurrido en los hechos tipificados en el inciso primero, notifique sin demora al responsable del sistema informático de que se trate, las vulnerabilidades o brechas de seguridad detectadas en su investigación.”.

11.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente:

“Artículo 2°.- Acceso ilícito. El que sin autorización y superando barreras o medidas de seguridad, acceda a un sistema informático será castigado con la pena de presidio menor en su grado mínimo o multa de once a veinte unidades tributarias mensuales.

Si el acceso fuere realizado con el ánimo de apoderarse o usar la información contenida en el sistema informático, se aplicará la pena de presidio menor en su grado mínimo a medio. Igual pena se aplicará a quien difunda la información a la cual se accedió de manera ilícita, si no fuese obtenida por éste.

En caso de ser una misma persona la que hubiere obtenido y divulgado la información, se aplicará la pena de presidio menor en su grado medio.”.

11 bis.- De Su Excelencia el Presidente de la República, para sustituirlo por el siguiente:

“Artículo 2°.- Acceso ilícito. El que sin autorización o excediendo la autorización que posea y superando barreras técnicas o medidas tecnológicas de seguridad, acceda a un sistema informático será castigado con la pena de presidio menor en su grado mínimo o multa de once a veinte unidades tributarias mensuales.

Si el acceso fuere realizado con el ánimo de apoderarse o usar la información contenida en el sistema informático, se aplicará la pena de presidio menor en su grado mínimo a medio. Igual pena se aplicará a quien divulgue la información a la cual se accedió de manera ilícita, si no fuese obtenida por éste.

En caso de ser una misma persona la que hubiere obtenido y divulgado la información, se aplicará la pena de presidio menor en sus grados medio a máximo.”.

Inciso primero

12.- De las Honorables Senadoras señoras Rincón y Aravena, para sustituirlo por el que sigue:

“Artículo 2°. Acceso ilícito. El que indebida y maliciosamente acceda a un sistema informático vulnerando, evadiendo o transgrediendo medidas de seguridad destinadas para impedir dicho acceso, será castigado con presidio menor en su grado mínimo a medio.”.

13.- Del Honorable Senador señor Girardi, para reemplazar la palabra “indebidamente” por la expresión “en forma deliberada e ilegítima”.

14.- De los Honorables Senadores señores Araya, Harboe e Insulza, para reemplazar la palabra “indebidamente” por “de forma deliberada e ilegítima, y vulnerando alguna medida de seguridad”.

15.- De los Honorables Senadores señores Araya, Harboe e Insulza, para agregar a continuación de la expresión “sistema informático”, la siguiente frase: “con ánimo de conocer, apropiarse o utilizar información contenida en él”.

16.- De los Honorables Senadores señores Araya, Harboe e Insulza, para sustituir la expresión “mínimo o multa” por “mínimo y multa”.

Inciso segundo

17.- De los Honorables Senadores señores Araya, Harboe e Insulza, para reemplazarlo por el siguiente:

“La misma pena será aplicable a aquella persona que difunda, publique o comercialice la información contenida en un sistema informático, a sabiendas de que fue obtenida con infracción a las disposiciones contenidas en el inciso anterior. Si una misma persona fuese responsable de la conducta descrita en el inciso anterior y de la posterior difusión, publicación o comercialización de la información contenida en dicho sistema informático, será castigado con presidio menor en su grado mínimo a medio.”.

18.- Del Honorable Senador señor Girardi, para reemplazar la palabra “indebidamente” por la expresión “en forma deliberada e ilegítima”.

19.- De las Honorables Senadoras señoras Rincón y Aravena, para agregar después de la palabra acceda la siguiente frase: “a un sistema informático en la forma señalada en el inciso anterior, y”.

20.- De las Honorables Senadoras señoras Rincón y Aravena, para reemplazar la expresión “mínimo a medio” por “medio a máximo”.

Inciso tercero

21.- De las Honorables Senadoras señoras Rincón y Aravena, para suprimirlo.

22.- De los Honorables Senadores señores Araya, Harboe e Insulza, para sustituirlo por el que sigue:

“No será objeto de sanción penal el que realizando labores de investigación en seguridad informática hubiere incurrido en los hechos tipificados en el inciso primero, notifique sin demora al responsable del sistema informático de que se trate, las vulnerabilidades o brechas de seguridad detectadas en su investigación.”.

23.- Del Honorable Senador señor Girardi, para agregar después de la expresión “medidas de seguridad” la locución “que sea adecuado para su protección”.

o o o o o

24.- Del Honorable Senador señor Girardi, para agregar un inciso nuevo, del siguiente tenor:

“No será considerado acceso ilícito el realizado por la o las personas que acceden con finalidad de investigación, estudio o detección de vulnerabilidades de los sistemas informáticos, sin que con ello cause daño o perjuicio, debiendo informar al más breve plazo de hallazgos en materia de seguridad si existieren. Si así no lo hiciera, se presumirá que su acceso fue deliberado e ilegítimo.”.

o o o o o

ARTÍCULO 3°

25.- Del Honorable Senador señor Durana, para reemplazarlo por el siguiente:

“Artículo 3°.- Interceptación ilícita. El que indebida y maliciosamente intercepte o interfiera, a través de cualquier medio, la transmisión de datos entre sistemas informáticos públicos o privados, será castigado con presidio menor en su grado mínimo a medio.”.

26.- Del Honorable Senador señor Girardi, para sustituirlo por el que sigue:

“Artículo 3° interceptación ilícita: el que de forma deliberada e ilegítima intercepte datos informáticos en transmisiones no públicas dirigidas a un sistema informático, en los originados en el mismo sistema informático o dentro del mismo o que se transmiten por frecuencias radioeléctricas, será castigado con presidio menor en su grado mínimo a medio.”.

27.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente:

“Artículo 3°.- Interceptación ilícita. El que indebidamente intercepte, interrumpa o interfiera, por medios técnicos, la transmisión no pública de información en un sistema informático o entre dos o más de aquellos, será castigado con la pena de presidio menor en su grado medio.

El que, sin contar con la debida autorización, capte, por medios técnicos, datos contenidos en sistemas informáticos a través de las emisiones electromagnéticas provenientes de éstos, será castigado con la pena de presidio menor en su grado medio a máximo.”.

Inciso primero

28.- Del Honorable Senador señor Pugh, para reemplazar la expresión “indebida y maliciosamente” por la siguiente: “de forma deliberada y sin estar autorizado”.

29.- De los Honorables Senadores señores Araya, Harboe e Insulza, para reemplazar las palabras “indebida y maliciosamente” por “de manera deliberada e ilegítima”.

30.- Del Honorable Senador señor Pugh, y 31.- de los Honorables Senadores señores Araya, Harboe e Insulza, para agregar después de la voz “informáticos” la expresión “por medios técnicos”.

ARTÍCULO 4°

32.- Del Honorable Senador señor Durana, para sustituirlo por el que sigue:

“Artículo 4.- Daño informático. El que dolosamente altere, borre o destruya datos informáticos, será castigado con presidio menor en su grado medio, siempre que con ello se cause un daño irreparable al titular de los mismos.”.

33.- Del Honorable Senador señor Pugh, y 34.- de los Honorables Senadores señores Araya, Harboe e Insulza, para sustituir la expresión “Daño Informático”, por la siguiente: “Ataque a la integridad de los datos”.

35.- De Su Excelencia el Presidente de la República, para reemplazar la expresión “Daño Informático”, por la siguiente: “Ataque a la integridad de los datos informáticos”.

36.- Del Honorable Senador señor Pugh, para reemplazar la locución “maliciosamente altere, borre o destruya” por la siguiente: “de forma deliberada e ilegítima dañe, borre, deteriore, altere o suprima”.

37.- Del Honorable Senador señor Girardi, para reemplazar la palabra “maliciosamente” por la expresión “en forma deliberada e ilegítima”.

38.- De los Honorables Senadores señores Araya, Harboe e Insulza, para reemplazar la palabra “maliciosamente” por la expresión “de manera deliberada e ilegítima”.

39.- De Su Excelencia el Presidente de la República, para reemplazar la voz “maliciosamente” por “indebidamente”.

40.- De los Honorables Senadores señores Araya, Harboe e Insulza, para agregar a continuación de la palabra “borre,”, las palabras “deteriore, dañe, suprima”.

41.- De las Honorables Senadoras señoras Rincón y Aravena, para eliminar la frase “, siempre que con ello se cause un daño serio al titular de los mismos”.

42.- Del Honorable Senador señor Girardi, 43.- del Honorable Senador señor Pugh, y 44.- de Su Excelencia el Presidente de la República, para sustituir el vocablo “serio” por “grave”.

45.- De los Honorables Senadores señores Araya, Harboe e Insulza, para reemplazar el vocablo “serio” por “considerable”.

46.- De los Honorables Senadores señores Araya, Harboe e Insulza, para reemplazar la locución “los mismos” por “éstos mismos”.

o o o o o

47.- De las Honorables Senadoras señoras Rincón y Aravena, para consultar el siguiente inciso, nuevo:

“Si la alteración, eliminación o destrucción de datos informáticos causare daño serio al titular de los mismos, la pena se aumentará en un grado.”.

o o o o o

ARTÍCULO 5°

48.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente:

“Artículo 5°.- Falsificación informática. El que indebidamente introduzca, altere, borre, deteriore, dañe, destruya o suprima datos informáticos con la intención de que sean tomados como auténticos o utilizados para generar documentos auténticos, será sancionado con la pena de presidio menor en sus grados medio a máximo.”.

49.- Del Honorable Senador señor Pugh, para reemplazar la palabra “maliciosamente” por “de forma deliberada e ilegítima”.

50.- De los Honorables Senadores señores Araya, Harboe e Insulza, para sustituir la palabra “maliciosamente” por “de manera deliberada e ilegítima”.

51.- De los Honorables Senadores señores Araya, Harboe e Insulza, para agregar a continuación de la expresión “datos informáticos,”, lo siguiente: “generando datos no auténticos,”.

52.- Del Honorable Senador señor Pugh, para sustituir la expresión “las penas previstas en el artículo 197 del Código Penal” por la siguiente: “presidio menor en su grado medio”.

53.- De los Honorables Senadores señores Araya, Harboe e Insulza, para reemplazar la frase: “penas previstas en el artículo 197 del Código Penal”, por “pena de presidio menor en su grado medio”.

54.- Del Honorable Senador señor Girardi, para suprimir el texto que señala “; salvo que sean o formen parte de un instrumento, documento o sistema informático de carácter público, caso en que se sancionará con las penas previstas en el artículo 193 de dicho cuerpo legal”.

55.- Del Honorable Senador señor Pugh, para reemplazar la locución “las penas previstas en el artículo 193 de dicho cuerpo legal” por la siguiente: “presidio menor en su grado medio a máximo”.

56.- De los Honorables Senadores señores Araya, Harboe e Insulza, para reemplazar la frase: “las penas previstas en el artículo 193 de dicho cuerpo legal”, por “la pena de presidio menor en su grado medio a máximo”.

Inciso segundo nuevo

56 bis.- De Su Excelencia el Presidente de la República, para incorporar un nuevo inciso final del siguiente tenor:

“Cuando la conducta descrita en el inciso anterior sea cometida por empleado público, abusando de su oficio, será castigado con la pena de presidio menor en su grado máximo a presidio mayor en su grado mínimo.”.

ARTÍCULO 6° NUEVO

56 ter.- De Su Excelencia el Presidente de la República, para incorporar un artículo sexto nuevo, pasando el actual a ser séptimo y así sucesivamente, en los siguientes términos:

“Artículo 6°.- Receptación de datos. El que conociendo su origen o no pudiendo menos que conocerlo, almacene, a cualquier título, datos informáticos provenientes de la realización de las conductas descritas en los artículos 2°, 3° y 5° sufrirá la pena asignada a los respectivos delitos, rebajada en un grado.”.

ARTÍCULO 6°

Inciso primero

Encabezamiento

57.- Del Honorable Senador señor Durana, para reemplazarlo por el siguiente:

“Artículo 6°.- Fraude informático. El que, causando perjuicio a otro y con la finalidad de obtener un beneficio económico ilícito para sí o para un tercero, utilice la información contenida en un sistema informático o se aproveche de cualquier forma alteración, daño o supresión de datos informáticos, será penado:”.

58.- De Su Excelencia el Presidente de la República, para reemplazar la frase “beneficio económico ilícito para sí o para un tercero, utilice la información contenida en un sistema informático o se aproveche de la alteración, daño o supresión de documentos electrónicos o de datos transmitidos o contenidos en un sistema informático,”, por la siguiente: “beneficio económico para sí o para un tercero, manipule un sistema informático, mediante la introducción, alteración, borrado o supresión de datos informáticos o a través de cualquier interferencia en el funcionamiento de un sistema informático,”.

59.- De los Honorables Senadores señores Araya, Harboe e Insulza, para reemplazar la expresión “un tercero”, por “terceros”.

60.- Del Honorable Senador señor Pugh, para sustituir la expresión “sistema informático, será penado” por la siguiente: “sistema informático o interfiera en el funcionamiento normal de un sistema informático, será penado”.

Inciso final nuevo

60 bis.- De Su Excelencia el Presidente de la República, para incorporar un nuevo inciso final del siguiente tenor:

“Para los efectos de este artículo se considerará también autor al que, conociendo o no pudiendo menos que conocer la ilicitud de la conducta descrita en el inciso primero, facilita los medios con que se comete el delito.”.

o o o o o

61.- Del Honorable Senador señor Pugh, para incorporar a continuación del artículo 7° el siguiente artículo, nuevo:

“Artículo ... - Vigilancia no autorizada. El que, sin tener el derecho legal de participar en la vigilancia, observe o vigile a otra persona para recopilar información relacionada con dicha persona, será castigado con presidio menor en su grado mínimo a medio. Si el acto es cometido por una persona jurídica, se estará a lo dispuesto en la ley N° 20.393.”.

o o o o o

ARTÍCULO 8°

62.- Del Honorable Senador señor Durana, para sustituirlo por el que sigue:

“Artículo 8°.- Circunstancia atenuante especial. Será circunstancia atenuante especial de responsabilidad penal, y permitirá rebajar la pena hasta en un grado, la cooperación que los tribunales de justicia, estimen eficaz para el esclarecimiento de hechos investigados que sean constitutivos de alguno de los delitos previstos en esta ley o permita la identificación de sus responsables; o sirva para prevenir o impedir la perpetración o consumación de otros delitos de igual o mayor gravedad contemplados en esta ley; siempre que, en todo caso, dichos delitos fueren a ejecutarse o se hubieren ejecutado por una agrupación u organización conformada por dos o más personas, o por una asociación ilícita.

Se entiende por cooperación eficaz el suministro de datos o informaciones precisas, verídicas y comprobables, que contribuyan necesariamente a los fines señalados en el inciso anterior.

La reducción de pena se determinará con posterioridad a la individualización de la sanción penal según las circunstancias atenuantes o agravantes comunes que concurran; o de su compensación, de acuerdo con las reglas generales.”.

Inciso primero

62 bis.- De Su Excelencia el Presidente de la República, para suprimir en el inciso primero la expresión “; siempre que, en todo caso, dichos delitos fueren a ejecutarse o se hubieren ejecutado por una agrupación u organización conformada por dos o más personas, o por una asociación ilícita”.

Inciso tercero

63.- De los Honorables Senadores señores Araya, Harboe e Insulza, para suprimirlo.

ARTÍCULO 9°

64.- De los Honorables Senadores señores Araya, Harboe e Insulza, para reemplazarlo por el siguiente:

“Artículo 9º.- Circunstancias agravantes. Constituye circunstancia agravante de los delitos de que trata esta ley el cometer el delito abusando de una posición de confianza en la administración del sistema informático o custodio de los datos informáticos contenidos en él, en razón del ejercicio de un cargo o función.

Asimismo, si como resultado de la comisión de las conductas contempladas en los artículos 1° y 4°, se interrumpiese o altere el funcionamiento de los sistemas informáticos o la integridad de los datos informáticos y esto afectase o alterase la provisión o prestación de servicios de utilidad pública, tales como electricidad, gas, agua, transporte, telecomunicaciones o financieros, la pena correspondiente se aumentará en un grado.”.

64 bis.- De Su Excelencia el Presidente de la República, para sustituirlo por el siguiente:

“Artículo 10°.- Circunstancias agravantes. Constituyen circunstancias agravantes de los delitos de que trata esta ley:

1) Cometer el delito abusando de una posición de confianza en la administración del sistema informático o custodio de los datos informáticos contenidos en él, en razón del ejercicio de un cargo o función.

2) Cometer el delito abusando de la vulnerabilidad, confianza o desconocimiento de niños, niñas, adolescentes o adultos mayores.

Asimismo, si como resultado de la comisión de las conductas contempladas en este Título, se afectase o interrumpiese la provisión o prestación de servicios de utilidad pública, tales como electricidad, gas, agua, transporte, telecomunicaciones o financieros, la pena correspondiente se aumentará en un grado.”.

Inciso primero

Número 1)

65.- Del Honorable Senador señor Girardi, y 66.- de las Honorables Senadoras señoras Rincón y Aravena, para eliminarlo.

67.- Del Honorable Senador señor Pugh, para sustituirlo por el que sigue:

“1) Utilizar ilícitamente datos personales de otra persona para facilitarse el acceso al sistema informático o para ganarse la confianza de un tercero.”.

68.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente:

“1) Utilizar tecnologías destinadas a destruir u ocultar en una investigación penal, los datos o sistemas informáticos a través de los cuales se cometió el delito.”.

Número 2)

69.- De Su Excelencia el Presidente de la República, para sustituirlo por el que sigue:

“2) Cometer el delito abusando de su calidad de responsable, en razón de su cargo o función, del sistema o datos informáticos.”.

70.- Del Honorable Senador señor Pugh, para reemplazar la expresión “privilegiada de garante” por: “de confianza en la administración del sistema informático”.

o o o o o

71.- De las Honorables Senadoras señoras Rincón y Aravena, para consultar a continuación del número 2) el siguiente número, nuevo:

“…) Cometer el delito abusando de la vulnerabilidad, confianza o desconocimiento de niños, niñas, adolescentes o adultos mayores, o produciendo perjuicio en su contra.”.

o o o o o

o o o o o

72.- De las Honorables Senadoras señoras Rincón y Aravena, para incorporar en seguida un número nuevo, del tenor que sigue:

“…) Cometer el delito como medio o con el fin principal de ejercer violencia en contra de las mujeres, sea de forma física, psicológica, sexual, económica, simbólica o institucional.”.

o o o o o

Inciso segundo

73.- De Su Excelencia el Presidente de la República, para reemplazar la expresión “los artículos 1° y 4°” por “este título”.

74.- De Su Excelencia el Presidente de la República, para sustituir la locución “su data” por “sus datos”.

o o o o o

75.- De las Honorables Senadoras señoras Rincón y Aravena, para introducir después del artículo 9° los siguientes artículos, nuevos:

“Artículo …- Ciberamenazas contra la mujer. El que por medio de la transmisión de cualquier comunicación textual, visual, escrita u oral, a través de medios electrónicos, amenazare seriamente a una mujer con causar un mal a ella misma o a su familia, en su persona, honra o propiedad, siempre que por los antecedentes aparezca verosímil la consumación del hecho, será castigado con las penas de presidio menor en sus grados mínimo a medio si el hecho fuere constitutivo de delito y con la pena de la pena de reclusión menor en sus grados mínimo a medio si el hecho no fuere constitutivo de delito.

La condena por este delito será inscrita, además del Registro de Condenas del Servicio de Registro Civil e Identificación, en el registro de personas condenadas por actos de violencia intrafamiliar o violencia contra la mujer, y en el Registro de personas inhabilitadas para trabajar con menores de edad, si la víctima lo fuere.

Articulo ...- Revelación de datos o documentos como forma de violencia contra la mujer. El que por medio de Internet u otras tecnologías de información o comunicación (TICS) viole la privacidad de una mujer, revelando, sin su consentimiento, datos de su identidad, información personal como su dirección, nombres de sus hijos e hijas, número de teléfono o dirección de correo electrónico, o documentos personales, con el objeto causarle angustia, pánico o alarma, será castigado con la pena de presidio menor en sus grados mínimo a medio.

La condena por este delito será inscrita, además del Registro de Condenas del Servicio de Registro Civil e Identificación, en el registro de personas condenadas por actos de violencia intrafamiliar o violencia contra la mujer, y en el Registro de personas inhabilitadas para trabajar con menores de edad, si la víctima lo fuere.”.

o o o o o

ARTÍCULO 10

76.- Del Honorable Senador señor Durana, para reemplazarlo por el siguiente:

“Artículo 10.- Sin perjuicio de las reglas contenidas en el Código Procesal Penal, las investigaciones a que dieren lugar los delitos previstos en esta ley también podrán iniciarse por querella del Ministro del Interior y Seguridad Pública, de los gobernadores regionales, de los delegados presidenciales regionales y de los delegados presidenciales provinciales, cuando las conductas señaladas en esta ley interrumpieren el normal funcionamiento de un servicio de utilidad pública.”.

ARTÍCULO 11

77.- Del Honorable Senador señor Girardi, para suprimirlo.

77 bis.- De Su Excelencia el Presidente de la República, para sustituirlo por el siguiente:

“Artículo 12.- Cuando la investigación de los delitos contemplados en esta ley lo hiciere imprescindible y existieren fundadas sospechas basadas en hechos determinados, de que una persona hubiere cometido o participado en la preparación o comisión de algunos de los delitos contemplados en esta ley, el Juez de Garantía, a petición del Ministerio Público, podrá ordenar la realización de las técnicas previstas y reguladas en los artículos 222 a 226 del Código Procesal Penal, conforme lo disponen dichas normas.

De igual forma, cumpliéndose los requisitos establecidos en el inciso anterior, el Juez de Garantía, a petición del Ministerio Público, podrá ordenar a funcionarios policiales actuar bajo identidad supuesta en comunicaciones mantenidas en canales cerrados de comunicación, con el fin de esclarecer los hechos tipificados como delitos en esta ley, establecer la identidad y participación de personas determinadas en la comisión de los mismos, impedirlos o comprobarlos. El referido agente encubierto en línea, podrá intercambiar o enviar por sí mismo archivos ilícitos por razón de su contenido, pudiendo obtener también imágenes y grabaciones de las referidas comunicaciones. No obstará a la consumación de los delitos que se pesquisen el hecho de que hayan participado en su investigación agentes encubiertos. La intervención de estos últimos no será considerada inducción o instigación al delito.

Los resultados de las técnicas especiales de investigación establecidas en este artículo no podrán ser utilizados como medios de prueba en el procedimiento cuando ellos hubieren sido obtenidos sin haberse cumplido los requisitos que autorizan su procedencia.”.

Inciso segundo

78.- Del Honorable Senador señor Pugh, para suprimirlo.

Inciso tercero

79.- Del Honorable Senador señor Pugh, para eliminarlo.

ARTÍCULO 12

Inciso segundo

79 bis.- De Su Excelencia el Presidente de la República, para sustituirlo por el siguiente:

“Cuando por cualquier circunstancia no sea posible decomisar estas especies, se podrá aplicar el comiso a una suma de dinero equivalente a su valor, respecto de los responsables del delito. Si por la naturaleza de la información contenida en las especies, estas no pueden ser enajenadas a terceros, se podrá ordenar la destrucción total o parcial de los instrumentos del delito y los efectos que de ellos provengan.”.

80.- De los Honorables Senadores señores Araya, Harboe e Insulza, para agregar a continuación de la palabra “valor”, la expresión “, respecto de responsables del delito”.

TÍTULO III

DISPOSICIONES FINALES

81.- Del Honorable Senador señor Girardi, para reemplazarlo por el siguiente:

“TÍTULO III

DISPOSICIÓN FINAL”

ARTÍCULO 14

82.- Del Honorable Senador señor Girardi, para contemplarlo como artículo 1°, cambiando la numeración correlativa de los artículos anteriores.

o o o o o

82 bis.- De Su Excelencia el Presidente de la República, para incorporar un nuevo literal c) al inciso primero del siguiente tenor:

“c)Proveedores de servicios: Toda entidad pública o privada que ofrezca a los usuarios de sus servicios la posibilidad de comunicar a través de un sistema informático y cualquier otra entidad que procese o almacene datos informáticos para dicho servicio de comunicación o para los usuarios del mismo.”.

o o o o o

o o o o o

83.- De las Honorables Senadoras señoras Rincón y Aravena, para introducir una letra nueva, del siguiente tenor:

“…) Violencia contra la mujer: cualquier acción u omisión, sea que tenga lugar en el ámbito público o en el privado, basada en el género y ejercida en el marco de las relaciones de poder históricamente desiguales que emanan de los roles diferenciados asignados a hombres y mujeres, que resultan de una construcción social, cultural, histórica y económica, que cause o pueda causar muerte, menoscabo físico, sexual, psicológico, económico o de otra clase a las mujeres, incluyendo la amenaza de realizarlas.

Son tipos de violencia, en particular:

1. Violencia física: cualquier agresión dirigida contra el cuerpo de la mujer, que vulnere, perturbe o amenace su integridad física, su libertad personal o su derecho a la vida.

2. Violencia psicológica: cualquier acción u omisión que vulnere, perturbe o amenace la integridad psíquica o estabilidad emocional de una mujer, tales como tratos humillantes, vejatorios o degradantes, control o vigilancia de sus conductas, intimidación, coacción, exigencia de obediencia, aislamiento, explotación o limitación de su libertad de acción, opinión o pensamiento.

3. Violencia sexual: toda vulneración, perturbación o amenaza al derecho de las mujeres a la libertad e integridad, indemnidad y autonomía sexual y reproductiva o al derecho de las niñas a la indemnidad sexual.

4. Violencia económica: toda acción u omisión, intencionada y/o arbitraria, ejercida en el contexto de relaciones afectivas o familiares, que tenga como efecto directo la vulneración de la autonomía económica de la mujer, que se lleve a cabo con afán de ejercer un control sobre ella o generar dependencia y que se manifiesta en un menoscabo injusto de sus recursos económicos o patrimoniales o el de sus hijos, tales como el no pago de las obligaciones alimentarias, entre otros.

5. Violencia simbólica: mensajes, íconos, significados y representaciones que transmiten, reproducen y naturalizan relaciones de subordinación, desigualdad y discriminación de las mujeres en la sociedad.

6. Violencia institucional: toda acción u omisión realizada por personas en el ejercicio de una función pública y, en general, por cualquier agente estatal, que tenga como fin retardar, obstaculizar o impedir que las mujeres ejerzan los derechos previstos en esta ley, en la Constitución Política de la República y en los tratados internacionales de derechos humanos ratificados por Chile y que se encuentren vigentes.”.

o o o o o

ARTÍCULO 16 NUEVO

83 bis.- De Su Excelencia el Presidente de la República, para incorporar el siguiente artículo décimo sexto nuevo, pasando el actual a ser décimo octavo y así sucesivamente:

“Artículo 16.- Para efectos de lo previsto en el artículo 2° se entenderá que cuenta con autorización para el acceso a un sistema informático, el que en el marco de investigaciones de vulnerabilidad o para mejorar la seguridad informática, acceda a un sistema informático mediando la autorización expresa del titular del mismo.”.

ARTÍCULO 16

84.- Del Honorable Senador señor Girardi, para eliminarlo.

84 bis.- De Su Excelencia el Presidente de la República, para modificarlo de la siguiente manera:

a)Sustitúyase el numeral 1) por el siguiente:

“1) Agrégase el siguiente artículo 218 bis, nuevo:

“Artículo 218 bis.- Preservación provisoria de datos informáticos. El Ministerio Público con ocasión de una investigación penal podrá requerir, a cualquier proveedor de servicio, la conservación o protección de datos informáticos o informaciones concretas incluidas en un sistema informático, que se encuentren a su disposición hasta que se obtenga la respectiva autorización judicial para su entrega. Los datos se conservarán durante un período de 90 días, prorrogable una sola vez, hasta que se autorice la entrega o se cumplan 180 días. La empresa requerida estará obligada a prestar su colaboración y guardar secreto del desarrollo de esta diligencia.”.”.

b) Sustitúyase el numeral 2) por el siguiente:

“2) Sustitúyase el artículo 219 por el siguiente:

“Artículo 219.- Copias de comunicaciones, transmisiones y datos informáticos. El Ministerio Público podrá requerir, en el marco de una investigación penal en curso a cualquier proveedor de servicios que ofrezca servicios en territorio chileno, que facilite los datos de suscriptor que posea sobre sus abonados, así como también la información referente a las direcciones IP utilizadas por éstos. Del mismo modo, podrá solicitar la entrega de las versiones que existieren de las transmisiones de radio, televisión u otros medios públicos. Los proveedores de servicios deberán mantener el secreto de esta solicitud.

Por datos de suscriptor se entenderá, toda información, en forma de datos informáticos o en cualquier otro formato, que posea un proveedor de servicios, que esté relacionada con los abonados a dichos servicios, excluidos los datos sobre tráfico y contenido, y que permita determinar su identidad, el periodo del servicio, dirección postal o geográfica y el número de teléfono del abonado, así como cualquier otro número de acceso, correo electrónico, información sobre facturación y medio de pago.

Podrá también el Ministerio Público requerir a cualquier proveedor de servicios, previa autorización judicial, que entregue la información que tenga almacenada relativa al tráfico y el contenido de comunicaciones de sus abonados, referida al periodo de tiempo determinado establecido por la señalada resolución judicial.

Para efectos de este artículo se entenderá por datos relativos al tráfico, todos los datos relativos a una comunicación realizada por medio de un sistema informático, generados por este último en tanto elemento de la cadena de comunicación, y que indiquen el origen, el destino, la ruta, la hora, la fecha, el tamaño y la duración de la comunicación o el tipo de servicio subyacente.

Las empresas concesionarias de servicios públicos de telecomunicaciones y proveedores de internet deberán mantener, con carácter reservado y adoptando las medidas de seguridad correspondientes, a disposición del Ministerio Público a efectos de una investigación penal, por un plazo de un año, un listado y registro actualizado de sus rangos autorizados de direcciones IP y de los números IP de las conexiones que realicen sus clientes o usuarios, con sus correspondientes datos relativos al tráfico, así como los domicilios o residencias de sus clientes o usuarios. Transcurrido el plazo máximo de mantención de los datos señalados precedentemente, las empresas y proveedores deberán destruir en forma segura dicha información.

Los funcionarios públicos, los intervinientes en la investigación penal y los empleados de las empresas mencionadas en este artículo que intervengan en este tipo de requerimientos deberán guardar secreto acerca de los mismos, salvo que se les citare a declarar.

La entrega de los antecedentes deberá realizarse en el plazo que disponga el fiscal en el caso de aquellos señalados en el inciso primero de este artículo o la resolución judicial, en el caso de los antecedentes a que se refiere el inciso tercero. Si el requerido estimare que no pudiere cumplir con el plazo, en atención al volumen y la naturaleza de la información solicitada o la información no exista o no la posea, deberá comunicar de dicha circunstancia fundadamente al fiscal o al tribunal, según correspondiere, dentro del término señalado en el requerimiento o en la resolución judicial respectiva.

En caso de negativa o retardo injustificado de entrega de la información señalada en este artículo, el Ministerio Público podrá requerir al juez de garantía, su autorización previa, para el ingreso al domicilio, sin restricción de horario, de la institución u organización en que se encuentren los sistemas informáticos que contengan la información requerida y copiarla en formato seguro.

Si, a pesar de las medidas señaladas en este artículo, la información no fuere entregada, podrá ser requerida al representante legal de la institución u organización de que se trate, bajo apercibimiento de arresto.

La infracción a la mantención del listado y registro actualizado, por un plazo de un año, de los antecedentes señalados en el inciso quinto será castigada según las sanciones y el procedimiento previsto en los artículos 36 y 36 A de la ley N° 18.168, General de Telecomunicaciones. El incumplimiento de las obligaciones de mantener con carácter reservado y adoptar las medidas de seguridad correspondientes de los antecedentes señalados en el inciso quinto, será sancionando con la pena prevista en el artículo 36 B letra f) de la ley N° 18.168, General de Telecomunicaciones.”.”.

c)Sustitúyase el numeral 3), por el siguiente:

“3) Modifícase el artículo 222 de la siguiente manera:

a)Suprímase del epígrafe el término “Telefónicas”.

b)Reemplácese en el inciso primero la expresión “telecomunicación” por “comunicación”.

c)Suprímase en el inciso quinto la oración: “Con este objetivo los proveedores de tales servicios deberán mantener, en carácter reservado, a disposición del Ministerio Público, un listado actualizado de sus rangos autorizados de direcciones IP y un registro, no inferior a un año, de los números IP de las conexiones que realicen sus abonados”.”.

d) Agrégase un numeral 4) nuevo del siguiente tenor:

“4) Suprímase la expresión “telefónica” del inciso primero del artículo 223.”.

e)Agrégase un numeral 5) nuevo del siguiente tenor:

“5) Reemplázase en el artículo 225 la voz “telecomunicaciones” por “comunicaciones”.”.

Número 2)

Artículo 219 propuesto

85.- De los Honorables Senadores señores Araya, Harboe e Insulza, para reemplazarlo por el siguiente:

“Artículo 219.- Copias de comunicaciones privadas o transmisiones públicas. El juez de garantía podrá autorizar, a petición del fiscal, que cualquier empresa concesionaria de servicio público de telecomunicaciones que preste servicios a los proveedores de acceso a Internet y también estos últimos, facilite datos o informaciones acerca de las comunicaciones transmitidas o recibidas por ellas. Del mismo modo, podrá ordenar la entrega de las versiones que existieren de las transmisiones de radio, televisión u otros medios.

La entrega de los antecedentes previstos en el inciso anterior deberá realizarse en el plazo que disponga la resolución judicial. Si el requerido estimare que no pudiere cumplir con el plazo, en atención al volumen y la naturaleza de la información solicitada, deberá comunicar de dicha circunstancia fundadamente al tribunal, dentro del término señalado en la resolución judicial respectiva.

Para el cumplimiento de lo dispuesto en este artículo las empresas y proveedores mencionados en el inciso primero deberán mantener, con carácter reservado y adoptando las medidas de seguridad correspondientes, a disposición del Ministerio Público, por un plazo de un año, un listado y registro actualizado de sus rangos autorizados de direcciones IP y de los números IP de las conexiones que realicen sus clientes o usuarios. La infracción a lo dispuesto en este inciso será castigada según las sanciones y el procedimiento previsto en los artículos 36 y 36 A de la ley Nº 18.168, General de Telecomunicaciones.

Asimismo, los encargados de realizar la diligencia y los empleados de las empresas mencionadas en este artículo deberán guardar secreto acerca de la misma, salvo que se les citare como testigos al procedimiento. La infracción del deber de secreto de las personas antes señaladas, será sancionado con la pena de reclusión menor en sus grados mínimo a medio y multa de seis a diez unidades tributarias mensuales.

Para dar cumplimiento a lo previsto en los incisos precedentes, las empresas señaladas en el inciso primero deberán disponer de una persona que tendrá a su cargo, no necesariamente de forma exclusiva, dar respuesta a los requerimientos del Ministerio Público. Asimismo, las empresas deberán tomar las medidas pertinentes para que dicho encargado cuente con las atribuciones y las competencias que le permitan entregar de manera expedita la información que sea requerida.

La negativa o retardo injustificado de entrega de la información señalada en este artículo, así como aquellos casos en que existan antecedentes o circunstancias que hagan presumir que la información pudiera desaparecer, facultará al Ministerio Público para requerir al juez de garantía, autorización para el ingreso al domicilio, sin restricción de horario, de la empresa en que se encuentren los sistemas informáticos que contengan la información requerida y copiarla. El juez autorizará esta medida en caso que se cumplan los supuestos previstos en este artículo, debiendo comunicar dicha autorización por la vía más expedita posible, sin perjuicio de remitir con posterioridad la resolución respectiva.

Si, a pesar de las medidas señaladas en este artículo, la información no fuere entregada, podrá ser requerida al representante legal y al gerente general de la empresa de que se trate, bajo apercibimiento de arresto.”.

86.- De Su Excelencia el Presidente de la República, para sustituirlo por el que sigue:

“Artículo 219.- Copias de comunicaciones o transmisiones y datos relativos al tráfico.

El juez de garantía podrá autorizar, a petición del fiscal, que cualquier empresa de comunicaciones proporcione copias de los datos o informaciones acerca de las comunicaciones transmitidas o recibidas por ellas. Del mismo modo, podrá ordenar la entrega de las versiones que existieren de las transmisiones públicas de radio, televisión u otros medios.

Las empresas de comunicaciones deberán mantener, con carácter reservado y adoptando las medidas de seguridad correspondientes, a disposición del Ministerio Público a efectos de una investigación penal, por un plazo de dos años, un listado y registro actualizado de sus rangos autorizados de direcciones IP y de los números IP de las conexiones que realicen sus clientes o usuarios, con sus correspondientes datos relativos al tráfico, así como los domicilios o residencias de sus clientes o usuarios. Transcurrido el plazo máximo de mantención de los datos señalados precedentemente, las empresas deberán destruir en forma segura dicha información.

Para efectos de este artículo se entenderá por datos relativos al tráfico, todos los datos relativos a una comunicación realizada por medio de un sistema informático, generados por este último en tanto elemento de la cadena de comunicación, y que indiquen el origen, el destino, la ruta, la hora, la fecha, el tamaño y la duración de la comunicación o el tipo de servicio subyacente.

Las empresas de comunicaciones, deberán dar cumplimiento a esta medida, proporcionando a los funcionarios encargados de la diligencia las facilidades necesarias para que se lleve a cabo con la oportunidad con que se requiera. Los encargados de realizar la diligencia y los empleados de las empresas mencionadas en este artículo deberán guardar secreto acerca de la misma, salvo que se les citare a declarar.

La entrega de los antecedentes previstos en los incisos anteriores deberá realizarse en el plazo que disponga la resolución judicial. Si el requerido estimare que no pudiere cumplir con el plazo, en atención al volumen y la naturaleza de la información solicitada, deberá comunicar de dicha circunstancia fundadamente al tribunal, dentro del término señalado en la resolución judicial respectiva.

Para dar cumplimiento a lo previsto en los incisos precedentes, las empresas señaladas en el inciso primero deberán disponer de una persona que tendrá a su cargo, no necesariamente de forma exclusiva, dar respuesta a los requerimientos del Ministerio Público. Asimismo, las empresas deberán tomar las medidas pertinentes para que dicho encargado cuente con las atribuciones y las competencias que le permitan entregar de manera expedita la información que sea requerida.

La negativa o retardo injustificado de entrega de la información señalada en este artículo facultará al Ministerio Público para requerir al juez de garantía, autorización para el ingreso al domicilio, sin restricción de horario, de la empresa en que se encuentren los sistemas informáticos que contengan la información requerida y copiarla. El juez autorizará esta medida en caso que se cumplan los supuestos previstos en este artículo, debiendo comunicar dicha autorización por la vía más expedita posible, sin perjuicio de remitir con posterioridad la resolución respectiva.

Si, a pesar de las medidas señaladas en este artículo, la información no fuere entregada, podrá ser requerida al representante legal y al gerente general de la empresa de que se trate, bajo apercibimiento de arresto.

La infracción a la mantención del listado y registro actualizado, por un plazo de dos años, de los antecedentes señalados en el inciso segundo será castigada según las sanciones y el procedimiento previsto en los artículos 36 y 36 A de la ley N° 18.168, General de Telecomunicaciones. El incumplimiento de las obligaciones de mantener con carácter secreto y adoptar las medidas de seguridad correspondientes de los antecedentes señalados en el inciso segundo, será sancionando con la pena prevista en el artículo 36 B letra f) de la ley N° 18.168, General de Telecomunicaciones.”.

Inciso primero

87.- Del Honorable Senador señor Pugh, para reemplazarlo por el siguiente:

“Artículo 219.- Copias de comunicaciones privadas y transmisiones. El juez de garantía podrá autorizar, a petición del fiscal, que cualquier empresa concesionaria de servicio público de telecomunicaciones que preste servicios a los proveedores de acceso a Internet y también estos últimos, facilite datos o informaciones acerca de las comunicaciones privadas transmitidas o recibidas por ellas, cuando existieren fundadas sospechas, basadas en hechos determinados, de que una persona hubiere cometido o participado en la preparación o comisión, o que ella preparare actualmente la comisión o participación en un hecho punible que mereciera pena de crimen, y la investigación lo hiciere imprescindible.”.

o o o o o

88.- Del Honorable Senador señor Pugh, para agregar a continuación del inciso primero un inciso nuevo, del siguiente tenor:

“El juez de garantía podrá autorizar, a petición del fiscal, que cualquier empresa concesionaria de servicio público de telecomunicaciones entregue las versiones que existieren de las transmisiones emitidas de radio, televisión u otros medios.”.

o o o o o

Inciso cuarto

89.- Del Honorable Senador señor Pugh, para suprimirlo.

Número 3)

90.- De los Honorables Senadores señores Araya, Harboe e Insulza, para sustituirlo por el que sigue:

“3) Reemplázase el artículo 222 por el siguiente:

“Artículo 222.- Intervención de las comunicaciones privadas. Cuando existieren fundadas sospechas, basadas en hechos determinados, de que una persona hubiere cometido o participado en la preparación o comisión, o que ella preparare actualmente la comisión o participación en un hecho punible que mereciere pena de crimen, y la investigación lo hiciere imprescindible, el juez de garantía, a petición del ministerio público, podrá ordenar la interceptación y grabación de sus comunicaciones telefónicas o de otras formas de telecomunicación.

La orden a que se refiere el inciso precedente sólo podrá afectar al imputado o a personas respecto de las cuales existieren sospechas fundadas, basadas en hechos determinados, de que ellas sirven de intermediarias de dichas comunicaciones y, asimismo, de aquellas que facilitaren sus medios de comunicación al imputado o sus intermediarios.

No se podrán interceptar las comunicaciones entre el imputado y su abogado, a menos que el juez de garantía lo ordenare, por estimar fundadamente, sobre la base de antecedentes de los que dejará constancia en la respectiva resolución, que el abogado pudiere tener responsabilidad penal en los hechos investigados.

La orden que dispusiere la interceptación y grabación deberá indicar circunstanciadamente el nombre y dirección del afectado por la medida y señalar la forma de la interceptación y la duración de la misma, que no podrá exceder de sesenta días. El juez podrá prorrogar este plazo por períodos de hasta igual duración, para lo cual deberá examinar cada vez la concurrencia de los requisitos previstos en los incisos precedentes.

Las empresas concesionarias de servicio público de telecomunicaciones que presten servicios a los proveedores de acceso a internet y también estos últimos, así como cualquier empresa que preste servicios de comunicación privada, deberán dar cumplimiento a esta medida, proporcionando a los funcionarios encargados de la diligencia las facilidades necesarias para que se lleve a cabo con la oportunidad con que se requiera. La negativa o entorpecimiento a la práctica de la medida de interceptación y grabación será constitutiva del delito de desacato.

Asimismo, los encargados de realizar la diligencia y los empleados de las empresas mencionadas en este inciso deberán guardar secreto acerca de la misma, salvo que se les citare como testigos al procedimiento. La infracción del deber de secreto de las personas antes señaladas, será sancionado con la pena de reclusión menor en sus grados mínimo a medio y multa de seis a diez unidades tributarias mensuales.

Si las sospechas tenidas en consideración para ordenar la medida se disiparen o hubiere transcurrido el plazo de duración fijado para la misma, ella deberá ser interrumpida inmediatamente.”.”.

91.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente:

“3) Reemplázase el artículo 222 por el siguiente:

“Artículo 222.- Interceptación de comunicaciones telefónicas y copias de datos de contenido.

Cuando existieren fundadas sospechas, basadas en hechos determinados, de que una persona hubiere cometido o participado en la preparación o comisión, o que ella preparare actualmente la comisión o participación en un hecho punible que mereciere pena de crimen, y la investigación lo hiciere imprescindible, el juez de garantía, a petición del ministerio público, podrá ordenar la interceptación, grabación o copia de sus comunicaciones telefónicas o de los datos contenidos en otras formas de comunicación.

La orden a que se refiere el inciso precedente sólo podrá afectar al imputado o a personas respecto de las cuales existieren sospechas fundadas, basadas en hechos determinados, de que ellas sirven de intermediarias de dichas comunicaciones y, asimismo, de aquellas que facilitaren sus medios de comunicación al imputado o sus intermediarios.

No se podrán interceptar las comunicaciones entre el imputado y su abogado, a menos que el juez de garantía lo ordenare, por estimar fundadamente, sobre la base de antecedentes de los que dejará constancia en la respectiva resolución, que el abogado pudiere tener responsabilidad penal en los hechos investigados.

La orden que dispusiere la interceptación, grabación o copia deberá indicar circunstanciadamente el nombre y dirección del afectado por la medida, y señalar la forma de la interceptación y la duración de la misma, que no podrá exceder de sesenta días. El juez podrá prorrogar este plazo por períodos de hasta igual duración, para lo cual deberá examinar cada vez la concurrencia de los requisitos previstos en los incisos precedentes.

Las empresas telefónicas y de comunicaciones deberán disponer de una persona que tendrá a su cargo, no necesariamente de forma exclusiva, dar respuesta a las solicitudes del Ministerio Público, debiendo tomar las medidas pertinentes para que dicho encargado cuente con las atribuciones y las competencias que le permitan entregar de manera expedita la información que sea requerida y darán cumplimiento a esta medida, proporcionando a los funcionarios encargados de la diligencia las facilidades necesarias para que se lleve a cabo con la oportunidad con que se requiera. La negativa o entorpecimiento a la práctica de la medida de interceptación y grabación será constitutiva del delito de desacato. Asimismo, los encargados de realizar la diligencia y los empleados de las empresas mencionadas en este inciso deberán guardar secreto acerca de la misma. Su incumplimiento será sancionando con la pena prevista en el artículo 36 B letra f) de la ley N° 18.168, General de Telecomunicaciones, salvo que se les citare como testigos al procedimiento y deban declarar en el mismo.

Si las sospechas tenidas en consideración para ordenar la medida se disiparen o hubiere transcurrido el plazo de duración fijado para la misma, ella deberá ser interrumpida inmediatamente.”.”.

Letra b)

Inciso quinto propuesto

92.- Del Honorable Senador señor Pugh, para reemplazar la frase "concesionarias de servicio público de telecomunicaciones que presten servicios a los proveedores de acceso a Internet y también estos últimos," por la siguiente: "de telecomunicaciones que provean servicios de acceso a Internet".

Inciso sexto propuesto

93.- Del Honorable Senador señor Pugh, para suprimir la expresión “y proveedores”.

94.- Del Honorable Senador señor Pugh, para reemplazar la frase "a efectos de una investigación penal en curso, por un plazo no inferior a dos años," por la siguiente: ", por el plazo de un año,".

95.- De las Honorables Senadoras señoras Rincón y Aravena, para sustituir la expresión “no inferior a dos años” por “de dos años”.

96.- De las Honorables Senadoras señoras Rincón y Aravena, para sustituir el texto que señala “un listado y registro actualizado de sus rangos autorizados de direcciones IP y de los números IP de las conexiones que realicen sus clientes o usuarios, con sus correspondientes datos relativos al tráfico, así como los domicilios o residencias de sus clientes o usuarios” por el siguiente: “las direcciones IP de conexión, IP de salida y los datos que indiquen el origen y el destino de la comunicación de usuarios o grupos de usuarios específicos que le sean expresamente solicitados por el Ministerio Publico en investigaciones que merezcan penas de crimen, no estando autorizados a guardar más registros ni datos que los que expresamente indica esta norma”.

97.- Del Honorable Senador señor Pugh, para eliminar la frase ", con sus correspondientes datos relativos al tráfico, así como los domicilios o residencias de sus clientes o usuarios".

98.- De las Honorables Senadoras señoras Rincón y Aravena, para reemplazar la expresión “artículos 36 y” por “artículos 36, números 1, 2 y 3 y”.

99.- De las Honorables Senadoras señoras Rincón y Aravena, para agregar la siguiente oración final: “Sin perjuicio de la pena de presidio menor en su grado medio a máximo que será aplicable a quienes ordenen, autoricen o efectúen el almacenamiento de datos personales de clientes o usuarios no autorizados por esta disposición o su almacenamiento por un plazo superior al previsto en ella.”.

Inciso séptimo propuesto

100.- Del Honorable Senador señor Pugh, y 101.- de las Honorables Senadoras señoras Rincón y Aravena, para eliminarlo.

o o o o o

102.- De Su Excelencia el Presidente de la República, para consultar un artículo nuevo, del siguiente tenor:

“Artículo ...- Intercálase, en el literal a) del inciso primero del artículo 27 de la ley N° 19.913, que crea la Unidad de Análisis Financiero y modifica diversas disposiciones en materia de lavado y blanqueo de activos, entre las expresiones “orgánica constitucional del Banco Central de Chile;” y “en el párrafo tercero del número 4° del artículo 97 del Código Tributario”, la oración “en el Título I de la ley que sanciona los delitos informáticos;”.

o o o o o

o o o o o

103.- De Su Excelencia el Presidente de la República, para incorporar el siguiente artículo, nuevo:

“Artículo ...- Agrégase en el inciso primero del artículo 36 B de la ley N° 18.168, General de Telecomunicaciones, el literal f) de la siguiente manera:

“f) Los que vulneren el deber de reserva o secreto previsto en los artículos 218 bis, 219 y 222 del Código Procesal Penal, mediante el acceso, almacenamiento o difusión de los antecedentes o la información señalada en dichas normas, serán sancionados con la pena de presidio menor en su grado máximo.”.”.

o o o o o

ARTÍCULOS TRANSITORIOS

ARTÍCULO TERCERO TRANSITORIO

103 bis.- De Su Excelencia el Presidente de la República, para sustituir el artículo tercero transitorio, por uno del siguiente tenor:

“Artículo tercero transitorio.- El artículo 18 de la presente ley comenzará a regir transcurridos seis meses desde la publicación en el Diario Oficial de un reglamento dictado por el Ministerio de Transportes y Telecomunicaciones, suscrito además por el Ministro del Interior y Seguridad Pública, que regulará el deber de mantención con carácter reservado de la información señalada en el numeral 2) de dicho artículo, así como la obligación de destrucción de la información y la adopción de medidas de seguridad dispuestos en el propio numeral 2).

El reglamento señalado en el inciso anterior deberá dictarse dentro del plazo de seis meses, contado desde la publicación de la presente ley en el Diario Oficial.”.

o o o o o

104.- De las Honorables Senadoras señoras Rincón y Aravena, para agregar un artículo transitorio, nuevo, del siguiente tenor:

“Artículo…- La obligación de mantención de datos por parte de las empresas de telecomunicaciones a que se refiere el artículo 222, inciso sexto, sólo entrará en vigencia hasta que se encuentre vigente una legislación especial sobre protección de datos personales que precise el objeto y ámbito de aplicación de la retención de datos; identifique sus finalidades; determine las categorías de datos sometidos a retención; delimite la obligación de retención y el ejercicio del acceso de datos por parte de la autoridad o el Ministerio Público; establezca deberes de protección y seguridad de los datos junto con mecanismos de control; regule el ejercicio de los derechos de los titulares de datos personales; indique los requisitos que regirán para el almacenamiento de los datos, y contemple recursos judiciales y responsabilidades civiles, penales y administrativas ante el incumplimiento de obligaciones por parte de los prestadores.”.

o o o o o

ACTUALIZACIÓN DE LEGISLACIÓN CHILENA EN MATERIA DE DELITOS INFORMÁTICOS Y CIBERSEGURIDAD

El señor DE URRESTI ( Vicepresidente ).-

Proyecto de ley, iniciado en mensaje de Su Excelencia el Presidente de la República , en primer trámite constitucional, que establece normas sobre delitos informáticos, deroga la ley N° 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al Convenio de Budapest, con segundo informe de la Comisión de Seguridad Pública y urgencia calificada de "simple".

--Los antecedentes sobre el proyecto (12.192-25) figuran en los Diarios de Sesiones que se indican:

Proyecto de ley:

En primer trámite: sesión 65ª, en 7 de noviembre de 2018 (se da cuenta).

Informes de Comisión:

Seguridad Pública: sesión 87ª, en 9 de enero de 2019.

Seguridad Pública (segundo): sesión 102ª, en 28 de enero de 2020.

Discusión:

Sesión 2ª, en 13 de marzo de 2019 (se aprueba en general).

El señor DE URRESTI (Vicepresidente).-

Tiene la palabra el señor Secretario.

El señor GUZMÁN ( Secretario General ).-

La Comisión de Seguridad Pública deja constancia, para los efectos reglamentarios, de que los artículos 8°, 14, 17 y 21 permanentes, y los artículos primero y segundo transitorios de la iniciativa no fueron objeto de indicaciones ni de modificaciones.

Estas disposiciones deben darse por aprobadas, salvo que alguna señora Senadora o algún señor Senador , con el acuerdo unánime de los presentes, solicite su discusión y votación.

Cabe señalar que el mencionado artículo 14 requiere para su aprobación de 25 votos favorables, por ser una norma de rango orgánico constitucional.

Asimismo, debe darse por aprobado el artículo 11 de la iniciativa, el cual no fue objeto de modificaciones en el segundo informe.

La Comisión de Seguridad Pública efectuó diversas enmiendas al texto aprobado en general, todas las cuales fueron aprobadas por unanimidad.

Es preciso recordar que estas enmiendas unánimes deben ser votadas sin debate, salvo que alguna señora Senadora o algún señor Senador manifieste su intención de impugnar la proposición de la Comisión respecto de alguna de ellas o existieren indicaciones renovadas. De las enmiendas unánimes, las referidas a los artículos 9°, inciso tercero, y 12 de la iniciativa, así como los artículos 218 bis y 219 contenidos en los numerales 1) y 2), respectivamente, del artículo 18 del proyecto de ley, requieren para su aprobación de 25 votos favorables, por tratarse de normas de rango orgánico constitucional.

Sus Señorías tienen a la vista un boletín comparado que transcribe el texto aprobado en general, las enmiendas realizadas por la Comisión de Seguridad Pública y el texto como quedaría de aprobarse estas modificaciones.

Es todo, señor Presidente.

El señor DE URRESTI ( Vicepresidente ).-

Gracias, señor Secretario .

En discusión particular el proyecto.

Vamos a dar la palabra al Senador Harboe para el informe correspondiente.

Les recuerdo a los señores Senadores y las señoras Senadoras que hay normas de quorum especial, por lo que vamos a tocar los timbres para los efectos de proceder a su votación. Cabe aprobar primero aquellas enmiendas que no han sido objeto de indicaciones ni de modificaciones, así como las que fueron acordadas por unanimidad.

Necesitamos 25 votos para ello.

Senador Harboe, tiene la palabra.

El señor HARBOE.-

Muchas gracias, señor Presidente.

El presente proyecto de ley, que cumple su primer trámite constitucional, tiene por objeto actualizar la legislación chilena en materia de delitos informáticos y ciberseguridad, y adecuarla tanto a las exigencias del Convenio sobre la Ciberdelincuencia del Consejo de Europa, conocido como "Convenio de Budapest", del cual Chile es parte, cuanto a la evolución de las tecnologías de la información y la comunicación. Todo ello, para dar un tratamiento más comprensivo del contexto en que se cometen estos ilícitos y subsanar la carencia de medios suficientes para su investigación.

La iniciativa legal tipifica una serie de conductas, permitiendo una adecuación de nuestra legislación a la evolución informática. Estos tipos son los siguientes: el ataque a la integridad de un sistema informático, el acceso ilícito, la interceptación ilícita, el ataque a la integridad de los datos informáticos, la falsificación informática, el fraude informático y el abuso de dispositivos. Asimismo, se incorporó una nueva figura relativa a la receptación de datos, que sanciona a quien, conociendo su origen o no pudiendo menos que conocerlo, almacene, a cualquier título, datos informáticos provenientes de acceso ilícito, interceptación ilícita y falsificación informática.

En este mismo sentido, el proyecto de ley establece una serie de circunstancias modificatorias de la responsabilidad. En efecto, establece la cooperación eficaz como circunstancia atenuante especial, que permite rebajar la pena hasta en un grado, siempre que conduzca al esclarecimiento de hechos investigados que sean constitutivos de alguno de los delitos previstos en esta ley o permita la identificación de sus responsables; o sirva para prevenir o impedir la perpetración o consumación de otros delitos de igual o mayor gravedad contemplados en esta ley.

Por otra parte, considera como circunstancias agravantes cometer el delito abusando de una posición de confianza en la administración del sistema informático o custodio de los datos informáticos contenidos en él, en razón del ejercicio de un cargo o función; o bien, abusando de la vulnerabilidad, confianza o desconocimiento de niños, niñas, adolescentes o adultos mayores.

En materia de procedimiento, esta iniciativa de ley dispone que las investigaciones a que dieren lugar los delitos previstos en esta ley también podrán iniciarse por querella del Ministro del Interior y Seguridad Pública , de los delegados presidenciales regionales y de los delegados presidenciales provinciales, cuando las conductas señaladas en esta ley interrumpieren el normal funcionamiento de un servicio de utilidad pública.

Esto es de mucha importancia.

Asimismo, cuando la investigación lo hiciere imprescindible y existieren fundadas sospechas, basadas en hechos determinados, de que una persona hubiere cometido o participado en la preparación o comisión de algunos de los delitos contemplados en esta ley, el juez de garantía, a petición del Ministerio Público, podrá ordenar la realización de las técnicas previstas y reguladas en los artículos 222 a 226 del Código Procesal Penal. De igual forma, cumpliéndose los requisitos señalados precedentemente, el juez de garantía, a petición del Ministerio Público, podrá ordenar a funcionarios policiales actuar bajo identidad supuesta en comunicaciones mantenidas en canales cerrados de comunicación, con el fin de esclarecer los hechos tipificados como delitos en esta ley; establecer la identidad y participación de personas determinadas en la comisión de ellos, impedirlos o comprobarlos.

En seguida, el proyecto de ley prescribe que caerán especialmente en comiso los instrumentos de los delitos penados en esta ley, los efectos que de ellos provengan y las utilidades que hubieren originado, cualquiera que sea su naturaleza jurídica. A su vez, dispone que los antecedentes de investigación que se encuentren en formato electrónico y estén contenidos en documentos electrónicos o sistemas informáticos, o que correspondan a datos informáticos, serán tratados en conformidad a los estándares definidos para su preservación o custodia en el procedimiento respectivo, de acuerdo a las instrucciones generales que al efecto dicte el Fiscal Nacional.

Para efectos de lo previsto en materia de acceso ilícito, se entenderá que cuenta con autorización para el acceso a un sistema informático el que, en el marco de investigaciones de vulnerabilidad o para mejorar la seguridad informática, acceda a él mediando la autorización expresa del titular.

Es decir, aquí se ha dado una debida protección a los investigadores, que son aquellos que realizan experimentos o acciones destinados justamente a mejorar las tecnologías.

En cuanto a la preservación provisoria de datos informáticos, se establece que el Ministerio Público, con ocasión de una investigación penal, podrá requerir a cualquier proveedor de servicio, la conservación o la protección de datos informáticos o informaciones concretas incluidas en un sistema informático, que se encuentren a su disposición hasta que se obtenga la respectiva autorización judicial -como corresponde- para su eventual entrega. Los datos se conservarán durante un período de 90 días, prorrogable una sola vez, hasta que se autorice la entrega o se cumplan 180 días. La empresa requerida estará obligada a prestar su colaboración y guardar secreto del desarrollo de esta diligencia.

En relación con las copias de comunicaciones, transmisiones y datos informáticos, la iniciativa legal dispone que el Ministerio Público podrá requerir, en el marco de una investigación penal en curso, a cualquier proveedor de servicios que ofrezca servicios en territorio chileno, que facilite los datos de suscriptor que posea sobre sus abonados, así como también la información referente a las direcciones IP utilizadas por estos. Del mismo modo, podrá solicitar la entrega de las versiones que existieren de las transmisiones de radio, televisión u otros medios públicos. A su vez, los proveedores de servicios deberán mantener el secreto de esta solicitud. Asimismo, el Ministerio Público también podrá requerir a cualquier proveedor de servicios, previa autorización siempre del juez, que entregue la información que tenga almacenada relativa al tráfico y el contenido de comunicaciones de sus abonados, referida al periodo de tiempo determinado establecido por resolución judicial.

En este mismo orden de ideas, las empresas concesionarias de servicios públicos de telecomunicaciones y proveedores de internet deberán mantener, con carácter reservado y adoptando las medidas de seguridad correspondientes, a disposición del Ministerio Público a efectos de una investigación penal, por un plazo de un año, un listado y registro actualizado de sus rangos autorizados de direcciones IP y de los números IP de las conexiones que realicen sus clientes o usuarios, con sus correspondientes datos relativos al tráfico, así como los domicilios o residencias de sus clientes o usuarios. Transcurrido el plazo máximo de mantención de los datos señalados precedentemente, las empresas y proveedores deberán destruir en forma segura dicha información.

Por su parte, la infracción a la mantención del listado y registro actualizado, por un plazo de un año, de los antecedentes señalados será castigada según las sanciones y el procedimiento previsto en los artículos 36 y 36 A de la ley N° 18.168, General de Telecomunicaciones (amonestación, multa, suspensión del permiso y caducidad). A su vez, aquellos que vulneren el deber de reserva o secreto previsto en los artículos 218 bis, 219 y 222 del Código Procesal Penal, mediante el acceso, almacenamiento o difusión de los antecedentes o la información señalados en dichas normas, serán sancionados con la pena de presidio menor en su grado máximo.

En consecuencia, señor Presidente , esta iniciativa legal viene en adecuar nuestra legislación al vertiginoso avance de la tecnología, tipificando detalladamente una serie de conductas, resguardando la investigación científica en esta materia. Asimismo, establece normas procedimentales que permiten al Ministerio Público llevar a cabo su labor investigativa, resguardando las garantías fundamentales de las personas.

En consecuencia, señor Presidente , la Comisión de Seguridad recomienda a la Honorable Sala aprobar esta iniciativa legal.

He dicho.

El señor MOREIRA.-

¿Me permite, señor Presidente?

El señor DE URRESTI (Vicepresidente).-

Sí, señor Senador.

El señor MOREIRA.-

Me quedó muy clara la intervención del Senador Harboe. Muchas Gracias. Fue muy explicativa.

Deseo solicitar que se abra la votación, porque hay normas de quorum especial, para avisarle a la gran cantidad de parlamentarios que se encuentran en las distintas Comisiones que están funcionando en este minuto, luego de comenzar un año laboral muy interesante y quizás estresante...

El señor DE URRESTI ( Vicepresidente ).-

¿Habría acuerdo para hacer una sola votación, con los quorum que se requieren?

Acordado.

En votación.

--(Durante la votación).

El señor DE URRESTI (Vicepresidente).-

Tiene la palabra el Senador señor Pugh.

El señor PUGH.-

Señor Presidente, me alegra que hoy, cuando estamos retomando nuestra actividad legislativa, se haya puesto en tabla este proyecto, que viene a salvar algo en lo que estábamos atrasados.

Chile es el país que más ha avanzado en desarrollo digital, en conectividad móvil, en acceso a internet, incluso de alta velocidad, pero es el que se quedó más atrasado en materias como la definición del delito informático y la protección de la infraestructura, incluyendo la infraestructura crítica y, dentro de ella, la infraestructura crítica de la información.

Hoy estamos presenciando una puesta al día en una materia en que Chile estaba al debe.

En el Gobierno anterior, cuando se realizó la política nacional de ciberseguridad, uno de los temas que se destacaron fue precisamente cómo perseguir el ciberdelito. Por esa razón, en el mismo momento en que se promulgó la política nacional de ciberseguridad, se incorporó el Convenio de Budapest para perseguir el cibercrimen como parte de nuestro marco jurídico, que era necesario homologarlo a una ley de delitos informáticos.

Esta normativa, que ingresó el 25 de octubre -y me alegro, porque fue durante el mes de la ciberseguridad-, fue tramitada en la Comisión de Seguridad con todos los expertos de nuestro país.

Quiero destacar -por su intermedio, señor Presidente - la labor del Presidente de la Comisión de Seguridad, el Senador Felipe Harboe, quien convocó a todos los que tenían que opinar. Y no solo recibimos a expositores nacionales, sino que también tuvimos la oportunidad, no necesariamente en la Comisión, de escuchar las experiencias de especialistas internacionales.

Debo recordar que durante ese período recibimos la visita de la Fiscal Jefe en ciberdelito de España, Elvira Tejada , quien revisó la iniciativa y dio bastantes orientaciones para llegar a lo que tenemos hoy, que es el primer acuerdo de una nueva forma de enfrentar algo tan complejo y difícil como el ciberespacio y los delitos que se pueden cometer ahí.

¿Y por qué? Porque estamos acostumbrados a los delitos físicos. El problema es cómo se hace un paralelo de la mejor forma posible con el mundo virtual. Y cuando existe un delito, obviamente debe haber evidencia necesaria para poder perseguirlo. Sin ella, su persecución es imposible.

Esto requiere dos elementos. Primero, tener la capacidad tecnológica, establecer un sitio de suceso digital, disponer de evidencia digital y cadena de custodia digital. Y lo más importante es contar con policías especializadas que sean capaces de llevar adelante estos procesos.

Señor Presidente, por su intermedio, el Secretario General conoce muy bien estos temas. A él le tocó enfrentarlos y abordarlos y por eso advierte la importancia que tiene este proyecto para Chile hoy, cuando estamos de regreso en este Hemiciclo.

¿Qué va a permitir la normativa? Perseguir a delincuentes y criminales, no a los hackers.

Y deseo referirme a la comunidad hacker chilena. Los hackers son personas talentosas, hombres y mujeres; conozco a muchísimos de ellos. Son capaces de desarmar y entender cómo funcionan las cosas. Y gracias a eso nos advierten sobre distintos problemas.

No son crackers. Estos últimos son delincuentes, los que usan su conocimiento para perseguir un fin económico, un fin específico, quizás hasta para demostrar su superioridad. Y con eso son capaces de producir daño; un daño que está dirigido a elementos esenciales. Ejemplo de ello son los datos personales, la información sensible o los datos que no queremos que se conozcan y también la infraestructura crítica.

Hoy nuestros servicios dependen de estos sistemas interconectados: electricidad, agua, gas, transporte, cualquiera de ellos.

Obviamente, nos falta una ley de infraestructura crítica para sistematizar la forma de protegerla. Pero por lo pronto debemos definir quién realmente es un atacante, quién es un delincuente y quién está haciendo un uso malicioso de la tecnología.

La tecnología digital no es ni buena ni mala; es neutra. Todo va a depender de cómo se use.

Quizá uno de los puntos más difíciles de tratar en la discusión fue precisamente determinar eso: quiénes estaban actuando de buena fe y quiénes de mala fe.

Por esa razón, el acceso ilícito, considerado en el artículo 2°, fue el que más tiempo tomó.

Tuvimos académicos de diferentes universidades, doctores en Derecho con experiencia informática y personas del mundo hacker, con conocimiento, para definir la línea que es importante entender.

¿Dónde está el límite? Precisamente en donde empieza la información personal, a la cual no se puede acceder aunque se haya descubierto una vulnerabilidad. Este punto es lo que debemos entender.

Los sistemas tienen protecciones y la seguridad asociada está para protegernos a nosotros.

Existirán distintos métodos y formas. Hay empresas que incluso premian con programas de recompensa a aquellos que encuentran fallas en sus sistemas y deciden no denunciarlos porque estiman que efectivamente contribuyen.

Esa gente que lo hace por un bien, ayuda. Pero a los delincuentes, a los criminales, a aquellos que buscan una remuneración económica, un prestigio a costa de cualquier cosa, una venganza o incluso un ataque que tenga algún contenido político, se los debe perseguir.

Entonces, el problema es determinar la atribución. ¿Quién está detrás? ¿Quién está generando esto? ¿Cómo se hizo?

Por eso se fueron definiendo cada una de las diferentes etapas. Todo lo que significa la perturbación informática, la interceptación ilícita, quiénes pueden interceptar y quiénes no.

Hoy se habla de ciberinteligencia, de big data. Y hay análisis al respecto.

Quiero recordar que existe cierta información que no puede ser tratada. ¿Por qué? Porque solo lo pueden hacer las agencias, de acuerdo a la ley N° 19.974 -es decir, el sistema de inteligencia nacional-, o los fiscales, a través de las policías, con instrucciones precisas para investigar.

Por lo tanto, no todo el mundo, aunque tenga las herramientas que hoy están disponibles, lo puede hacer.

También está el daño informático: el destruir, el encriptar, el ransomware, todo lo que evite que la información pueda ser usada por los verdaderos usuarios; la falsificación informática; el fraude digital; el robo de identidad, todo aquello que permita suplantar personas para no solo efectuar transacciones digitales, electrónicas, comerciales, sino también suplantarlas en el mundo virtual de las redes personales, de las redes sociales y generarles problemas de reputación. La reputación, que es algo que todos aquí, en este Senado, tenemos que cuidar, puede ser destruida por un hacker cracker, usando mal la tecnología, y después no se puede recuperar.

Además, se contempla la situación de quienes obtienen datos para negociarlos, venderlos, ya sea que hayan sido obtenidos de forma interna o por filtración.

Se establece la figura de la receptación de datos: se va a perseguir a aquellos que han hecho mal uso de ellos, que han recibido la información. Tal como en el mundo de verdad, la receptación será también perseguida.

Se considera igualmente el fraude informático, cometido por los que engañan: el phishing.

Hoy en día debemos estar preparados para todas estas técnicas, porque es el mundo que nos toca enfrentar.

Por último, está el abuso de dispositivos. En la red existen demasiados dispositivos que permiten entender cómo funcionan los sistemas, pero también abrirlos. Son las "ganzúas electrónicas", que en la actualidad están disponibles en el mercado.

Se ha realizado un trabajo realmente bueno. Tuve la fortuna de participar, reemplazando al Senador Felipe Kast , en la Comisión de Seguridad Pública, y ver la metodología y la forma sistemática utilizadas para tener una ley ordenada, que es uno de los compromisos para el 2020. Tal como lo dije en mi intervención anterior, este año tenemos que sacar adelante la ley de protección de datos personales, con una agencia de protección de datos, con la máxima autonomía que le podamos dar, como también esta ley de delitos informáticos, para perseguirlos, porque no queremos que los delincuentes generen, en el mundo virtual, la catástrofe que uno puede ver en el mundo real.

El ciberespacio es el lugar que permite a todos alcanzar cosas insospechadas: conocimiento, trabajo, oportunidades. Por lo tanto, tenemos que cuidarlo. ¿Por qué? Porque ese esfuerzo colectivo que hace no solo Chile, sino también todos los países del mundo a través del Convenio de Budapest, va a permitir contar con un ciberespacio seguro que las futuras generaciones podrán desarrollar mucho mejor que como lo hemos hecho nosotros hasta ahora.

Por eso, señor Presidente, voto a favor. Y felicito a quienes trabajaron esta iniciativa.

He dicho.

El señor DE URRESTI (Vicepresidente).-

Muchas gracias.

Se reitera a los jefes de Comités avisar a los Senadores que están en las distintas Comisiones que concurran a la Sala, pues la votación ya está abierta.

A continuación, tiene la palabra el Senador José Miguel Insulza.

El señor INSULZA.-

Señor Presidente , la legislación que estamos discutiendo hoy tiene por objeto implementar un convenio internacional suscrito originalmente en la Unión Europea el año 2001 y al cual accedieron posteriormente la mayor parte de los países que llevan el liderazgo en materia de cibernética en el mundo. Chile, como se ha dicho acá, lo hizo el 2017. Y, por lo tanto, esta normativa persigue como objetivo implementar tanto las disposiciones como las sanciones establecidas en dicho Convenio, de manera de armonizar nuestra legislación penal con la legislación internacional, específicamente con la legislación penal de otros países que también lo suscribieron.

En consecuencia, esta es una tarea titánica. Si bien el desarrollo, como dijo el Senador Harboe, es vertiginoso, no siempre es igualmente vertiginosa la adecuación de nuestros sistemas penales a tal desarrollo. Siempre vamos a estar, probablemente, un paso más atrás, porque los delitos, los fraudes, los robos, etcétera, ya existen en nuestra legislación penal, pero era difícil imaginar cómo perpetrarlos usando técnicas digitales.

En definitiva, creo que el trabajo realizado en esta materia enfrenta el obstáculo imponente de que la digitalización es un proceso en marcha, en el cual también están en marcha los métodos que algunas personas ocupan para usarlo de manera indebida y tratar de cometer delitos.

Es importante recalcar la manera en que se ha extendido el Convenio. Ciertamente, se trata de un instrumento vinculado con los delitos informáticos, con la ciberseguridad, pero que asimismo tiene por objeto atacar problemas que son de nuestro tiempo. En este sentido, hay un protocolo anexo interesante, importante, del año 2006, que sanciona los delitos de racismo y de xenofobia, bastante comunes y para los cuales se usa muchísimo el material cibernético que poseen los distintos países.

Es relevante destacar, además, la dificultad que depara una legislación como esta, no solo por su mismo contenido, sino también por su extensión. Se introducen enmiendas sustantivas y se reformulan los tipos penales comprendidos actualmente en la ley 19.223, adecuándolos al Convenio de Budapest, que requiere sanciones en todos sus acápites: la interceptación ilícita de transmisiones no públicas entre sistemas informáticos; la captación ilícita de datos transportados por emisiones electromagnéticas; la falsificación informática (delito que se expande extraordinariamente a través del uso de los medios informáticos por parte de gente que los conoce y que sabe bien de qué manera usarlos, probablemente mejor que quienes los utilizan legalmente); el fraude informático; el abuso de dispositivos.

Todos aquellos son temas que están en esta legislación, junto con normas que tienen que ver, por cierto, con las circunstancias -como corresponde en cualquier legislación penal- modificatorias de la responsabilidad criminal, con reglas de procedimiento y con otros aspectos.

Por lo tanto, señor Presidente , creo que estamos poniendo al día nuestra legislación en esta materia, o poniéndola parcialmente al día, porque no me cabe duda de que, a pesar de que hemos estado trabajando varios años en esta normativa, desde que se aprobó y desde que adherimos al Convenio de Budapest deben haberse inventado gran cantidad de procedimientos y artilugios que tal vez no quedarán considerados en esta legislación. Esta es una batalla en marcha, que seguirá estando en marcha a lo largo de toda la revolución industrial que vive el mundo.

Ojalá hubiésemos aprobado en paralelo un convenio aún pendiente que -me dice el Senador Harboe- se encuentra ahora en la Comisión de Hacienda, como es el relativo a la protección de datos personales. Aquí estamos legislando sobre los tipos penales antes de establecer antídotos y otras formas de protección, pero creo que seguiremos trabajando en esta materia con toda la seriedad que le corresponde a este Senado.

Quiero felicitar aquí sobre todo al Senador Harboe, no solamente por ser el Presidente de la Comisión , sino por haber sido realmente quien mayor entusiasmo y esfuerzo puso para sacar adelante esta iniciativa, así como a los numerosos expertos que nos colaboraron y sin cuya ayuda los Senadores probablemente no habríamos entendido muchas de las ideas planteadas en el proyecto de ley.

Por todas esas razones, señor Presidente , voto a favor, esperando que reunamos los votos para aprobar la iniciativa con el correspondiente quorum, porque aborda un asunto que se halla pendiente desde hace bastante tiempo, en el cual hemos trabajado bastante en los últimos años, y que es lo que el país necesita en el universo digital del cual formamos parte hoy día.

Muchas gracias.

El señor DE URRESTI (Vicepresidente).-

Tiene la palabra el Senador Víctor Pérez.

El señor PÉREZ VARELA.-

Señor Presidente , me sumo a los señores Senadores que en este debate han expresado que la Comisión de Seguridad Pública efectuó un trabajo verdaderamente acucioso en una materia que, como acaba de indicar el Senador Insulza, se encuentra en marcha.

Todo lo que es el desarrollo tecnológico, todo lo que es el desarrollo de la industria digital, nadie puede concluir que está finalizado o se encuentra próximo a finalizar. Día a día uno conoce elementos que lo sorprenden: nuevos procedimientos, nuevas formas de ejecución, nuevas aplicaciones que le llegan a la ciudadanía de manera permanente, ya en su vida cotidiana.

Pese a la complejidad de este proyecto, la población debe tener especial preocupación porque muchas de las cosas que hace en su vida cotidiana y en su accionar diario ya están en el mundo digital. Por lo tanto, esta legislación, trabajada bajo el liderazgo del Presidente de la Comisión de Seguridad Pública , Senador Felipe Harboe , y con el aporte de numerosos expertos, pretende proteger a la sociedad de delitos y acciones ilícitas que pueden generar grave daño, primero, a las personas individualmente consideradas, en sus cuentas corrientes, en sus datos personales, en los procedimientos básicos de su vida diaria, así como a la ciudadanía en su conjunto, cuando acciones criminales ocasionan daños a la infraestructura crítica del país.

En consecuencia, en una área tan compleja como esta, en la que a lo mejor muchos no tienen absoluta claridad respecto de qué se está discutiendo, conviene puntualizar que el proyecto busca proteger a la ciudadanía y sancionar a quienes utilizan el mundo digital para delinquir y actuar de manera ilícita, dañando ya sea a personas individuales o a la comunidad en general.

Sin duda, la primera gran dificultad en esta materia es cómo tipificar los ilícitos penales informáticos. El vértigo que genera el progreso tecnológico hace que elementos que el día de ayer parecían muy modernos estén absolutamente pasados de moda en una semana o en un mes más. Y las distintas aplicaciones que se usan a través del aparato celular permiten que la gente se incorpore cada vez con más fuerza al mundo digital.

En consecuencia, teníamos esa dificultad: determinar con precisión cuáles eran esos delitos, cuál es el procedimiento con el cual se podrían investigar y cuáles son las sanciones que se les podrían aplicar. En todo caso, este proyecto posee la visación de expertos a nivel internacional, puesto que incluso se trabajó con especialistas de la Organización de Estados Americanos.

Voy a ilustrar a la Sala sobre la dificultad de tipificar los delitos de los que estamos hablando.

Originalmente se hablaba de "perturbación informática". En la Comisión concluimos, en definitiva, que el delito es el "ataque a la integridad de un sistema informático". ¿Qué se pretende cuando se genera un ilícito denominado de esa forma? Que el bien jurídico protegido sea el normal funcionamiento de un sistema informático.

En primer lugar, la indicación adecúa el epígrafe del título de la norma, que ahora pasa a denominarse "Ataque a la integridad de un sistema", por cuanto la Comisión prefirió seguir la nomenclatura del Convenio de Budapest, que es el instrumento internacional que nos obliga a avanzar en este ámbito.

¿Qué otros delitos se establecen?

El "acceso ilícito". El artículo 2° sanciona a quienes accedan ilícitamente a un sistema informático. La norma se modificó para acoger los comentarios tanto de la Excelentísima Corte Suprema como de los expertos que expusieron en la Comisión de Seguridad Pública. Así, se agrega como requisito, para configurar el delito, que quien acceda ilícitamente lo haga, primero, "sin autorización o excediendo la que posea y superando las barreras o medidas de seguridad". Esta última parte fue recomendada por el Máximo Tribunal. Con ello se pretende evitar que se extienda la aplicación del delito al acceso que únicamente configura un incumplimiento contractual sobre las condiciones del sistema. Luego, ahora se aumenta el estándar de acceso reprochable, exigiendo, además de la falta de autorización, la superación de barreras o medidas de seguridad.

Otro delito que se incorpora, señor Presidente , en este caso en el artículo 3°, es la "interceptación ilícita". La norma contiene, en sus incisos primero y segundo, respectivamente, las hipótesis de interceptación de información de un sistema informático y la captación de datos contenidos en el mismo. En un primer término, y siguiendo comentarios de expertos que expusieron en la mesa de trabajo, la indicación intentó perfeccionar la técnica legislativa, incluyendo como verbo rector, en esta hipótesis de interceptación, la "interrupción" de la transmisión de información en un sistema informático. En el mismo sentido se aclara, mediante la nueva redacción, que esta interceptación puede ocurrir "entre dos o más" sistemas para evitar interpretaciones restrictivas.

Otro delito penal es el "daño informático", el cual figura en el artículo 4° del proyecto. ¿Qué sanciona esta disposición? Sanciona la alteración ilícita de los datos informáticos. Con la modificación se adecúa el delito, denominándose ahora "Ataque a la integridad de los datos informáticos" con el objeto de mantener coherencia con la terminología del Convenio de Budapest. Igualmente, se agrega que la alteración o el daño debe ocurrir ilegítimamente, siguiendo los criterios asentados por la Excelentísima Corte Suprema, que fue de la opinión de que el daño debía producirse "por una persona no legitimada para hacerlo", lo que permitía distinguir entre la conducta de un administrador u operador de un sistema -que puede eliminar datos en el ejercicio de sus funciones- del delincuente. Creemos que esta modificación avanza en el sentido correcto.

Otra tipificación incorporada es la "falsificación informática". Esta es una de las indicaciones mayores al texto original. Tras el análisis de la Corte Suprema y de distintos expertos, se consideró que lo que en realidad se sanciona es la generación de datos "no auténticos" en un sistema para que sean contenidos como reales. Así, con la nueva regulación se sancionaría a quien alterara la base de datos del Registro Civil para que este emitiera un documento electrónico de la institución, como sería un certificado, a efectos de que fuera tenido y utilizado como auténtico.

Este ejemplo ratifica la importancia de la nueva tipificación, pues no hay duda de que el Registro Civil presenta un uso masivo por parte de la ciudadanía. Además, existe un gran avance en términos digitales, ya que basta la clave única para que un ciudadano pueda solicitar digitalmente una serie de documentos no solo al Registro Civil . La clave única se va a ir transformando, en forma progresiva, en algo mucho más importante, incluso, que el RUT.

Otros delitos considerados son la "receptación de datos", el "fraude informático" y el "abuso de los dispositivos", fuera del establecimiento de circunstancias atenuantes especiales y agravantes, lo que demuestra que se realizó un trabajo técnico especializado con muchos expertos y extraordinariamente complejo.

La labor acuciosa de la Comisión avanza en una respuesta adecuada para proteger a la ciudadanía y las personas y, sobre todo, instaurar procedimientos que permitan perseguir a los delincuentes y, en definitiva, generar una institucionalidad que impida que ellos utilicen el mundo informático para cometer sus crímenes y delitos.

Por eso, aprobamos el proyecto.

El señor DE URRESTI (Vicepresidente).-

Tiene la palabra la Senadora Carmen Gloria Aravena.

La señora ARAVENA.-

Señor Presidente , quiero felicitar a la Comisión de Seguridad Pública por el trabajo realizado. Leí con mucho detalle el proyecto y creo que va mucho más allá de su texto original: prácticamente sienta las bases de los delitos informáticos en Chile y nos pone a la altura del Convenio que firmamos.

A quienes nos están escuchando, a la comunidad en sus casas, quiero decirles que el Senado ha tramitado de manera pronta un tema muy complejo, que permite hacernos cargo de un país que se encuentra absolutamente digitalizado: más del 85 por ciento de las familias chilenas tiene acceso a internet. Lamentablemente, así como hay personas de trabajo y de bien, hay otras que buscan la manera de hacer daño y delinquir utilizando diferentes herramientas.

Hoy día el mundo va hacia lo digital y Chile es un país moderno que ha firmado varios convenios en ese ámbito. En tal sentido, hay que valorar el trabajo realizado por el Ministerio de Relaciones Exteriores, durante todos los gobiernos, porque, sin duda, si queremos exportar y abrirnos al mundo, también tenemos que cumplir las normativas que ese mundo va instalando y acordando.

Por lo tanto, felicito el trabajo realizado.

No voy a analizar en detalle el proyecto, porque ya lo hicieron mis antecesores, pero sí quiero valorar las dos iniciativas que hemos visto el día de hoy, tanto la anterior, relacionada con fraudes bancarios, como la actual, que, sin duda, han implicado un trabajo muy muy complejo. Esto significa que vamos por el camino correcto y que el Senado se está haciendo cargo rápidamente de los problemas que afectan a la gente, los cuales nos colocan en la tramitación de normativas que deben estar acordes con los tiempos.

Solamente quería manifestar eso, señor Presidente.

Anunció que votaré a favor, y quiero felicitar el trabajo no solo de la Comisión, sino también de los funcionarios de Gobierno y de los expertos que voluntariamente vinieron a apoyar para el tratamiento de las áreas específicas.

Muchas gracias.

El señor DE URRESTI (Vicepresidente).-

Tiene la palabra a continuación el Senador Felipe Harboe.

El señor HARBOE.-

Señor Presidente , la intervención anterior la realicé en mi calidad de Presidente de la Comisión , en que me tengo que limitar a leer el informe, pero no quiero dejar pasar la oportunidad para manifestar que probablemente estamos en presencia de uno de los proyectos que tendrán mayor impacto en los próximos tiempos, en términos muy prácticos.

Lo veíamos en la iniciativa anterior: hay más de 170 millones de transacciones electrónicas, lo confirmamos a diario, y todas las instituciones (nosotros mismos estamos votando ahora digitalmente) hemos asumido una cultura de digitalización creciente. Y no siempre se adoptan las medidas adecuadas de ciberseguridad para proteger las transacciones, sea de datos o de recursos, que se hacen a través de sistemas informáticos.

Pero lo más complejo era que, adicionalmente a esta falta de cultura de ciberseguridad o de inversión adecuada en ciberseguridad, teníamos una legislación del año 1993. En 1993, si ustedes lo recuerdan, archivábamos documentos en diskettes. No existía Facebook, no había redes sociales. Esa era la realidad en 1993. Los teléfonos celulares eran más grandes -¿se acuerdan?- y no había transmisión de datos en los aparatos, sino más bien solo transmisión de voz.

En consecuencia, nuestra legislación se quedó completamente desfasada. Y lo que hemos hecho en la Comisión de Seguridad del Senado, con la cooperación activa de funcionarios de Gobierno y de expertos académicos y también de las policías, es actualizar nuestra legislación, tal como nos mandataba el Convenio de Budapest, del cual somos parte. Pero quisimos ir más allá. Y, si ustedes observan las normas que contiene el proyecto de ley que estamos aprobando, se percatarán de que ellas nos ubican dentro de los países con legislaciones más modernas en materia del combate a los delitos informáticos.

En la iniciativa contemplamos elementos tales como el ataque a la integridad de sistemas informáticos, que es distinto del acceso ilícito; la interceptación ilícita; el ataque a la integridad solo de datos, no de sistemas; la falsificación informática; la receptación de datos; el fraude informático; el abuso de dispositivos. Son todas figuras completamente distintas, que parecieran, para el que no conoce mucho el asunto, que son más o menos lo mismo. Y cada una constituye una acción absolutamente diferente.

Y como bien saben todos ustedes, en materia penal, para que exista sanción debe existir una descripción del tipo penal. Y acá hemos hecho precisamente descripciones de los tipos penales.

En función de lo anterior, hemos realizado seminarios en la Facultad de Derecho de la Universidad de Chile, en el Centro de Ciberseguridad, en que tuvimos la oportunidad de contar con la participación de los profesores Daniel Álvarez y Alejandro Hevia , de la Universidad de Chile, quienes permanentemente estuvieron con nosotros en la Comisión, y con los asesores y asesoras legislativos de muchos Senadores y Senadoras que conocen mucho de estos temas y han ido aportando al debate.

Por cierto, destaco la participación permanente del Ministerio Público, no exenta muchas veces de polémica porque pedía algo que no se le podía dar: se contradecía con la opinión de la Defensoría. Y fuimos armando una estructura sustantiva y procesal que, a mi juicio, va a lograr darle a Chile una robustez en materia de protección contra delitos informáticos y una sanción respecto a ellos muy importante.

Asimismo, destaco la participación activa del Asesor Presidencial en Ciberseguridad , don Mario Farren , a quien le tocó asumir el cargo en medio de la tramitación del proyecto, pero se metió rápidamente en el tema, y que formó parte de la discusión, constituyéndose en un aporte muy relevante. Y considero muy muy importante destacarlo también.

Recuerdo que durante las conversaciones que sostuvimos con el Ministerio Público, una fiscal me dijo un día: "El problema que se produce es que como no contamos con una norma específica, a aquellas personas que participan de delitos en materia informática, particularmente en lo concerniente a los datos o incluso en la apropiación de bienes informáticos, muchas veces intentamos formalizarlos por estafa". Y, en verdad, el tipo penal no daba el ancho suficiente para obtener condenas adecuadas.

Por tanto, hay un manto de impunidad, dada la falta de legislación, y hoy día estamos terminando con aquello. Y mi percepción es que hemos realizado un buen trabajo jurídico y, adicionalmente, desde la perspectiva tecnológica fue una labor inteligente, porque cuando hablábamos sobre conceptos, tuvimos la delicadeza de incorporar conceptos evolutivos. Porque es tal la vorágine, la rapidez de los cambios tecnológicos, que el riesgo de obsolescencia de la ley es altísimo. Y por eso fuimos cuidadosos: no hablamos de "correo electrónico", sino de "comunicación digital". Porque lo que el correo electrónico es hoy día, mañana probablemente será reemplazado por la red social y pasado mañana por otra dimensión que se implemente en algún minuto.

En consecuencia, creamos un lenguaje evolutivo, que va a permitir que la ley, más allá de los cambios tecnológicos que se produzcan, acompañe la evolución en el tiempo en este ámbito.

Finalmente, señor Presidente, estimo relevante entender el contexto.

El proyecto contra los delitos informáticos que estamos aprobando se suma al que despachamos hace unos minutos en materia de fraudes con tarjetas de crédito extraviadas, hurtadas o robadas. Pero se suma también al proyecto sobre protección de datos personales, que la Comisión de Constitución ya despachó y que se encuentra a la espera de análisis en la Comisión de Hacienda, y esperamos que dicho órgano técnico lo pueda sacar rápidamente, pues una parte importante de los delitos informáticos no van necesariamente orientados a robar dinero, sino a robar datos. Lo digo porque hoy día, los datos pueden poseer incluso un valor mayor que el dinero mismo, toda vez que son utilizados para la generación de las fuentes de mecanismos de inteligencia artificial, para la determinación de información a través de la decisión algorítmica.

En consecuencia, el apropiarse masivamente de datos permite nutrir a ciertas industrias, permite identificar a personas que antes estaban, a través de ciertas bases de datos, anonimizadas, permite generar vulnerabilidades y también generar delitos asociados: el chantaje personal e industrial, el espionaje industrial. Aquellos corresponden hoy día a ilícitos de común ocurrencia y que se cometen justamente a través de las interceptaciones, de los accesos ilícitos, de la falsificación informática y del fraude informático.

Señor Presidente , a mi entender, con el proyecto vamos a disponer de una legislación adecuada, de una legislación evolutiva y de una legislación basada en evidencia, porque hemos tomado como base la legislación internacional.

Quiero dedicar una mención especial a los profesores, particularmente al profesor Alejandro Hevia , de la Universidad de Chile, quien desde la perspectiva de la ingeniería, no del derecho, muchas veces nos hizo observaciones que nos permitieron modificar ciertas redacciones para evitar situaciones que pudieran afectar la calidad del proyecto. Por ejemplo nos mencionó, y tal vez no quedó lo suficientemente conforme con cómo resolvimos lo relativo al abuso de dispositivos, y quizás tampoco con cómo logramos solucionar algunos aspectos relativos a la protección de los investigadores.

En ciencia, la investigación es fundamental. Para crear un buen mecanismo de defensa informático se requiere que haya personas con las capacidades de vulnerar un sistema informático para modificarlo e implementar las condiciones necesarias a fin de hacerlo más invulnerable. Y esa labor la realizan los investigadores.

Venga mi reconocimiento a todos aquellos investigadores e investigadoras que trabajan para mejorar la seguridad en los sistemas informáticos.

Y por último, señor Presidente , hago un llamado para generar una cultura de ciberseguridad.

Necesitamos que, de una vez por todas, el mundo de la empresa, el mundo del Estado entiendan que la ciberseguridad no es un tema de informáticos, sino un asunto de gobierno corporativo, un asunto que concierne a los tomadores de decisiones, es una cuestión para la sobrevida del Estado y de sobrevida de la economía.

Si no disponemos de mecanismos adecuados en materia de ciberseguridad y de protección informática, Chile no va a ser la potencia tecnológica que tiene que ser para obtener su desarrollo.

En consecuencia, señor Presidente , creo que estamos haciendo un aporte importante. Vendrán, espero prontamente, la ley de protección de datos para que tengamos un todo que permita que Chile, de verdad, avance en materia de una economía digital, una sociedad digital, pero con las condiciones de seguridad adecuadas para desenvolverse de manera segura y eficaz.

He dicho.

El señor DE URRESTI (Vicepresidente).-

Tiene la palabra el Senador Alejandro Navarro.

El señor NAVARRO.-

Señor Presidente, la verdad es que toda esta temática resulta absolutamente contingente, necesaria, urgente. La ciberseguridad, particularmente en materia de datos, debe ser protegida.

Yo quiero recordar leyes contradictorias que hemos votado en este Senado. Acordamos entregar a empresas privadas todos los datos del Registro Civil , todos los datos del Ministerio del Trabajo, todos los datos públicos de Salud a un privado que los va a almacenar y a cuidar por el Estado. Eso es así. Pero es un privado cuyo interés es el lucro y respecto al cual la fiscalización del Estado en materia de manejo de datos es reconocida por su imposibilidad.

Y aquí aprobamos que el Estado no se haga cargo de los datos de los 18 millones de chilenos, sino que los licite para que alguien los cuide. Es decir, el ratón cuidando el queso o el gato cuidando la carnicería.

Siento que para ver una compatibilidad respecto del tema de fondo a que nos anima esta ley, hay que decir que el Estado tiene el deber de proteger la privacidad, la intimidad en materia de datos contenidos en bases de datos de informática, y eso tiene que estar protegido.

Pero el Estado ha acordado otra cosa: entregarle esta responsabilidad a los privados. Es como si -tema que podría estar en debate- la seguridad pública se la entregáramos a los guardias municipales, o a la noble tarea de ser guardia público, que son 144 mil en Chile, contra 66 mil carabineros. La seguridad privada es el triple de la seguridad pública, que es una tendencia que hay que observar.

Entonces, es un avance.

El Senador Harboe me ha señalado que hay un conjunto de elementos importantes respecto de la responsabilidad: cárcel efectiva, acciones que van, de verdad, a proteger y a hacer dudar a quienes quieran cometer este tipo de delitos.

Señor Presidente , dicho eso, yo quiero plantear una duda al respecto. Cuando haya una investigación periodística, y los datos de sus fuentes expongan un fraude sistemático, cuando alguien devele una amenaza integral que afecte la vida de la población, ¿vamos a aplicar esta ley en proyecto?

Y quiero exponer brevemente el caso de Julian Assange, odiado, amado, y objeto de admiración y resquemor social en todo el mundo.

El 2006 él creó Wikileaks, y actualmente enfrenta un juicio en Londres donde se juega la extradición a los Estados Unidos. Cuatro años después de haber fundado Wikileaks, Julian Assange hizo una publicación muy impactante que puso en jaque al Gobierno de Barak Obama. Se trató, primero, de miles de datos concernientes a informes militares y, más tarde, de cuatrocientos mil informes sobre la guerra en Irak. El mundo pudo ver imágenes de tortura y asesinatos deliberados de civiles por parte de soldados norteamericanos.

Esta arriesgada maniobra, señor Presidente , le costó tener que asilarse en la embajada de Ecuador en Londres, y el Gobierno irresponsable, traidor de Lenín Moreno lo entregó porque había un acuerdo, según él, con Gran Bretaña que impedía la inmunidad diplomática que mantuvo Rafael Correa . La entonces Secretaria de Estado de Justicia pidió la extradición de Assange a los Estados Unidos.

Y quiero decir que Assange denunció en el año 2011 que las grandes corporaciones estaban vendiendo a diferentes gobiernos los sistemas de la Stasi, la policía alemana que en los años 80 se infiltraba en la vida privada de todos los habitantes de Alemania del Este. Es decir, una forma de vigilar y controlar a cada persona sin importar quien fuere a través de celulares, correos electrónicos y redes sociales.

Assange , señor Presidente , hizo una denuncia que develó la intromisión en la vida privada de cientos de millones de usuarios en el mundo entero, y estableció que las grandes corporaciones manejan esa información a su antojo: la usan electoralmente, la usan en las finanzas. Y la pregunta es: ¿está en juego la independencia del periodismo? ¿Vamos a sancionar con cárcel, cinco años, como señalaba el Senador Harboe que son las sanciones propias para los que cometan ilícitos, cuando el contenido develado por esta intervención sea otro delito más grave?

Es un tema que bien vale la pena debatir, porque si no, quién se va a arriesgar a denunciar, por ejemplo, el abuso de las farmacias cuando hay miles de millones de pesos involucrados, como lo ha hecho un periodismo valiente como el de Ciper Chile.

Entonces, señor Presidente , me gustaría que quienes han participado en el proyecto me pudieran señalar si el periodismo va a ser sancionado cuando tenga acceso a información que devele delitos. ¿Va a ser utilizada esta ley en contra del periodismo informativo o investigativo?

Porque quiero decir que el caso de Julian Assange así lo ha demostrado. Y se ha utilizado contra él todo el poder de Estados Unidos: su poder militar y su influencia en todo el mundo. Se le ha acusado de delitos inexistentes, de violaciones en Suecia que nunca fueron probadas y hay una persecución para decirle a quien revele datos, sin importar que se trate de asesinatos masivos o de un fraude millonario de corporaciones a millones de usuarios, que igualmente ello será sancionado.

Creo, señor Presidente , que es una reflexión necesaria en el proyecto que estamos votando. Está la sanción del que con intención de defraudar, de generar un delito interviene sistemas informáticos. Pero yo me permito en este Senado de Chile hacer la observación de que el periodismo informativo puede tener acceso absolutamente indirecto.

En el caso de Assange, no es que él haya intervenido los archivos de la CIA, ni de las Fuerzas Armadas de Washington, sino que Chelsea Manning (antes Bradley Manning ), analista militar del ejército de los Estados Unidos, copió y divulgó estos informes.

Bendito el día que los divulga, porque los poderosos fueron desnudados, porque los poderosos sufrieron la crítica mundial, porque los gobiernos de todo el mundo sabían que se les espiaba. Se espiaba al Presidente de Brasil , al Primer Ministro de Inglaterra , a la Presidenta de Alemania , ¡se espiaba a todo el mundo! Y esa información formaba parte de una base de datos en el Pentágono.

Y la pregunta que yo me hago es si un día un periodismo informativo expone el tratamiento ilícito de las AFP ¿vamos a ir sobre el periodista o vamos a ir sobre los delincuentes de cuello y corbata que han cometido el fraude? ¿Hacia dónde vamos a dirigir el fuego? ¿Hacia dónde vamos a dirigir las sanciones?

Es una reflexión necesaria en materia de proteger a quienes develan la verdad. Como dice Assange, en una guerra, la primera víctima es siempre la verdad, porque la verdad se oculta, la verdad se traiciona, la verdad se vulnera.

Y quiero decir que quienes hoy día persiguen a Assange dañan la libertad de expresión, dañan el periodismo informativo. Yo he votado a favor de este proyecto de ley porque se me ha señalado que es una derivada, es decir, el proyecto de ley está centrado en quienes cometen delitos con el objetivo de defraudar a los usuarios institucionales o individuales, pero creo que es necesario apuntar que esta ley en caso alguno puede ser utilizada en contra del periodismo investigativo, en contra del que devele acciones fraudulentas, atentatorias a la vida de personas, sean estas unas o millones.

En este sentido, señor Presidente , es bueno para la historia de esta ley que este debate y esta observación que yo he planteado queden en el ámbito de la discusión.

¿Estamos en el segundo trámite, no?

El señor HARBOE.-

En el primero.

El señor NAVARRO.-

Hay por tanto posibilidad de debatir.

Señor Presidente , voto a favor, con la observación y compromiso de revisar el alcance de estas sanciones respecto de la intervención de las bases informáticas cuando su objetivo sea obtener información sobre ilícitos atentatorios a los derechos fundamentales, a la institucionalidad.

Es decir, como lo ha develado el Washington Post, no existió fraude en Bolivia, no existió, es el segundo organismo internacional que dice que la OEA mintió, que el Secretario General de la OEA mintió.

Si un periódico accede a información, como lo hizo Julian Assange , a través de una persona, no directamente, y revela un delito, ¿se va a perseguir al que revela el delito o al que lo comete?

En este sentido, señor Presidente , yo creo que tratándose de una legislación que sanciona la divulgación de datos obtenidos de manera ilícita, la salvedad sobre el contenido de la información tiene que ser parte del debate.

Por lo tanto, señor Presidente, voto a favor.

Dado que nos encontramos en el primer trámite constitucional, habrá ocasión después de hacer observaciones y formular indicaciones para corregir algunos aspectos.

¡Patagonia sin represas!

¡Nueva Constitución, ahora!

¡No más AFP!

He dicho.

El señor DE URRESTI (Vicepresidente).-

Tiene la palabra el Senador Coloma.

El señor COLOMA.-

Señor Presidente , estaba oyendo atentamente la última reflexión y, en verdad, el Senador plantea una materia importante.

Ahora, pienso que la solución más fatal sería decir que el fin justifica los medios, en cuanto a permitir, por ejemplo, que se intervenga indebidamente material del Estado con la excusa de que se está buscando, al margen de la justicia, un eventual delito.

Entonces, es un tema grande.

Yo comparto esa preocupación, pero no aventuraría soluciones que impliquen excepcionar de normas generales este tipo de conductas en función de una búsqueda -puede ser legítima, pero también ilegítima- de eventuales ilícitos al margen de la justicia. Por algo esta juega un rol dentro de la institucionalidad.

Dicho eso, valoro este proyecto de ley, que me parece muy relevante.

He estudiado algunas tendencias legislativas de otras partes del mundo, y el tema del delito informático ha ocupado espacios gigantescos en las sociedades jurídicamente más desarrolladas, debido a que las realidades vinculadas al espacio digital generan tipificaciones o formas de enfrentar los delitos completamente distintas de las que se utilizan en el mundo no digital.

Y eso podemos verlo. Todas las últimas legislaciones a nivel planetario, particularmente las de países desarrollados, apuntan a buscar ese justo punto medio para tener acceso a los datos personales y usar la tecnología para fines positivos.

La tecnología abre un tremendo espacio para generar mucho bienestar al mundo desde los puntos de vista económico, social y cultural, pero también debemos entender que en este ámbito es posible cometer una cantidad impensada de ilícitos, que darían pie para provocar un daño social muy relevante.

Por lo tanto, creo que había que abordar este tema. Y se trató de una manera muy razonable -lo plantearon así también los distintos participantes en la Comisión-, en cuanto a darles la suficiente especificidad a los tipos penales. Cambiar o reformular figuras penales en cualquier jurisdicción es muy complejo. No es cosa fácil. Por algo las modificaciones a los códigos penales revisten una dificultad tremenda. Nuestro país bien puede dar fe de ello.

Pues bien, aquí se reformulan tipos penales con la suficiente capacidad de imaginar conductas que puedan ser acciones ilícitas o cosas nuevas que puedan aparecer en esa lógica. Todo eso quedará al amparo de una tipificación que sancione aquello que genere daño o esté destinado a dicho fin.

Me refiero a todas las normas que tiene que ver con el sabotaje y el espionaje informático, con el acceso ilícito a sistemas informáticos, con la interceptación o interferencia indebida o maliciosa de transmisiones no públicas entre sistemas informáticos, con la captación ilícita de delitos transportados o la falsificación informática, con la alteración o supresión de datos no auténticos con el propósito de hacerlos pasar por auténticos. Estamos hablando de una cantidad muy relevante de conductas que, a partir del auge del mundo digital o de los nuevos sistemas informáticos, tienen que ser debidamente consideradas.

Se trata de temas relevantes.

Estuve mirando las estadísticas entregadas por la Fiscalía Nacional, y hay un tipo de delito que ha ido aumentando -y con la actual tipificación, que es parte de la complejidad-: el relativo a sabotaje informático -ojo, se utiliza la expresión "uso fraudulento de tarjetas de crédito", como lo vimos en el proyecto que tratamos anteriormente- y a espionaje informático. Todos esos ilícitos han aumentado de forma explosiva, porque con el desarrollo tecnológico los sistemas pasan a adquirir una gran capacidad de almacenamiento de información, lo que puede generar beneficios o perjuicios de distinta naturaleza, dramáticos para el ciudadano o para el país, según sea el caso.

Entonces, la necesidad de reformular esos tipos penales me parece que apunta en un sentido adecuado.

Considero importante el Convenio de Budapest como ejemplo marco a nivel internacional, pero Chile necesitaba una adecuación y una reformulación de los tipos penales en este ámbito. ¿Para qué? Para contar con una sociedad más segura, en la que existan el derecho a la propiedad de determinados datos, tanto públicos como privados, y también una libre circulación de ellos, cuestión que no se da -así lo hemos comprobado- simplemente por la voluntad, sino en la medida que haya capacidad jurídica de enfrentar las distintas situaciones cuando los sistemas son vulnerados.

También les hice la pregunta a los miembros de la Comisión. Hay circunstancias modificatorias especiales de la responsabilidad penal, sea para atenuarla o agravarla. Quiero señalar que eso pasa por la autorización judicial pertinente, que es muy importante a la hora de establecer las medidas intrusivas. Es sano que una sociedad cuente con estos controles cuando se trata de temas tan sensibles como el que nos ocupa.

El proyecto también contiene elementos destinados a agravar determinadas sanciones en función de la finalidad perseguida, ya sea por obstaculizar la acción de la justicia o por abusar de la posición privilegiada de garante o custodio de datos contenidos en un sistema de información.

Esta iniciativa, además -basta leer los informes-, ha sido de larga tramitación, porque aborda una materia de muy complejo análisis.

Nadie imaginaría que un tema de esta naturaleza podría despacharse sin escuchar el conjunto de invitados que se recibieron en la Comisión, de los que se da cuenta en el respectivo informe, y sin estudiar las modificaciones que se plantearon.

Todo eso, a mi juicio, apunta en un sentido correcto.

En consecuencia, señor Presidente, creo que este es un buen proyecto, que dice relación con una sociedad que debe enfrentar los problemas fascinantes de la modernidad.

Sería un error no hacerlo o creer que basta con fijar tipos generales amplios que puedan adecuarse a cada caso, como a uno le enseñaban en Derecho -igual que un cajón de sastre- en función de la estafa. Eso tiene sus límites. Y lo han dicho bien otros Senadores: aquí tienen que establecerse tipos penales específicos, que permitan enfrentar la otra cara de los beneficios que la información o la digitalización moderna plantean para un país.

En resumen, me parece que la Comisión ha hecho un buen esfuerzo.

Espero que el proyecto sea objeto de una aprobación unánime y que seamos capaces de despacharlo en los trámites siguientes lo más rápidamente posible, pues apunta efectivamente a hacerse cargo de los problemas derivados de la modernidad.

He dicho.

El señor DE URRESTI ( Vicepresidente ).-

No hay más inscritos.

Tiene la palabra el señor Secretario.

El señor GUZMÁN ( Secretario General ).-

¿Alguna señora Senadora o algún señor Senador aún no ha emitido su voto?

El señor DE URRESTI ( Vicepresidente ).-

Terminada la votación.

--Se aprueba el proyecto en particular (32 votos a favor), dejándose constancia de que se cumplió el quorum constitucional requerido, y queda despachado en este trámite.

Votaron por la afirmativa las señoras Allende, Aravena, Ebensperger, Goic, Muñoz, Órdenes, Provoste y Von Baer y los señores Castro, Chahuán, Coloma, De Urresti, Durana, Elizalde, Galilea, García, García-Huidobro, Girardi, Guillier, Harboe, Insulza, Lagos, Letelier, Montes, Moreira, Navarro, Ossandón, Pérez Varela, Prohens, Pugh, Quinteros y Sandoval.

El señor HUENCHUMILLA.-

Señor Presidente , por favor, agregue mi voto favorable.

El señor DE URRESTI (Vicepresidente).-

Se deja constancia de la intención de voto afirmativo del Senador señor Huenchumilla.

Valparaíso, 3 de marzo de 2020.

Nº 56/SEC/20

A S.E. el Presidente de la Honorable Cámara de Diputados

Tengo a honra comunicar a Vuestra Excelencia que, con motivo del Mensaje, informes y antecedentes que se adjuntan, el Senado ha dado su aprobación a la siguiente iniciativa, correspondiente al Boletín N° 12.192-25:

PROYECTO DE LEY:

“TÍTULO I

DE LOS DELITOS INFORMÁTICOS Y SUS SANCIONES

Artículo 1°.- Ataque a la integridad de un sistema informático. El que deliberadamente obstaculice en forma grave o impida el normal funcionamiento, total o parcial, de un sistema informático, a través de la introducción, transmisión, daño, deterioro, alteración o supresión de los datos informáticos, será castigado con la pena de presidio menor en su grado medio a máximo.

Artículo 2°.- Acceso ilícito. El que, sin autorización o excediendo la autorización que posea y superando barreras técnicas o medidas tecnológicas de seguridad, acceda a un sistema informático será castigado con la pena de presidio menor en su grado mínimo o multa de once a veinte unidades tributarias mensuales.

Si el acceso fuere realizado con el ánimo de apoderarse o usar la información contenida en el sistema informático, se aplicará la pena de presidio menor en su grado mínimo a medio. Igual pena se aplicará a quien divulgue la información a la cual se accedió de manera ilícita, si no fuese obtenida por éste.

En caso de ser una misma persona la que hubiere obtenido y divulgado la información, se aplicará la pena de presidio menor en sus grados medio a máximo.

Artículo 3°.- Interceptación ilícita. El que indebidamente intercepte, interrumpa o interfiera, por medios técnicos, la transmisión no pública de información en un sistema informático o entre dos o más de aquellos, será castigado con la pena de presidio menor en su grado medio.

El que, sin contar con la debida autorización, capte, por medios técnicos, datos contenidos en sistemas informáticos a través de las emisiones electromagnéticas provenientes de éstos, será castigado con la pena de presidio menor en su grado medio a máximo.

Artículo 4°.- Ataque a la integridad de los datos informáticos. El que indebidamente altere, dañe o suprima datos informáticos, será castigado con presidio menor en su grado medio, siempre que con ello se cause un daño grave al titular de estos mismos.

Artículo 5°.- Falsificación informática. El que indebidamente introduzca, altere, dañe o suprima datos informáticos con la intención de que sean tomados como auténticos o utilizados para generar documentos auténticos, será sancionado con la pena de presidio menor en sus grados medio a máximo.

Cuando la conducta descrita en el inciso anterior sea cometida por empleado público, abusando de su oficio, será castigado con la pena de presidio menor en su grado máximo a presidio mayor en su grado mínimo.

Artículo 6°.- Receptación de datos. El que conociendo su origen o no pudiendo menos que conocerlo, almacene, a cualquier título, datos informáticos provenientes de la realización de las conductas descritas en los artículos 2°, 3° y 5° sufrirá la pena asignada a los respectivos delitos, rebajada en un grado.

Artículo 7°.- Fraude informático. El que, causando perjuicio a otro y con la finalidad de obtener un beneficio económico para sí o para un tercero, manipule un sistema informático, mediante la introducción, alteración, daño o supresión de datos informáticos o a través de cualquier interferencia en el funcionamiento de un sistema informático, será penado:

1) Con presidio menor en sus grados medio a máximo y multa de once a quince unidades tributarias mensuales, si el valor del perjuicio excediera de cuarenta unidades tributarias mensuales.

2) Con presidio menor en su grado medio y multa de seis a diez unidades tributarias mensuales, si el valor del perjuicio excediere de cuatro unidades tributarias mensuales y no pasare de cuarenta unidades tributarias mensuales.

3) Con presidio menor en su grado mínimo y multa de cinco a diez unidades tributarias mensuales, si el valor del perjuicio no excediere de cuatro unidades tributarias mensuales.

Si el valor del perjuicio excediere de cuatrocientas unidades tributarias mensuales, se aplicará la pena de presidio menor en su grado máximo y multa de veintiuna a treinta unidades tributarias mensuales.

Para los efectos de este artículo se considerará también autor al que, conociendo o no pudiendo menos que conocer la ilicitud de la conducta descrita en el inciso primero, facilita los medios con que se comete el delito.

Artículo 8º.- Abuso de los dispositivos. El que para la perpetración de los delitos previstos en los artículos 1° a 4° de esta ley o de las conductas señaladas en el artículo 5° de la ley N° 20.009, entregare u obtuviere para su utilización, importare, difundiera o realizare otra forma de puesta a disposición uno o más dispositivos, programas computacionales, contraseñas, códigos de seguridad o de acceso u otros datos similares, creados o adaptados principalmente para la perpetración de dichos delitos, será sancionado con la pena de presidio menor en su grado mínimo y multa de cinco a diez unidades tributarias mensuales.

Artículo 9°.- Circunstancia atenuante especial. Será circunstancia atenuante especial de responsabilidad penal, y permitirá rebajar la pena hasta en un grado, la cooperación eficaz que conduzca al esclarecimiento de hechos investigados que sean constitutivos de alguno de los delitos previstos en esta ley o permita la identificación de sus responsables; o sirva para prevenir o impedir la perpetración o consumación de otros delitos de igual o mayor gravedad contemplados en esta ley.

Se entiende por cooperación eficaz el suministro de datos o informaciones precisas, verídicas y comprobables, que contribuyan necesariamente a los fines señalados en el inciso anterior.

El Ministerio Público deberá expresar, en la formalización de la investigación o en su escrito de acusación, si la cooperación prestada por el imputado ha sido eficaz a los fines señalados en el inciso primero.

La reducción de pena se determinará con posterioridad a la individualización de la sanción penal según las circunstancias atenuantes o agravantes comunes que concurran; o de su compensación, de acuerdo con las reglas generales.

Artículo 10.- Circunstancias agravantes. Constituyen circunstancias agravantes de los delitos de que trata esta ley:

1) Cometer el delito abusando de una posición de confianza en la administración del sistema informático o custodio de los datos informáticos contenidos en él, en razón del ejercicio de un cargo o función.

2) Cometer el delito abusando de la vulnerabilidad, confianza o desconocimiento de niños, niñas, adolescentes o adultos mayores.

Asimismo, si como resultado de la comisión de las conductas contempladas en este Título, se afectase o interrumpiese la provisión o prestación de servicios de utilidad pública, tales como electricidad, gas, agua, transporte, telecomunicaciones o financieros, o el normal desenvolvimiento de los procesos electorales regulados en la ley Nº 18.700, orgánica constitucional sobre votaciones populares y escrutinios, la pena correspondiente se aumentará en un grado.

TÍTULO II

DEL PROCEDIMIENTO

Artículo 11.- Sin perjuicio de las reglas contenidas en el Código Procesal Penal, las investigaciones a que dieren lugar los delitos previstos en esta ley también podrán iniciarse por querella del Ministro del Interior y Seguridad Pública, de los delegados presidenciales regionales y de los delegados presidenciales provinciales, cuando las conductas señaladas en esta ley interrumpieren el normal funcionamiento de un servicio de utilidad pública.

Artículo 12.- Cuando la investigación de los delitos contemplados en esta ley lo hiciere imprescindible y existieren fundadas sospechas basadas en hechos determinados, de que una persona hubiere cometido o participado en la preparación o comisión de algunos de los delitos contemplados en esta ley, el Juez de Garantía, a petición del Ministerio Público, podrá ordenar la realización de las técnicas previstas y reguladas en los artículos 222 a 226 del Código Procesal Penal, conforme lo disponen dichas normas.

De igual forma, cumpliéndose los requisitos establecidos en el inciso anterior, el Juez de Garantía, a petición del Ministerio Público, podrá ordenar a funcionarios policiales actuar bajo identidad supuesta en comunicaciones mantenidas en canales cerrados de comunicación, con el fin de esclarecer los hechos tipificados como delitos en esta ley, establecer la identidad y participación de personas determinadas en la comisión de los mismos, impedirlos o comprobarlos. El referido agente encubierto en línea, podrá intercambiar o enviar por sí mismo archivos ilícitos por razón de su contenido, pudiendo obtener también imágenes y grabaciones de las referidas comunicaciones. No obstará a la consumación de los delitos que se pesquisen el hecho de que hayan participado en su investigación agentes encubiertos. La intervención de estos últimos no será considerada inducción o instigación al delito.

Los resultados de las técnicas especiales de investigación establecidas en este artículo no podrán ser utilizados como medios de prueba en el procedimiento cuando ellos hubieren sido obtenidos sin haberse cumplido los requisitos que autorizan su procedencia.

Artículo 13.- Sin perjuicio de las reglas generales, caerán especialmente en comiso los instrumentos de los delitos penados en esta ley, los efectos que de ellos provengan y las utilidades que hubieren originado, cualquiera que sea su naturaleza jurídica.

Cuando por cualquier circunstancia no sea posible decomisar estas especies, se podrá aplicar el comiso a una suma de dinero equivalente a su valor, respecto de los responsables del delito. Si por la naturaleza de la información contenida en las especies, estas no pueden ser enajenadas a terceros, se podrá ordenar la destrucción total o parcial de los instrumentos del delito y los efectos que de ellos provengan.

Artículo 14.- Sin perjuicio de las reglas generales, los antecedentes de investigación que se encuentren en formato electrónico y estén contenidos en documentos electrónicos o sistemas informáticos o que correspondan a datos informáticos, serán tratados en conformidad a los estándares definidos para su preservación o custodia en el procedimiento respectivo, de acuerdo a las instrucciones generales que al efecto dicte el Fiscal Nacional.

TÍTULO III

DISPOSICIONES FINALES

Artículo 15.- Para efectos de esta ley, se entenderá por:

a) Datos informáticos: Toda representación de hechos, información o conceptos expresados en cualquier forma que se preste a tratamiento informático, incluidos los programas diseñados para que un sistema informático ejecute una función.

b) Sistema informático: Todo dispositivo aislado o conjunto de dispositivos interconectados o relacionados entre sí, cuya función, o la de alguno de sus elementos, sea el tratamiento automatizado de datos en ejecución de un programa.

c)Proveedores de servicios: Toda entidad pública o privada que ofrezca a los usuarios de sus servicios la posibilidad de comunicar a través de un sistema informático y cualquier otra entidad que procese o almacene datos informáticos para dicho servicio de comunicación o para los usuarios del mismo.

Artículo 16.- Para efectos de lo previsto en el artículo 2° se entenderá que cuenta con autorización para el acceso a un sistema informático, el que en el marco de investigaciones de vulnerabilidad o para mejorar la seguridad informática, acceda a un sistema informático mediando la autorización expresa del titular del mismo.

Artículo 17.- Sin perjuicio de lo dispuesto en el artículo primero transitorio de esta ley, derógase la ley N° 19.223. Toda referencia legal o reglamentaria a dicho cuerpo legal debe entenderse hecha a esta ley.

Artículo 18.- Modifícase el Código Procesal Penal en el siguiente sentido:

1) Agrégase el siguiente artículo 218 bis, nuevo:

“Artículo 218 bis.- Preservación provisoria de datos informáticos. El Ministerio Público con ocasión de una investigación penal podrá requerir, a cualquier proveedor de servicio, la conservación o protección de datos informáticos o informaciones concretas incluidas en un sistema informático, que se encuentren a su disposición hasta que se obtenga la respectiva autorización judicial para su entrega. Los datos se conservarán durante un período de 90 días, prorrogable una sola vez, hasta que se autorice la entrega o se cumplan 180 días. La empresa requerida estará obligada a prestar su colaboración y guardar secreto del desarrollo de esta diligencia.”.

2) Sustitúyese el artículo 219 por el siguiente:

“Artículo 219.- Copias de comunicaciones, transmisiones y datos informáticos. El Ministerio Público podrá requerir, en el marco de una investigación penal en curso, a cualquier proveedor de servicios que ofrezca servicios en territorio chileno, que facilite los datos de suscriptor que posea sobre sus abonados, así como también la información referente a las direcciones IP utilizadas por éstos. Del mismo modo, podrá solicitar la entrega de las versiones que existieren de las transmisiones de radio, televisión u otros medios públicos. Los proveedores de servicios deberán mantener el secreto de esta solicitud.

Por datos de suscriptor se entenderá, toda información, en forma de datos informáticos o en cualquier otro formato, que posea un proveedor de servicios, que esté relacionada con los abonados a dichos servicios, excluidos los datos sobre tráfico y contenido, y que permita determinar su identidad, el periodo del servicio, dirección postal o geográfica y el número de teléfono del abonado, así como cualquier otro número de acceso, correo electrónico, información sobre facturación y medio de pago.

Podrá también el Ministerio Público requerir a cualquier proveedor de servicios, previa autorización judicial, que entregue la información que tenga almacenada relativa al tráfico y el contenido de comunicaciones de sus abonados, referida al periodo de tiempo determinado establecido por la señalada resolución judicial.

Para efectos de este artículo se entenderá por datos relativos al tráfico, todos los datos relativos a una comunicación realizada por medio de un sistema informático, generados por este último en tanto elemento de la cadena de comunicación, y que indiquen el origen, el destino, la ruta, la hora, la fecha, el tamaño y la duración de la comunicación o el tipo de servicio subyacente.

Las empresas concesionarias de servicios públicos de telecomunicaciones y proveedores de internet deberán mantener, con carácter reservado y adoptando las medidas de seguridad correspondientes, a disposición del Ministerio Público a efectos de una investigación penal, por un plazo de un año, un listado y registro actualizado de sus rangos autorizados de direcciones IP y de los números IP de las conexiones que realicen sus clientes o usuarios, con sus correspondientes datos relativos al tráfico, así como los domicilios o residencias de sus clientes o usuarios. Transcurrido el plazo máximo de mantención de los datos señalados precedentemente, las empresas y proveedores deberán destruir en forma segura dicha información.

Los funcionarios públicos, los intervinientes en la investigación penal y los empleados de las empresas mencionadas en este artículo que intervengan en este tipo de requerimientos deberán guardar secreto acerca de los mismos, salvo que se les citare a declarar.

La entrega de los antecedentes deberá realizarse en el plazo que disponga el fiscal en el caso de aquellos señalados en el inciso primero de este artículo o la resolución judicial, en el caso de los antecedentes a que se refiere el inciso tercero. Si el requerido estimare que no pudiere cumplir con el plazo, en atención al volumen y la naturaleza de la información solicitada o la información no exista o no la posea, deberá comunicar de dicha circunstancia fundadamente al fiscal o al tribunal, según correspondiere, dentro del término señalado en el requerimiento o en la resolución judicial respectiva.

En caso de negativa o retardo injustificado de entrega de la información señalada en este artículo, el Ministerio Público podrá requerir al juez de garantía su autorización previa para el ingreso al domicilio, sin restricción de horario, de la institución u organización en que se encuentren los sistemas informáticos que contengan la información requerida y copiarla en formato seguro.

Si, a pesar de las medidas señaladas en este artículo, la información no fuere entregada, podrá ser requerida al representante legal de la institución u organización de que se trate, bajo apercibimiento de arresto.

La infracción a la mantención del listado y registro actualizado, por un plazo de un año, de los antecedentes señalados en el inciso quinto será castigada según las sanciones y el procedimiento previsto en los artículos 36 y 36 A de la ley N° 18.168, General de Telecomunicaciones. El incumplimiento de las obligaciones de mantener con carácter reservado y adoptar las medidas de seguridad correspondientes de los antecedentes señalados en el inciso quinto, será sancionando con la pena prevista en la letra f) del artículo 36 B de la ley N° 18.168, General de Telecomunicaciones.”.

3) Modifícase el artículo 222 de la siguiente manera:

a) Suprímese, en el epígrafe, el término “Telefónicas”.

b) Reemplázase en el inciso primero la expresión “telecomunicación” por “comunicación”.

c) Suprímese, en el inciso quinto, la oración: “Con este objetivo los proveedores de tales servicios deberán mantener, en carácter reservado, a disposición del Ministerio Público, un listado actualizado de sus rangos autorizados de direcciones IP y un registro, no inferior a un año, de los números IP de las conexiones que realicen sus abonados.”.

4) Suprímese, la expresión “telefónica” en el inciso primero del artículo 223.

5) Reemplázase, en el artículo 225, la voz “telecomunicaciones” por “comunicaciones”.

Artículo 19.- Intercálase, en el literal a) del inciso primero del artículo 27 de la ley N° 19.913, que crea la Unidad de Análisis Financiero y modifica diversas disposiciones en materia de lavado y blanqueo de activos, entre las expresiones “orgánica constitucional del Banco Central de Chile;” y “en el párrafo tercero del número 4° del artículo 97 del Código Tributario”, la frase “en el Título I de la ley que sanciona los delitos informáticos;”.

Artículo 20.- Agrégase, en el inciso primero del artículo 36 B de la ley N° 18.168, General de Telecomunicaciones, la siguiente letra f), nueva:

“f) Los que vulneren el deber de reserva o secreto previsto en los artículos 218 bis, 219 y 222 del Código Procesal Penal, mediante el acceso, almacenamiento o difusión de los antecedentes o la información señalados en dichas normas, serán sancionados con la pena de presidio menor en su grado máximo.”.

Artículo 21.- Modifícase la ley N° 20.393, que establece la responsabilidad penal de las personas jurídicas en los delitos de lavado de activos, financiamiento del terrorismo y delitos de cohecho que indica, en el siguiente sentido:

1) Intercálase, en el inciso primero del artículo 1, entre “Nº 18.314” y “y en los artículos 250”, la expresión “, en el Título I de la ley que sanciona delitos informáticos”.

2) Intercálase, en el inciso primero del artículo 15, entre “Código Penal,” y “y en el artículo 8°”, la expresión “en el Título I de la ley que sanciona delitos informáticos”.

ARTÍCULOS TRANSITORIOS

Artículo primero.- Las modificaciones introducidas por el Título I de la presente ley solo se aplicarán a los hechos delictivos cometidos con posterioridad a la entrada en vigencia de la misma. En consecuencia, las normas de la ley N° 19.223, continuarán vigentes para todos los efectos relativos a la persecución de los delitos perpetrados con anterioridad a la entrada en vigencia de la presente ley.

Artículo segundo.- Mientras no sean nombrados los delegados presidenciales regionales y provinciales a los que se refiere esta ley, se entenderá que dichos cargos corresponderán a los intendentes y gobernadores, respectivamente.

Artículo tercero.- El artículo 18 de la presente ley comenzará a regir transcurridos seis meses desde la publicación en el Diario Oficial de un reglamento dictado por el Ministerio de Transportes y Telecomunicaciones, suscrito además por el Ministro del Interior y Seguridad Pública, que regulará el deber de mantención con carácter reservado de la información señalada en el numeral 2) de dicho artículo, así como la obligación de destrucción de la información y la adopción de medidas de seguridad dispuestos en el propio numeral 2).

El reglamento señalado en el inciso anterior deberá dictarse dentro del plazo de seis meses, contado desde la publicación de la presente ley en el Diario Oficial.”.

- - -

Hago presente a Vuestra Excelencia que este proyecto de ley fue aprobado, en general, con el voto favorable de 30 senadores, de un total de 43 en ejercicio.

En particular, los artículos 9, inciso tercero; 12 y 14 de la iniciativa, así como los artículos 218 bis y 219, contenidos en los numerales 1) y 2), respectivamente, del artículo 18 del proyecto de ley fueron aprobados por 32 Senadores, de un total de 43 senadores en ejercicio, dándose así cumplimiento a lo dispuesto en el inciso segundo del artículo 66 de la Constitución Política de la República.

- - -

Dios guarde a Vuestra Excelencia.

ALFONSO DE URRESTI LONGTON

Vicepresidente del Senado

RAÚL GUZMÁN URIBE

Secretario General del Senado



Valparaíso, 30 de noviembre de 2020.

El Secretario de la COMISIÓN DE SEGURIDAD CIUDADANA DE LA CÁMARA DE DIPUTADOS que suscribe, CERTIFICA:

Que el proyecto de ley, originado en un mensaje de S.E. el Presidente de la República que proyecto de ley que establece normas sobre delitos informáticos, deroga la ley N° 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al Convenio de Budapest, boletín N° 12.192-25 (S), calificado con urgencia de discusión inmediata” fue tratado y acordado por esta Comisión, en segundo trámite constitucional y primero reglamentario, en sesiones de fechas 21 y 28 de septiembre, 7 de octubre, 2, 9, 12, 24, 25 y 30 de noviembre de 2020[1], con la asistencia de las y los diputados Jorge Alessandri, Miguel Ángel Calisto (Presidente), Marcelo Díaz, Gonzalo Fuenzalida, Raúl Leiva, Fernando Meza, Cristhian Moreira, Maite Orsini, Luis Pardo, Andrea Parra, Marisela Santibáñez, Sebastián Torrealba y Osvaldo Urrutia; además de los diputados Boris Barrera y Andrés Longton.

I. CONSTANCIAS REGLAMENTARIAS PREVIAS.[2]

La idea matriz o fundamental del proyecto.

La iniciativa presidencial busca actualizar la legislación chilena en materia de delitos informáticos y ciberseguridad y adecuarla tanto a las exigencias del Convenio sobre la Ciberdelincuencia del Consejo de Europa, conocido como “Convenio de Budapest”, del cual Chile es parte, cuanto a la evolución de las tecnologías de la información y la comunicación, todo ello para dar un tratamiento más comprensivo del contexto en que se cometen estos ilícitos y subsanar la carencia de medios suficientes para su investigación.

2.- NORMAS DE CARÁCTER ORGÁNICO CONSTITUCIONAL Y DE QUÓRUM CALIFICADO.

Se hace presente que compartiendo la calificación que en su oportunidad hizo el Senado de las normas que requieren ser aprobadas con quórum especial, la Comisión determinó la siguiente calificación de las disposiciones aprobadas en este segundo trámite constitucional:

Conforme lo ordenado por el inciso segundo del artículo 66 y el artículo 84 de la Constitución Política de la República, en concordancia con la ley N° 19.640, Orgánica Constitucional del Ministerio Público, el inciso tercero del artículo 9°; los artículos 12 y 14, así como los artículos 218 bis y 219 sustitutivo, contenidos en los numerales 1) y 2) del artículo 18, respectivamente, del texto aprobado por esta Comisión, tienen el carácter de ley orgánica constitucional.

No hay normas con carácter de ley de quórum calificado.

3.- NORMAS QUE REQUIEREN TRÁMITE DE HACIENDA.

No contienen normas que deban ser conocidas por la Comisión de Hacienda.

El Ejecutivo acompañó el informe financiero N° 199/29.10.2018 que en lo sustancial señala que este proyecto “no irroga un mayor gasto fiscal”.

Luego de la formulación de indicaciones en su primer trámite constitucional, el Ejecutivo presenta el informe financiero N° 054/14.04.2020 que en lo medular expone que esas indicaciones no irrogan un mayor gasto fiscal.

4.- APROBACIÓN DEL PROYECTO.

El proyecto fue aprobado en general por mayoría de votos.

Votaron a favor los diputados señores Jorge Alessandri, Miguel Ángel Calisto (Presidente), Marcelo Díaz, Raúl Levia, Fernando Meza, Cristhian Moreira, Luís Pardo y Osvaldo Urrutia y la diputada señora Marisela Santibáñez. En contra la diputada señora Maite Orsini (9x1x0).

5.- DIPUTADO INFORMANTE.

Se designó como Diputado Informante al señor CRISTHIÁN MOREIRA BARROS.

II. ANTECEDENTES.

Expresa el Ejecutivo, a través de su mensaje, que las nuevas tecnologías desarrolladas en la economía digital permiten recolectar, tratar, almacenar y transmitir grandes cantidades de datos a través de sistemas informáticos, cambiando la forma de comunicarse entre las personas, así como también la manera en que se llevan a cabo diversas actividades laborales, comerciales y de servicios, incluidos aquellos de carácter o utilidad pública. Tal situación, según el Ejecutivo, ha implicado el surgimiento de nuevos riesgos y ataques contra bienes jurídicos social y penalmente relevantes, algunos de los cuales no se encuentran penalmente protegidos.

Estas formas delictivas, prosigue el Mensaje, han sido categorizadas por la doctrina dentro del concepto amplio de “criminalidad mediante computadoras”, considerando en ella a “todos los actos antijurídicos según la ley penal vigente (o socialmente perjudiciales y por eso penalizables en el futuro), realizados con el empleo de un equipo automático de procesamiento de datos” (Tiedemann, Kaus, Poder Económico y Delito, pág. 122).

El Convenio sobre la Ciberdelincuencia del Consejo de Europa, conocido como “Convenio de Budapest”, constituye el primer tratado internacional sobre delitos cometidos a través de Internet y de otros sistemas informáticos. Fue elaborado por expertos del Consejo de Europa, con ayuda de especialistas de otros países ajenos a la organización, como Estados Unidos, Canadá y Japón. Este instrumento jurídico entró en vigor el 1 de julio de 2004 y, a la fecha, ha sido ratificado por cincuenta y tres Estados. Han sido también invitados a hacerse Parte de este Convenio otros Estados no miembros del Consejo de Europa, entre ellos, Argentina, Chile, Colombia, México y Perú. Su principal objetivo es el desarrollo de una política criminal común frente a la ciberdelincuencia, mediante la homologación de conceptos fundamentales en la materia, el tratamiento a su respecto de la legislación penal sustantiva y procesal y el establecimiento de un sistema rápido y eficaz de cooperación internacional.

Nuestro país, explica el Mensaje, promulgó el Convenio a través del decreto N° 83, del Ministerio de Relaciones Exteriores, de 2017, y entró en vigencia el 28 de agosto del mismo año. Su contenido y los compromisos internacionales adquiridos por nuestro país, sin perjuicio de las reservas hechas en su oportunidad, se han vuelto mandatorios. Lo anterior tiene lugar en un mundo globalizado: Chile no se encuentra ajeno a este fenómeno criminal, unido al aumento del acceso a Internet y otros dispositivos electrónicos, de modo que resulta indispensable una actualización de nuestra legislación en esta materia. A mayor abundamiento, arguye el Ejecutivo, de acuerdo a la IX Encuesta sobre Acceso y Uso de Internet, de diciembre de 2017, que fuera encargada por la Subsecretaría de Telecomunicaciones, el 87,4% de los hogares chilenos manifiesta tener acceso a Internet, y estudios realizados por la propia Subsecretaría de Telecomunicaciones dan cuenta que, en el periodo comprendido entre diciembre de 2013 y septiembre de 2017, aumentó en más de 9,3 millones de accesos el índice de penetración a Internet.

El Programa de Gobierno 2018-2022, Construyamos Tiempos Mejores para Chile, en el capítulo “Un Chile seguro y en paz para progresar y vivir tranquilos”, entre los principales objetivos y medidas para la seguridad ciudadana, comprometió actualizar la ley de delitos informáticos y crear una fuerza de respuesta ante ciber emergencias. Si bien desde 1993 Chile cuenta con la ley N° 19.223, es una legislación que no ha sido modificada desde su dictación, debiendo tenerse presente que en la época de su entrada en vigencia Internet era un fenómeno incipiente y de escaso acceso ciudadano. Las herramientas de persecución penal datan del año 2000 cuando se dictó el Código Procesal Penal, pero han devenido insuficientes para una adecuada investigación de estos ilícitos y, con ello, resguardar los derechos de todos los intervinientes en el respectivo procedimiento.

Lo expuesto, continúa el Mensaje, se sitúa en un contexto de ataques cibernéticos que han afectado a entidades privadas que desarrollan actividades económicas sensibles para las personas, los cuales han sido de público conocimiento y de alto interés para la ciudadanía. El Gobierno ha condenado estos hechos y lo ha motivado a acelerar su agenda de trabajo en estas materias. El cibercrimen es un fenómeno que se caracteriza por un fuerte componente de naturaleza transnacional, pues el ciberespacio no reconoce fronteras físicas, permitiendo iniciar la ejecución de una conducta ilícita en un Estado, generar sus efectos en otro y aprovecharse de las ganancias en un tercero, pudiendo producirse todo en forma instantánea, debido a que el desarrollo tecnológico basado en la interconexión global permite lograrlo a bajo costo, con menores riesgos y con altos niveles de eficacia. Por eso debe actualizarse la normativa chilena con arreglo a los estándares internacionales vigentes.

Como lo advierte el propio Convenio de Budapest, una legislación sobre la materia no puede únicamente contener tipos penales, sino que aquéllos deben ser complementados con una normativa procesal que entregue recursos que permitan investigaciones eficaces atendidas las especiales características de la ciberdelincuencia. La ley N° 19.223 no contiene ninguna modificación o referencia al Código Procesal Penal, así como tampoco dispone de herramientas relativas al tratamiento de la recopilación de antecedentes de investigación en el marco de este tipo de delitos. Y un informe presentado por la Policía de Investigaciones de Chile en abril de 2018 sostiene que los delitos informáticos habrían aumentado en un 74% en el año 2017, en relación al 2016. Entre ambos años, también resulta relevante que dicho aumento se vio reflejado en todas las regiones del país, con excepción de la Región de Arica y Parinacota.

Adicionalmente, como la actualización de la regulación atingente a los delitos informáticos forma parte de la Política Nacional de Ciberseguridad 2017-2022, la puesta al día de la normativa sobre delitos informáticos ha de ser entendida como parte integrante de esta política nacional. La ley N° 19.223 creó los primeros delitos que se consideraron propios del ámbito informático, sobre la base de la realidad de la época, centrando su protección en el sistema de tratamiento de información. Sus virtudes han sido opacadas con el paso del tiempo y avance tecnológico, no sólo por las nuevas formas de criminalidad cibernética, sino también porque tempranamente se detectaron vacíos legales, cuya inconveniencia se fue acentuando con el tiempo, pues mientras los medios tecnológicos se sofisticaban, junto con las prácticas delictuales asociados a ellas, la ley se mantuvo inalterada. Hoy, dice el Mensaje, es unánime la conclusión de que se requiere actualizar el catálogo de delitos informáticos, teniendo a la vista la evolución de las tecnologías de la información y la comunicación, y dar un trato más comprensivo del contexto en que este tipo de ilícitos son cometidos, pues las actuales carencias no sólo radican en la falta de una tipificación moderna y eficaz, sino también en la falta de medios suficientes para desarrollar las investigaciones penales relativas a delitos informáticos. La necesidad de actualizar nuestra legislación penal en la materia ha sido un diagnóstico compartido por diversos mensajes y mociones parlamentarias, tales como el Mensaje N° 13-348, de 25 de septiembre de 2002; el Boletín N° 2974-19, y el Boletín N° 10145-07.

Finalmente, aduce el Ejecutivo, sobre la discusión en torno a la posibilidad de incluir estas materias en nuestro actual Código Penal, se estimó pertinente en consideración a las características propias de este tipo de delitos, mantenerlas como una ley especial por los múltiples bienes jurídicos protegidos. La regulación mediante una ley especial permite generar un sistema normativo que fomente la compresión de estas materias, con el propósito de proteger de manera más efectiva los derechos de los usuarios de la red.

III. RESUMEN DEL CONTENIDO DEL PROYECTO APROBADO POR EL SENADO.

Conforme lo dispone el número 2° del artículo 304 del reglamento, el texto aprobado por el Senado pretende, en suma, hace nacer a la vida del derecho un nuevo texto legal que tipifica delitos informáticos y establece sanciones y modifica o tienen relación con la materia en estudio la siguiente normativa legal: Ley N° 19.223, que tipifica figuras penales relativas a la informática; el Código Procesal Penal; la ley N° 20.393, que establece la responsabilidad penal de las personas jurídicas en los delitos de lavado de activos, financiamiento del terrorismo y delitos de cohecho que indica; la ley N° 19.913, que crea la Unidad de Análisis Financiero y modifica diversas disposiciones en materia de lavado y blanqueo de activos; la ley N° 18.168, General de Telecomunicaciones, y el decreto N° 83, del Ministerio de Relaciones Exteriores, de 2017, que promulga el Convenio sobre la Ciberdelincuencia, denominado “Convenio de Budapest”.

Cabe consignar que el proyecto contenido en el mensaje constaba de diecisiete artículos permanentes y tres artículos transitorios, para luego ser objeto de cambios en la tramitación que tuvo en el Senado, quedando con un texto de 21 artículos permanentes y tres artículos transitorios.

Sugiere derogar la ley N° 19.223, que tipifica figuras penales relativas a la informática, con el objeto de establecer una ley especial que contenga de manera integral las nuevas formas delictivas surgidas a partir de recientes desarrollos de esta área del conocimiento científico. De esta manera se pretende llenar los vacíos o dificultades que muestra el ordenamiento penal en la persecución de ciertas conductas que, incluso, no eran concebibles a la época de dictación de la citada ley.

Los cambios principales se refieren a reformulación de tipos penales y su adecuación al Convenio de Budapest, por ejemplo, en el ámbito del sabotaje y espionaje informático en relación con el acceso ilícito a un sistema informático y el ataque a la integridad del sistema y de los datos; la interceptación o interferencia indebida y maliciosa de transmisiones no públicas entre sistemas informáticos y la captación ilícita de datos transportados; la falsificación informática (que comprende la maliciosa introducción, alteración, borrado o supresión que genere datos no auténticos con el propósito de hacerlos pasar como “auténticos o fiables” por un tercero), y el llamado “fraude informático”.

Igualmente, se incorporan circunstancias modificatorias especiales de responsabilidad penal, ya sea para atenuarla o agravarla. En el caso de las primeras, la colaboración relevante que permita el esclarecimiento de los hechos, la identificación de sus responsables o sirva para prevenir o impedir la perpetración o consumación de otros delitos de igual o mayor gravedad; en el de las segundas, el uso de tecnologías de encriptación con la finalidad de inutilizar u obstaculizar la acción de la justicia, así como la comisión del delito abusando de una posición privilegiada de garante o custodio de los datos contenidos en un sistema de información, en razón del ejercicio de un cargo o función.

También, se incorporan reglas especiales para esta clase de procedimientos junto con modificaciones al Código Procesal Penal, que permitan una eficaz investigación de estos delitos. Entre ellas, conceder legitimación activa al Ministerio del Interior y Seguridad Pública, delegados presidenciales regionales y delegados presidenciales provinciales cuando las conductas afecten servicios de utilidad pública; permitir el uso de técnicas de investigación –mediando autorización judicial- cuando existan sospechas fundadas de la participación de asociaciones ilícitas o agrupaciones de dos o más personas que cometan alguno de los delitos descritos en la ley (agentes encubiertos, informantes, entregas vigiladas y controladas e interceptación de comunicaciones), y establecer una regla especial de comiso vinculada con los instrumentos del delito informático, los efectos y demás utilidades que se hubieren originado, o una suma de dinero equivalente al valor de los bienes mencionados.

En lo tocante a la evidencia digital, los procedimientos para su preservación y custodia deberán ajustarse a las instrucciones generales que dicte el Fiscal Nacional, para evitar que producto de su carácter volátil y fácil destructibilidad se frustren las indagatorias.

Se incluyen definiciones de “datos informáticos” y “sistema informático”, idénticas a las contenidas en el Convenio de Budapest, y se introducen algunas modificaciones en el Código Procesal Penal.

Entre otros cambios, el Senado introdujo modificaciones en la ley N° 19.913, que crea la Unidad de Análisis Financiero y modifica diversas disposiciones en materia de lavado y blanqueo de activos, estableciendo que en caso que se oculte o disimule el origen ilícito de determinados bienes ,a sabiendas de que provienen directa o indirectamente de la perpetración de un delito Informático se penará sanción de presión mayor en sus grados mínimo a medio y multa de 200 a 1000 unidades tributarias mensuales.

Igualmente se modifica la ley N° 18.168, General de Telecomunicaciones, incluyendo como delito el hacer uso de los datos que las compañías de comunicaciones deben respaldar, con un objeto distinto a la investigación del Ministerio Público.

IV. ARTÍCULOS E INDICACIONES RECHAZADAS POR LA COMISIÓN.

ARTÍCULOS RECHAZADOS:

Artículo 6°.- Receptación de datos. El que conociendo su origen o no pudiendo menos que conocerlo, almacene, a cualquier título, datos informáticos provenientes de la realización de las conductas descritas en los artículos 2°, 3° y 5° sufrirá la pena asignada a los respectivos delitos, rebajada en un grado.

Artículo 16.- Para efectos de lo previsto en el artículo 2° se entenderá que cuenta con autorización para el acceso a un sistema informático, el que en el marco de investigaciones de vulnerabilidad o para mejorar la seguridad informática, acceda a un sistema informático mediando la autorización expresa del titular del mismo.

INDICACIONES RECHAZADAS:

1.- De la diputada Marisela Santibáñez, para reemplazar el concepto “indebidamente” por “de forma deliberada e ilegítima” en los artículos 3, 4 y 5.

2.- De los diputados Jorge Alessandri; Cristihian Moreira y Osvaldo Urrutia para agregar al artículo 2°, a continuación del inciso tercero, el siguiente inciso cuarto nuevo:

“Respecto de las investigaciones por el delito previsto en el inciso primero no podrá procederse de oficio sin que, a lo menos, el ofendido por el delito hubiere denunciado el hecho a la justicia, al Ministerio Público o a la policía.”

3.- De la diputada Marisela Santibáñez, para eliminar el artículo 6°.

4.- De la diputada Marisela Santibáñez, para reemplazar en el artículo 12 la frase: “de que una persona hubiere cometido o participado en la preparación o comisión de algunos de los delitos contemplados en esta ley” por la siguiente: “de la participación en una asociación ilícita, o en una agrupación u organización conformada por dos o más personas, destinada a la preparación o comisión de alguno de los delitos contemplados en esta ley que mereciere pena aflictiva”

5.- De la diputada Marisela Santibáñez, para eliminar el numeral 2 del artículo 18.

6.- De la diputada Marisela Santibáñez, para agregar en la letra f), después del punto aparte que pasa ser seguido la siguiente oración: “Sin perjuicio de lo anterior, los proveedores de servicios, estarán autorizados para informar a sus clientes sobre la entrega de información que hubiera sido solicitada, siempre y cuando les afectare y no estuviere expresamente prohibido temporalmente por el juez de garantía"

7.- Del diputado Raúl Leiva, para añadir el siguiente inciso final nuevo en el N° 2) del artículo 18, que sustituye el artículo 219 del Código Procesal Penal:

“El Ministerio Público deberá notificar al suscriptor el haber sido objeto de alguna de las medidas dispuestas en este artículo”,

V. INDICACIONES DECLARADAS INADMISIBLES.

No hubo.

VI. VOTACIÓN PARTICULAR.

Artículo 1°

TÍTULO I

DE LOS DELITOS INFORMÁTICOS Y SUS SANCIONES

Artículo 1°.- Ataque a la integridad de un sistema informático. El que deliberadamente obstaculice en forma grave o impida el normal funcionamiento, total o parcial, de un sistema informático, a través de la introducción, transmisión, daño, deterioro, alteración o supresión de los datos informáticos, será castigado con la pena de presidio menor en su grado medio a máximo.

Indicación

- Del diputado Gonzalo Fuenzalida para eliminar en el inciso primero del artículo 1°, la frase “en forma grave”.

Puesto en votación el artículo con la indicación, se aprueba por mayoría de votos. Votan a favor los diputados Jorge Alessandri; Miguel Ángel Calisto; Luis Pardo; Gonzalo Fuenzalida; Fernando Meza; Cristhian Moreira y Sebastián Torrealba. Votan en contra los diputados Raúl Leiva; Maite Orsini; Andrea Parra; Boris Barrera (en reemplazo de la diputada Marisela Santibáñez) y Marcelo Díaz. (7x5x0).

***

Artículo 2.

Artículo 2°.- Acceso ilícito. El que, sin autorización o excediendo la autorización que posea y superando barreras técnicas o medidas tecnológicas de seguridad, acceda a un sistema informático será castigado con la pena de presidio menor en su grado mínimo o multa de once a veinte unidades tributarias mensuales.

Si el acceso fuere realizado con el ánimo de apoderarse o usar la información contenida en el sistema informático, se aplicará la pena de presidio menor en su grado mínimo a medio. Igual pena se aplicará a quien divulgue la información a la cual se accedió de manera ilícita, si no fuese obtenida por éste.

En caso de ser una misma persona la que hubiere obtenido y divulgado la información, se aplicará la pena de presidio menor en sus grados medio a máximo

Indicaciones.

- De la diputada Marisela Santibáñez, para reemplazar en el inciso primero del artículo 2°, la frase “excediendo la autorización que posea” por la siguiente: “de forma deliberada e ilegítima”.

- De los diputados Jorge Alessandri; Cristihian Moreira y Osvaldo Urrutia para agregar al artículo 2°, a continuación del inciso tercero, el siguiente inciso cuarto nuevo: “Respecto de las investigaciones por el delito previsto en el inciso primero no podrá procederse de oficio sin que, a lo menos, el ofendido por el delito hubiere denunciado el hecho a la justicia, al Ministerio Público o a la policía.”

Puesto en votación el artículo con la indicación de los diputados Alessandri, Moreira y Urrutia, don Osvaldo, se rechaza por no alcanzar el quórum de aprobación. Votan a favor los diputados Raúl Leiva; Boris Barrera (en reemplazo de la diputada Marisela Santibáñez) y Andrea Parra. Votan en contra los diputados Miguel Ángel Calisto; Gonzalo Fuenzalida y Sebastián Torrealba. (6x6x0).

Puesto en votación el artículo con la indicación de la diputada Marisela Santibáñez, se aprueba por mayoría de votos. Votan a favor los diputados Raúl Leiva, Fernando Meza; Maite Orsini; Andrea Parra y Boris Barrera (en reemplazo de la diputada Marisela Santibáñez). Votan en contra los diputados Miguel Ángel Calisto; Gonzalo Fuenzalida; Cristhian Moreira y Sebastián Torrealba. (5x4x0).

En consecuencia, se da por aprobado el artículo con la indicación de la diputada Marisela Santibáñez.

***

Artículo 3°

Artículo 3°.- Interceptación ilícita. El que indebidamente intercepte, interrumpa o interfiera, por medios técnicos, la transmisión no pública de información en un sistema informático o entre dos o más de aquellos, será castigado con la pena de presidio menor en su grado medio.

El que, sin contar con la debida autorización, capte, por medios técnicos, datos contenidos en sistemas informáticos a través de las emisiones electromagnéticas provenientes de éstos, será castigado con la pena de presidio menor en su grado medio a máximo.

Indicación.

De la diputada Marisela Santibáñez para reemplazar el concepto “indebidamente” por “de forma deliberada e ilegítima”, todas las veces que aparece en el texto aprobado en general.

Puesto en votación la indicación, se rechaza por mayoría de votos. Votan a favor los diputados Raúl Leiva; Andrea Parra y Marisela Santibáñez. Votan en contra los diputados Jorge Alessandri; Luis Pardo; Gonzalo Fuenzalida; Cristhian Moreira; Sebastián Torrealba y Osvaldo Urrutia. Se abstiene el diputado Marcelo Díaz (3x6x1).

Puesto en votación el artículo, se aprueba por mayoría de votos. Votan a favor los diputados Jorge Alessandri; Luis Pardo; Gonzalo Fuenzalida; Raúl Leiva; Cristhian Moreira; Sebastián Torrealba; Osvaldo Urrutia y Marcelo Díaz. Se abstienen las diputadas Andrea Parra y Marisela Santibáñez. (8x0x2).

***

Artículo 4°

Artículo 4°.- Ataque a la integridad de los datos informáticos. El que indebidamente altere, dañe o suprima datos informáticos, será castigado con presidio menor en su grado medio, siempre que con ello se cause un daño grave al titular de estos mismos.

Indicación.

De la diputada Marisela Santibáñez, para reemplazar el concepto “indebidamente” por “de forma deliberada e ilegítima”, todas las veces que aparece en el texto aprobado en general.

Puesta en votación la indicación, se rechaza por mayoría de votos. Votan a favor los diputados Raúl Leiva; Maite Orsini; Andrea Parra y Marisela Santibáñez. Votan en contra los diputados Jorge Alessandri; Luis Pardo; Gonzalo Fuenzalida; Cristhian Moreira; Sebastián Torrealba y Osvaldo Urrutia. Se abstiene el diputado Marcelo Díaz. (4x6x1).

Puesto en votación el artículo, se aprueba por mayoría de votos. Votan a favor los diputados Jorge Alessandri; Luis Pardo; Gonzalo Fuenzalida; Raúl Leiva; Cristhian Moreira; Sebastián Torrealba. Osvaldo Urrutia y Marcelo Díaz. Se abstienen las diputadas Maite Orsini; Andrea Parra y Marisela Santibáñez. (8x0x3).

***

Artículo 5°

Artículo 5°.- Falsificación informática. El que indebidamente introduzca, altere, dañe o suprima datos informáticos con la intención de que sean tomados como auténticos o utilizados para generar documentos auténticos, será sancionado con la pena de presidio menor en sus grados medio a máximo.

Cuando la conducta descrita en el inciso anterior sea cometida por empleado público, abusando de su oficio, será castigado con la pena de presidio menor en su grado máximo a presidio mayor en su grado mínimo.

Indicación.

De la diputada Marisela Santibáñez, para reemplazar el concepto “indebidamente” por “de forma deliberada e ilegítima”, todas las veces que aparece en el texto aprobado en general.

Puesta en votación la indicación de la diputada Santibáñez, se rechaza por mayoría de votos. Votan a favor los diputados Raúl Leiva; Maite Orsini; Andrea Parra y Marisela Santibáñez. Votan en contra los diputados Jorge Alessandri; Luis Pardo; Gonzalo Fuenzalida; Cristhian Moreira, Sebastián Torrealba y Osvaldo Urrutia. Se abstiene el diputado Marcelo Díaz. (4x6x1).

Puesto en votación el artículo, se aprueba por unanimidad. Votan los diputados Jorge Alessandri; Luis Pardo; Gonzalo Fuenzalida; Raúl Leiva; Cristhian Moreira; Maite Orsini; Andrea Parra; Sebastián Torrealba; Osvaldo Urrutia; Marisela Santibáñez y Marcelo Díaz. (11x0x0).

***

Artículo 6°

Artículo 6°.- Receptación de datos. El que conociendo su origen o no pudiendo menos que conocerlo, almacene, a cualquier título, datos informáticos provenientes de la realización de las conductas descritas en los artículos 2°, 3° y 5° sufrirá la pena asignada a los respectivos delitos, rebajada en un grado.

Indicación.

De los diputados Miguel Ángel Calisto; Andrés Lognton; Gonzalo Fuenzalida; Osvaldo Urrutia; Marcelo Díaz; Cristhian Moreira; Raúl Leiva y las diputadas Marisela Santibáñez y Maite Orsini y la adhesión de los diputados Fernando Meza y Luis Pardo para reemplazar el artículo 6°, por el siguiente:

“Artículo 6°.- Receptación de datos personales. El que conociendo su origen o no pudiendo menos que conocerlo, comercialice o almacene con el mismo objeto u otro fin ilícito, a cualquier título, datos protegido por la ley N° 19.628 provenientes de la realización de conductas descritas en los artículos 2°, 3° y 5°, sufrirá las penas asignadas a los respectivos delitos, rebajadas en un grado.”.

Puesta en votación la indicación, se aprueba por unanimidad. Votan los diputados Miguel Ángel Calisto; Luis Pardo; Gonzalo Fuenzalida; Raúl Leiva; Fernando Meza; Cristhian Moreira; Maite Orsini; Andrés Longton; Osvaldo Urrutia; Marisela Santibáñez y Marcelo Díaz. (11x0x0).

Por ende, se rechaza el artículo 6º propuesto por el Senado.

***

Artículo 13.

Artículo 13.- Sin perjuicio de las reglas generales, caerán especialmente en comiso los instrumentos de los delitos penados en esta ley, los efectos que de ellos provengan y las utilidades que hubieren originado, cualquiera que sea su naturaleza jurídica.

Cuando por cualquier circunstancia no sea posible decomisar estas especies, se podrá aplicar el comiso a una suma de dinero equivalente a su valor, respecto de los responsables del delito. Si por la naturaleza de la información contenida en las especies, estas no pueden ser enajenadas a terceros, se podrá ordenar la destrucción total o parcial de los instrumentos del delito y los efectos que de ellos provengan.

Artículo 14.- Sin perjuicio de las reglas generales, los antecedentes de investigación que se encuentren en formato electrónico y estén contenidos en documentos electrónicos o sistemas informáticos o que correspondan a datos informáticos, serán tratados en conformidad a los estándares definidos para su preservación o custodia en el procedimiento respectivo, de acuerdo a las instrucciones generales que al efecto dicte el Fiscal Nacional.

Puestos en votación los artículos 13 y 14 se aprueban por unanimidad. Votan los diputados Miguel Ángel Calisto; Gonzalo Fuenzalida; Raúl Leiva; Cristhian Moreira; Osvaldo Urrutia; Andrea Parra; Marisela Santibáñez y Sebastián Torrealba. (8x0x0).

***

Artículo 15.

TÍTULO III

DISPOSICIONES FINALES

Artículo 15.- Para efectos de esta ley, se entenderá por:

a) Datos informáticos: Toda representación de hechos, información o conceptos expresados en cualquier forma que se preste a tratamiento informático, incluidos los programas diseñados para que un sistema informático ejecute una función.

b) Sistema informático: Todo dispositivo aislado o conjunto de dispositivos interconectados o relacionados entre sí, cuya función, o la de alguno de sus elementos, sea el tratamiento automatizado de datos en ejecución de un programa.

c) Proveedores de servicios: Toda entidad pública o privada que ofrezca a los usuarios de sus servicios la posibilidad de comunicar a través de un sistema informático y cualquier otra entidad que procese o almacene datos informáticos para dicho servicio de comunicación o para los usuarios del mismo.

Indicación:

De la diputada Marisela Santibáñez y del diputado Raúl Levia, para reemplazar en su letra c) la palabra “Proveedores” por “Prestadores”

Puesto en votación el artículo con la indicación se aprueba por unanimidad. Votan los diputados Votan los diputados Miguel Ángel Calisto; Gonzalo Fuenzalida; Raúl Leiva; Fernando Meza, Cristhian Moreira; Andrea Parra; Sebastián Torrealba; Marisela Santibáñez y Osvaldo Urrutia. (9x0x0).

***

Artículo 16.

Artículo 16.- Para efectos de lo previsto en el artículo 2° se entenderá que cuenta con autorización para el acceso a un sistema informático, el que en el marco de investigaciones de vulnerabilidad o para mejorar la seguridad informática, acceda a un sistema informático mediando la autorización expresa del titular del mismo.

Indicación:

De la diputada Marisela Santibáñez para reemplazar el artículo 16 por el siguiente: “Artículo 16.- Notificación de vulnerabilidades. No será considerado ilegítimo el acceso a un sistema informático, sin provocar daño ni perturbación y con la finalidad de investigar o detectar sus vulnerabilidades, realizado por quien haya reportado inmediatamente de los hallazgos en materia de seguridad informática al responsable del sistema informático, si ello fuera posible, y en todo caso a la autoridad competente. Un reglamento determinará la autoridad competente para estos efectos y la forma en que deberá llevarse a cabo el reporte.”

Puesta en votación la indicación sustitutiva, se aprueba por mayoría de votos. Votan a favor Votan los diputados Miguel Ángel Calisto; Raúl Leiva; Fernando Meza; Andrea Parra y Marisela Santibáñez. En contra los diputados Gonzalo Fuenzalida; Cristhian Moreira; Osvaldo Urrutia; y Sebastián Torrealba. (5x4x0).

En consecuencia, se rechaza el artículo 16 propuesto por la Cámara de origen.

***

Artículo 17.

Artículo 17.- Sin perjuicio de lo dispuesto en el artículo primero transitorio de esta ley, derógase la ley N° 19.223. Toda referencia legal o reglamentaria a dicho cuerpo legal debe entenderse hecha a esta ley.

Puesto en votación el artículo, se aprueba por unanimidad. Votan los diputados Miguel Ángel Calisto; Gonzalo Fuenzalida; Raúl Leiva; Fernando Meza; Cristhian Moreira; Osvaldo Urrutia; Andrea Parra; Marisela Santibáñez y Sebastián Torrealba. (9x0x0).

***

Artículo 18.

Artículo 18.- Modifícase el Código Procesal Penal en el siguiente sentido:

1) Agrégase el siguiente artículo 218 bis, nuevo:

“Artículo 218 bis.- Preservación provisoria de datos informáticos. El Ministerio Público con ocasión de una investigación penal podrá requerir, a cualquier proveedor de servicio, la conservación o protección de datos informáticos o informaciones concretas incluidas en un sistema informático, que se encuentren a su disposición hasta que se obtenga la respectiva autorización judicial para su entrega. Los datos se conservarán durante un período de 90 días, prorrogable una sola vez, hasta que se autorice la entrega o se cumplan 180 días. La empresa requerida estará obligada a prestar su colaboración y guardar secreto del desarrollo de esta diligencia.”.

2) Sustitúyese el artículo 219 por el siguiente:

“Artículo 219.- Copias de comunicaciones, transmisiones y datos informáticos. El Ministerio Público podrá requerir, en el marco de una investigación penal en curso, a cualquier proveedor de servicios que ofrezca servicios en territorio chileno, que facilite los datos de suscriptor que posea sobre sus abonados, así como también la información referente a las direcciones IP utilizadas por éstos. Del mismo modo, podrá solicitar la entrega de las versiones que existieren de las transmisiones de radio, televisión u otros medios públicos. Los proveedores de servicios deberán mantener el secreto de esta solicitud.

Por datos de suscriptor se entenderá, toda información, en forma de datos informáticos o en cualquier otro formato, que posea un proveedor de servicios, que esté relacionada con los abonados a dichos servicios, excluidos los datos sobre tráfico y contenido, y que permita determinar su identidad, el periodo del servicio, dirección postal o geográfica y el número de teléfono del abonado, así como cualquier otro número de acceso, correo electrónico, información sobre facturación y medio de pago.

Podrá también el Ministerio Público requerir a cualquier proveedor de servicios, previa autorización judicial, que entregue la información que tenga almacenada relativa al tráfico y el contenido de comunicaciones de sus abonados, referida al periodo de tiempo determinado establecido por la señalada resolución judicial.

Para efectos de este artículo se entenderá por datos relativos al tráfico, todos los datos relativos a una comunicación realizada por medio de un sistema informático, generados por este último en tanto elemento de la cadena de comunicación, y que indiquen el origen, el destino, la ruta, la hora, la fecha, el tamaño y la duración de la comunicación o el tipo de servicio subyacente.

Las empresas concesionarias de servicios públicos de telecomunicaciones y proveedores de internet deberán mantener, con carácter reservado y adoptando las medidas de seguridad correspondientes, a disposición del Ministerio Público a efectos de una investigación penal, por un plazo de un año, un listado y registro actualizado de sus rangos autorizados de direcciones IP y de los números IP de las conexiones que realicen sus clientes o usuarios, con sus correspondientes datos relativos al tráfico, así como los domicilios o residencias de sus clientes o usuarios. Transcurrido el plazo máximo de mantención de los datos señalados precedentemente, las empresas y proveedores deberán destruir en forma segura dicha información.

Los funcionarios públicos, los intervinientes en la investigación penal y los empleados de las empresas mencionadas en este artículo que intervengan en este tipo de requerimientos deberán guardar secreto acerca de los mismos, salvo que se les citare a declarar.

La entrega de los antecedentes deberá realizarse en el plazo que disponga el fiscal en el caso de aquellos señalados en el inciso primero de este artículo o la resolución judicial, en el caso de los antecedentes a que se refiere el inciso tercero. Si el requerido estimare que no pudiere cumplir con el plazo, en atención al volumen y la naturaleza de la información solicitada o la información no exista o no la posea, deberá comunicar de dicha circunstancia fundadamente al fiscal o al tribunal, según correspondiere, dentro del término señalado en el requerimiento o en la resolución judicial respectiva.

En caso de negativa o retardo injustificado de entrega de la información señalada en este artículo, el Ministerio Público podrá requerir al juez de garantía su autorización previa para el ingreso al domicilio, sin restricción de horario, de la institución u organización en que se encuentren los sistemas informáticos que contengan la información requerida y copiarla en formato seguro.

Si, a pesar de las medidas señaladas en este artículo, la información no fuere entregada, podrá ser requerida al representante legal de la institución u organización de que se trate, bajo apercibimiento de arresto.

La infracción a la mantención del listado y registro actualizado, por un plazo de un año, de los antecedentes señalados en el inciso quinto será castigada según las sanciones y el procedimiento previsto en los artículos 36 y 36 A de la ley N° 18.168, General de Telecomunicaciones. El incumplimiento de las obligaciones de mantener con carácter reservado y adoptar las medidas de seguridad correspondientes de los antecedentes señalados en el inciso quinto, será sancionando con la pena prevista en la letra f) del artículo 36 B de la ley N° 18.168, General de Telecomunicaciones.”.

3) Modifícase el artículo 222 de la siguiente manera:

a) Suprímese, en el epígrafe, el término “Telefónicas”.

b) Reemplázase en el inciso primero la expresión “telecomunicación” por “comunicación”.

c) Suprímese, en el inciso quinto, la oración: “Con este objetivo los proveedores de tales servicios deberán mantener, en carácter reservado, a disposición del Ministerio Público, un listado actualizado de sus rangos autorizados de direcciones IP y un registro, no inferior a un año, de los números IP de las conexiones que realicen sus abonados.”.

4) Suprímese, la expresión “telefónica” en el inciso primero del artículo 223.

5) Reemplázase, en el artículo 225, la voz “telecomunicaciones” por “comunicaciones”.

N°1) del artículo 18.

Indicación al N° 1) del artículo 18.

De la diputada Marisela Santibáñez, para reemplazar la oración “proveedor de servicios” por “prestador de servicios de internet”.

Luego de un breve debate se reformula la indicación: para reemplazar las veces que aparezca en el texto las oraciones “proveedor de servicios” o ”proveedores de servicios” por “prestador de servicios” o. “prestadores de servicios”, respectivamente.

La Comisión vota en primer lugar el N° 1 del artículo 18 con la indicación reformulada.

Puesto en votación el N° 1) del artículo con la referida indicación, se aprueba por mayoría de votos. Votan a favor los diputados Miguel Ángel Calisto; Gonzalo Fuenzalida; Raúl Leiva; Fernando Meza; Cristhian Moreira; Osvaldo Urrutia; Andrea Parra y Sebastián Torrealba. En contra las diputadas Marisela Santibáñez y Maite Orsini, (8x2x0).

N° 2 del artículo 18,

Indicación.

De la diputada Marisela Santibáñez, para eliminar el numeral 2 del artículo 18.

Puesta en votación la indicación se rechaza por mayoría de votos. Votan a favor las diputadas Marisela Santibáñez y Maite Orsini. En contra los diputados Miguel Ángel Calisto; Gonzalo Fuenzalida; Cristhian Moreira; Osvaldo Urrutia y Sebastián Torrealba. Se abstienen la diputada Andrea Parra y el diputado Raúl Leiva. (2x5x2)

La Comisión acuerda votar separadamente los incisos del N° 2) del artículo 18.

Inciso primero.

Indicación:

De los diputados Gonzalo Fuenzalida y Raúl Leiva, para agregar luego del punto aparte, que pasa a ser seguido la siguiente frase: La forma de este requerimiento quedará establecida en un instructivo elaborado para este efecto por el Fiscal Nacional.

Puesto en votación el inciso primero del N° 2) del artículo 18 con la indicación, se aprueba por mayoría de votos. Votan a favor los diputados Miguel Ángel Calisto; Gonzalo Fuenzalida; Raúl Leiva; Cristhian Moreira; Osvaldo Urrutia y Sebastián Torrealba. Se abstienen las diputadas Andrea Parra; Marisela Santibáñez y Maite Orsini, (6x0x3).

Inciso segundo al noveno, menos el inciso final.

Puestos en votación los incisos referidos se rechazan por no alcanzar el quórum de aprobación. Votan a favor los diputados Miguel Mellado (en reemplazo del diputado Gonzalo Fuenzalida) y Cristhian Moreira. En contra la diputada Marisela Santibáñez. Se abstiene el diputado Marcelo Díaz. (2x1x1).

Inciso final.

Indicación:

De la diputada Marisela Santibáñez, para agregar en la letra f), después del punto aparte que pasa ser seguido la siguiente oración: “Sin perjuicio de lo anterior, los proveedores de servicios, estarán autorizados para informar a sus clientes sobre la entrega de información que hubiera sido solicitada, siempre y cuando les afectare y no estuviere expresamente prohibido temporalmente por el juez de garantía".

Puesta en votación esta indicación se rechaza por no alcanzar el cuórum de aprobación. Votan a favor el diputado Marcelo Díaz y la diputada Marisela Santibáñez. En contra los diputados Miguel Mellado (en reemplazo del diputado Gonzalo Fuenzalida) y Cristhian Moreira. (2x2x0).

Puesto en votación el inciso final, se aprueba por unanimidad. Votan los diputados Marcelo Díaz; Miguel Mellado (en reemplazo del diputado Gonzalo Fuenzalida); Cristhian Moreira y Marisela Santibáñez. (4x0x0).

Indicación:

Del diputado Raúl Leiva, para añadir el siguiente inciso final en el N° 2) del artículo 18, que sustituye el artículo 219 del Código Procesal Penal:

“El Ministerio Público deberá notificar al suscriptor el haber sido objeto de alguna de las medidas dispuestas en este artículo”,

Puesta en votación esta indicación se rechaza por no alcanzar el cuórum de aprobación. Votan a favor el diputado Marcelo Díaz y la diputada Marisela Santibáñez. Se abstienen los diputados Miguel Mellado (en reemplazo del diputado Gonzalo Fuenzalida) y Cristhian Moreira. (2x0x2).

N°s 3,4 y 5 del artículo 18.

Puestos en votación estos numerales, se aprueban por unanimidad. Votan los diputados Marcelo Díaz; Miguel Mellado (en reemplazo del diputado Gonzalo Fuenzalida); Cristhian Moreira y Marisela Santibáñez. (4x0x0).

***

Artículo 19.- Intercálase, en el literal a) del inciso primero del artículo 27 de la ley N° 19.913, que crea la Unidad de Análisis Financiero y modifica diversas disposiciones en materia de lavado y blanqueo de activos, entre las expresiones “orgánica constitucional del Banco Central de Chile;” y “en el párrafo tercero del número 4° del artículo 97 del Código Tributario”, la frase “en el Título I de la ley que sanciona los delitos informáticos;”.

***

Artículo 20.

Artículo 20.- Agrégase, en el inciso primero del artículo 36 B de la ley N° 18.168, General de Telecomunicaciones, la siguiente letra f), nueva:

“f) Los que vulneren el deber de reserva o secreto previsto en los artículos 218 bis, 219 y 222 del Código Procesal Penal, mediante el acceso, almacenamiento o difusión de los antecedentes o la información señalados en dichas normas, serán sancionados con la pena de presidio menor en su grado máximo.”.

***

Artículo 21.- Modifícase la ley N° 20.393, que establece la responsabilidad penal de las personas jurídicas en los delitos de lavado de activos, financiamiento del terrorismo y delitos de cohecho que indica, en el siguiente sentido:

1) Intercálase, en el inciso primero del artículo 1, entre “Nº 18.314” y “y en los artículos 250”, la expresión “, en el Título I de la ley que sanciona delitos informáticos”.

2) Intercálase, en el inciso primero del artículo 15, entre “Código Penal,” y “y en el artículo 8°”, la expresión “en el Título I de la ley que sanciona delitos informáticos”.

***

ARTÍCULOS TRANSITORIOS

Artículo primero.- Las modificaciones introducidas por el Título I de la presente ley solo se aplicarán a los hechos delictivos cometidos con posterioridad a la entrada en vigencia de la misma. En consecuencia, las normas de la ley N° 19.223, continuarán vigentes para todos los efectos relativos a la persecución de los delitos perpetrados con anterioridad a la entrada en vigencia de la presente ley.

Artículo segundo.- Mientras no sean nombrados los delegados presidenciales regionales y provinciales a los que se refiere esta ley, se entenderá que dichos cargos corresponderán a los intendentes y gobernadores, respectivamente.

Artículo tercero.- El artículo 18 de la presente ley comenzará a regir transcurridos seis meses desde la publicación en el Diario Oficial de un reglamento dictado por el Ministerio de Transportes y Telecomunicaciones, suscrito además por el Ministro del Interior y Seguridad Pública, que regulará el deber de mantención con carácter reservado de la información señalada en el numeral 2) de dicho artículo, así como la obligación de destrucción de la información y la adopción de medidas de seguridad dispuestos en el propio numeral 2).

El reglamento señalado en el inciso anterior deberá dictarse dentro del plazo de seis meses, contado desde la publicación de la presente ley en el Diario Oficial.”.

Puestos en votación los artículos 19. 20 y 21 y los artículos primero, segundo y tercero transitorios, se aprueban por asentimiento unánime. Votan los diputados Marcelo Díaz; Miguel Mellado (en reemplazo del diputado Gonzalo Fuenzalida); Cristhian Moreira y Marisela Santibáñez. (4x0x0).

VII. MENCIÓN DE ADICIONES Y ENMIENDAS QUE LA COMISIÓN APROBÓ EN LA DISCUSIÓN PARTICULAR.

De conformidad a lo establecido en el N° 7° del artículo 304 del Reglamento de la Corporación, la Comisión deja constancia que introdujo las siguientes enmiendas el texto propuesto por el Senado:

AL ARTÍCULO 1°.-°ATAQUE A LA INTEGRIDAD DE UN SISTEMA INFORMÁTICO.

Ha eliminado la oración “en forma grave”.

AL ARTÍCULO 2°.- ACCESO ILÍCITO.

Inciso primero.

Ha reemplazado la frase “excediendo la autorización que posea” por “de forma deliberada e ilegítima”.

AL ARTÍCULO 6°.- RECEPTACIÓN DE DATOS.

Lo ha sustituido por el siguiente:

Artículo 6°.- Receptación de datos personales. El que conociendo su origen o no pudiendo menos que conocerlo comercialice o almacene con el mismo objeto u otro fin ilícito, a cualquier título, datos protegidos por la ley N° 19.628, provenientes de la realización de las conductas descritas en los artículos 2°, 3° y 5°, sufrirá la pena asignada a los respectivos delitos, rebajada en un grado.

AL ARTÍCULO 7°.- FRAUDE INFORMÁTICO.

Inciso primero.

Ha reemplazado la frase: “El que, causando perjuicio a otro y con la finalidad de obtener un beneficio económico” por “El que, deliberada e ilegítimamente cause perjuicio a otro, con la finalidad de obtener un beneficio económico”

AL ARTÍCULO 8º. ABUSO DE LOS DISPOSITIVOS.

Ha remplazado la referencia “artículo 5°” por artículo 7°”.

Adecuación formal, con ocasión de haberse modificado la ley N° 20.009, que establece un régimen de limitación de responsabilidad para titulares o usuarios de tarjetas de pago y transacciones electrónicas en caso de extravío, hurto, robo o fraude, por la ley N° 21.234.

AL ARTÍCULO 15. DE LAS DEFINICIONES.

Ha sustituido en la letra c) la palabra “Proveedores” por la locución “Prestadores”

AL ARTÍCULO 16. AUTORIAZACIÓN ACCESO A UN SISTEMA INFORMATICO.

Lo ha sustituido por el siguiente:

“Artículo 16.- Notificación de vulnerabilidades. No será considerado ilegítimo el acceso a un sistema informático, sin provocar daño ni perturbación y con la finalidad de investigar o detectar sus vulnerabilidades, realizado por quien haya reportado inmediatamente de los hallazgos en materia de seguridad informática al responsable del sistema informático, si ello fuera posible, y en todo caso a la autoridad competente. Un reglamento determinará la autoridad competente para estos efectos y la forma en que deberá llevarse a cabo el reporte.”.

AL ARTÍCULO 18, QUE MODIFICA EL CÓDIGO PROCESAL PENAL.

N° 1), que agrega un artículo 218 bis, nuevo.

Ha reemplazado la oración “proveedor de servicios por “prestador de servicios”

N° 2), que sustituye el artículo 219.

Inciso primero.

a.- Ha reemplazado la oración “proveedor de servicios” por “prestador de servicios”.

b.- Ha sustituido la oración “proveedores de servicios por “prestadores de servicios”.

c.- Luego del punto final, ha incorporado la siguiente frase: “La forma de este requerimiento quedará establecida en un instructivo elaborado para este efecto por el Fiscal Nacional”.

Inciso segundo.

Lo ha rechazado.

Inciso tercero.

Lo ha rechazado.

Inciso cuarto.

Lo ha rechazado.

Inciso sexto.

Lo ha rechazado.

Inciso séptimo.

Lo ha rechazado.

Inciso octavo.

Lo ha rechazado.

Inciso noveno.

Lo ha rechazado.

***

VIII. TEXTO DEL PROYECTO DE LEY TAL COMO QUEDARÍA EN VIRTUD DE LOS ACUERDOS ADOPTADOS POR LA COMISIÓN.

PROYECTO DE LEY:

“TÍTULO I

DE LOS DELITOS INFORMÁTICOS Y SUS SANCIONES

Artículo 1°.- Ataque a la integridad de un sistema informático. El que deliberadamente obstaculice o impida el normal funcionamiento, total o parcial, de un sistema informático, a través de la introducción, transmisión, daño, deterioro, alteración o supresión de los datos informáticos, será castigado con la pena de presidio menor en su grado medio a máximo.

Artículo 2°.- Acceso ilícito. El que, sin autorización o de forma deliberada e ilegítima y superando barreras técnicas o medidas tecnológicas de seguridad, acceda a un sistema informático será castigado con la pena de presidio menor en su grado mínimo o multa de once a veinte unidades tributarias mensuales.

Si el acceso fuere realizado con el ánimo de apoderarse o usar la información contenida en el sistema informático, se aplicará la pena de presidio menor en su grado mínimo a medio. Igual pena se aplicará a quien divulgue la información a la cual se accedió de manera ilícita, si no fuese obtenida por éste.

En caso de ser una misma persona la que hubiere obtenido y divulgado la información, se aplicará la pena de presidio menor en sus grados medio a máximo.

Artículo 3°.- Interceptación ilícita. El que indebidamente intercepte, interrumpa o interfiera, por medios técnicos, la transmisión no pública de información en un sistema informático o entre dos o más de aquellos, será castigado con la pena de presidio menor en su grado medio.

El que, sin contar con la debida autorización, capte, por medios técnicos, datos contenidos en sistemas informáticos a través de las emisiones electromagnéticas provenientes de éstos, será castigado con la pena de presidio menor en su grado medio a máximo.

Artículo 4°.- Ataque a la integridad de los datos informáticos. El que indebidamente altere, dañe o suprima datos informáticos, será castigado con presidio menor en su grado medio, siempre que con ello se cause un daño grave al titular de estos mismos.

Artículo 5°.- Falsificación informática. El que indebidamente introduzca, altere, dañe o suprima datos informáticos con la intención de que sean tomados como auténticos o utilizados para generar documentos auténticos, será sancionado con la pena de presidio menor en sus grados medio a máximo.

Cuando la conducta descrita en el inciso anterior sea cometida por empleado público, abusando de su oficio, será castigado con la pena de presidio menor en su grado máximo a presidio mayor en su grado mínimo.

Artículo 6°.- Receptación de datos personales. El que conociendo su origen o no pudiendo menos que conocerlo comercialice o almacene con el mismo objeto u otro fin ilícito, a cualquier título, datos protegidos por la ley N° 19.628, provenientes de la realización de las conductas descritas en los artículos 2°, 3° y 5°, sufrirá la pena asignada a los respectivos delitos, rebajada en un grado.

Artículo 7°.- Fraude informático. El que, deliberada e ilegítimamente cause perjuicio a otro, con la finalidad de obtener un beneficio económico para sí o para un tercero, manipule un sistema informático, mediante la introducción, alteración, daño o supresión de datos informáticos o a través de cualquier interferencia en el funcionamiento de un sistema informático, será penado:

1) Con presidio menor en sus grados medio a máximo y multa de once a quince unidades tributarias mensuales, si el valor del perjuicio excediera de cuarenta unidades tributarias mensuales.

2) Con presidio menor en su grado medio y multa de seis a diez unidades tributarias mensuales, si el valor del perjuicio excediere de cuatro unidades tributarias mensuales y no pasare de cuarenta unidades tributarias mensuales.

3) Con presidio menor en su grado mínimo y multa de cinco a diez unidades tributarias mensuales, si el valor del perjuicio no excediere de cuatro unidades tributarias mensuales.

Si el valor del perjuicio excediere de cuatrocientas unidades tributarias mensuales, se aplicará la pena de presidio menor en su grado máximo y multa de veintiuna a treinta unidades tributarias mensuales.

Para los efectos de este artículo se considerará también autor al que, conociendo o no pudiendo menos que conocer la ilicitud de la conducta descrita en el inciso primero, facilita los medios con que se comete el delito.

Artículo 8º.- Abuso de los dispositivos. El que para la perpetración de los delitos previstos en los artículos 1° a 4° de esta ley o de las conductas señaladas en el artículo 7° de la ley N° 20.009, entregare u obtuviere para su utilización, importare, difundiera o realizare otra forma de puesta a disposición uno o más dispositivos, programas computacionales, contraseñas, códigos de seguridad o de acceso u otros datos similares, creados o adaptados principalmente para la perpetración de dichos delitos, será sancionado con la pena de presidio menor en su grado mínimo y multa de cinco a diez unidades tributarias mensuales.

Artículo 9°.- Circunstancia atenuante especial. Será circunstancia atenuante especial de responsabilidad penal, y permitirá rebajar la pena hasta en un grado, la cooperación eficaz que conduzca al esclarecimiento de hechos investigados que sean constitutivos de alguno de los delitos previstos en esta ley o permita la identificación de sus responsables; o sirva para prevenir o impedir la perpetración o consumación de otros delitos de igual o mayor gravedad contemplados en esta ley.

Se entiende por cooperación eficaz el suministro de datos o informaciones precisas, verídicas y comprobables, que contribuyan necesariamente a los fines señalados en el inciso anterior.

El Ministerio Público deberá expresar, en la formalización de la investigación o en su escrito de acusación, si la cooperación prestada por el imputado ha sido eficaz a los fines señalados en el inciso primero.

La reducción de pena se determinará con posterioridad a la individualización de la sanción penal según las circunstancias atenuantes o agravantes comunes que concurran; o de su compensación, de acuerdo con las reglas generales.

Artículo 10.- Circunstancias agravantes. Constituyen circunstancias agravantes de los delitos de que trata esta ley:

1) Cometer el delito abusando de una posición de confianza en la administración del sistema informático o custodio de los datos informáticos contenidos en él, en razón del ejercicio de un cargo o función.

2) Cometer el delito abusando de la vulnerabilidad, confianza o desconocimiento de niños, niñas, adolescentes o adultos mayores.

Asimismo, si como resultado de la comisión de las conductas contempladas en este Título, se afectase o interrumpiese la provisión o prestación de servicios de utilidad pública, tales como electricidad, gas, agua, transporte, telecomunicaciones o financieros, o el normal desenvolvimiento de los procesos electorales regulados en la ley Nº 18.700, orgánica constitucional sobre votaciones populares y escrutinios, la pena correspondiente se aumentará en un grado.

TÍTULO II

DEL PROCEDIMIENTO

Artículo 11.- Sin perjuicio de las reglas contenidas en el Código Procesal Penal, las investigaciones a que dieren lugar los delitos previstos en esta ley también podrán iniciarse por querella del Ministro del Interior y Seguridad Pública, de los delegados presidenciales regionales y de los delegados presidenciales provinciales, cuando las conductas señaladas en esta ley interrumpieren el normal funcionamiento de un servicio de utilidad pública.

Artículo 12.- Cuando la investigación de los delitos contemplados en esta ley lo hiciere imprescindible y existieren fundadas sospechas basadas en hechos determinados, de que una persona hubiere cometido o participado en la preparación o comisión de algunos de los delitos contemplados en esta ley, el Juez de Garantía, a petición del Ministerio Público, podrá ordenar la realización de las técnicas previstas y reguladas en los artículos 222 a 226 del Código Procesal Penal, conforme lo disponen dichas normas.

De igual forma, cumpliéndose los requisitos establecidos en el inciso anterior, el Juez de Garantía, a petición del Ministerio Público, podrá ordenar a funcionarios policiales actuar bajo identidad supuesta en comunicaciones mantenidas en canales cerrados de comunicación, con el fin de esclarecer los hechos tipificados como delitos en esta ley, establecer la identidad y participación de personas determinadas en la comisión de los mismos, impedirlos o comprobarlos. El referido agente encubierto en línea, podrá intercambiar o enviar por sí mismo archivos ilícitos por razón de su contenido, pudiendo obtener también imágenes y grabaciones de las referidas comunicaciones. No obstará a la consumación de los delitos que se pesquisen el hecho de que hayan participado en su investigación agentes encubiertos. La intervención de estos últimos no será considerada inducción o instigación al delito.

Los resultados de las técnicas especiales de investigación establecidas en este artículo no podrán ser utilizados como medios de prueba en el procedimiento cuando ellos hubieren sido obtenidos sin haberse cumplido los requisitos que autorizan su procedencia.

Artículo 13.- Sin perjuicio de las reglas generales, caerán especialmente en comiso los instrumentos de los delitos penados en esta ley, los efectos que de ellos provengan y las utilidades que hubieren originado, cualquiera que sea su naturaleza jurídica.

Cuando por cualquier circunstancia no sea posible decomisar estas especies, se podrá aplicar el comiso a una suma de dinero equivalente a su valor, respecto de los responsables del delito. Si por la naturaleza de la información contenida en las especies, estas no pueden ser enajenadas a terceros, se podrá ordenar la destrucción total o parcial de los instrumentos del delito y los efectos que de ellos provengan.

Artículo 14.- Sin perjuicio de las reglas generales, los antecedentes de investigación que se encuentren en formato electrónico y estén contenidos en documentos electrónicos o sistemas informáticos o que correspondan a datos informáticos, serán tratados en conformidad a los estándares definidos para su preservación o custodia en el procedimiento respectivo, de acuerdo a las instrucciones generales que al efecto dicte el Fiscal Nacional.

TÍTULO III

DISPOSICIONES FINALES

Artículo 15.- Para efectos de esta ley, se entenderá por:

a) Datos informáticos: Toda representación de hechos, información o conceptos expresados en cualquier forma que se preste a tratamiento informático, incluidos los programas diseñados para que un sistema informático ejecute una función.

b) Sistema informático: Todo dispositivo aislado o conjunto de dispositivos interconectados o relacionados entre sí, cuya función, o la de alguno de sus elementos, sea el tratamiento automatizado de datos en ejecución de un programa.

c) Prestadores de servicios: Toda entidad pública o privada que ofrezca a los usuarios de sus servicios la posibilidad de comunicar a través de un sistema informático y cualquier otra entidad que procese o almacene datos informáticos para dicho servicio de comunicación o para los usuarios del mismo.

Artículo 16.- Notificación de vulnerabilidades. No será considerado ilegítimo el acceso a un sistema informático, sin provocar daño ni perturbación y con la finalidad de investigar o detectar sus vulnerabilidades, realizado por quien haya reportado inmediatamente de los hallazgos en materia de seguridad informática al responsable del sistema informático, si ello fuera posible, y en todo caso a la autoridad competente. Un reglamento determinará la autoridad competente para estos efectos y la forma en que deberá llevarse a cabo el reporte.

Artículo 17.- Sin perjuicio de lo dispuesto en el artículo primero transitorio de esta ley, derógase la ley N° 19.223. Toda referencia legal o reglamentaria a dicho cuerpo legal debe entenderse hecha a esta ley.

Artículo 18.- Modifícase el Código Procesal Penal en el siguiente sentido:

1) Agrégase el siguiente artículo 218 bis, nuevo:

“Artículo 218 bis.- Preservación provisoria de datos informáticos. El Ministerio Público con ocasión de una investigación penal podrá requerir, a cualquier prestador de servicio, la conservación o protección de datos informáticos o informaciones concretas incluidas en un sistema informático, que se encuentren a su disposición hasta que se obtenga la respectiva autorización judicial para su entrega. Los datos se conservarán durante un período de 90 días, prorrogable una sola vez, hasta que se autorice la entrega o se cumplan 180 días. La empresa requerida estará obligada a prestar su colaboración y guardar secreto del desarrollo de esta diligencia.”.

2) Sustitúyese el artículo 219 por el siguiente:

“Artículo 219.- Copias de comunicaciones, transmisiones y datos informáticos. El Ministerio Público podrá requerir, en el marco de una investigación penal en curso, a cualquier prestador de servicios que ofrezca servicios en territorio chileno, que facilite los datos de suscriptor que posea sobre sus abonados, así como también la información referente a las direcciones IP utilizadas por éstos. Del mismo modo, podrá solicitar la entrega de las versiones que existieren de las transmisiones de radio, televisión u otros medios públicos. Los prestadores de servicios deberán mantener el secreto de esta solicitud. La forma de este requerimiento quedará establecida en un instructivo elaborado para este efecto por el Fiscal Nacional.

La infracción a la mantención del listado y registro actualizado, por un plazo de un año, de los antecedentes señalados en el inciso quinto será castigada según las sanciones y el procedimiento previsto en los artículos 36 y 36 A de la ley N° 18.168, General de Telecomunicaciones. El incumplimiento de las obligaciones de mantener con carácter reservado y adoptar las medidas de seguridad correspondientes de los antecedentes señalados en el inciso quinto, será sancionando con la pena prevista en la letra f) del artículo 36 B de la ley N° 18.168, General de Telecomunicaciones.”.

3) Modifícase el artículo 222 de la siguiente manera:

a) Suprímese, en el epígrafe, el término “Telefónicas”.

b) Reemplázase en el inciso primero la expresión “telecomunicación” por “comunicación”.

c) Suprímese, en el inciso quinto, la oración: “Con este objetivo los proveedores de tales servicios deberán mantener, en carácter reservado, a disposición del Ministerio Público, un listado actualizado de sus rangos autorizados de direcciones IP y un registro, no inferior a un año, de los números IP de las conexiones que realicen sus abonados.”.

4) Suprímese, la expresión “telefónica” en el inciso primero del artículo 223.

5) Reemplázase, en el artículo 225, la voz “telecomunicaciones” por “comunicaciones”.

Artículo 19.- Intercálase, en el literal a) del inciso primero del artículo 27 de la ley N° 19.913, que crea la Unidad de Análisis Financiero y modifica diversas disposiciones en materia de lavado y blanqueo de activos, entre las expresiones “orgánica constitucional del Banco Central de Chile;” y “en el párrafo tercero del número 4° del artículo 97 del Código Tributario”, la frase “en el Título I de la ley que sanciona los delitos informáticos;”.

Artículo 20.- Agrégase, en el inciso primero del artículo 36 B de la ley N° 18.168, General de Telecomunicaciones, la siguiente letra f), nueva:

“f) Los que vulneren el deber de reserva o secreto previsto en los artículos 218 bis, 219 y 222 del Código Procesal Penal, mediante el acceso, almacenamiento o difusión de los antecedentes o la información señalados en dichas normas, serán sancionados con la pena de presidio menor en su grado máximo.”.

Artículo 21.- Modifícase la ley N° 20.393, que establece la responsabilidad penal de las personas jurídicas en los delitos de lavado de activos, financiamiento del terrorismo y delitos de cohecho que indica, en el siguiente sentido:

1) Intercálase, en el inciso primero del artículo 1, entre “Nº 18.314” y “y en los artículos 250”, la expresión “, en el Título I de la ley que sanciona delitos informáticos”.

2) Intercálase, en el inciso primero del artículo 15, entre “Código Penal,” y “y en el artículo 8°”, la expresión “en el Título I de la ley que sanciona delitos informáticos”.

ARTÍCULOS TRANSITORIOS.

Artículo primero.- Las modificaciones introducidas por el Título I de la presente ley solo se aplicarán a los hechos delictivos cometidos con posterioridad a la entrada en vigencia de la misma. En consecuencia, las normas de la ley N° 19.223, continuarán vigentes para todos los efectos relativos a la persecución de los delitos perpetrados con anterioridad a la entrada en vigencia de la presente ley.

Artículo segundo.- Mientras no sean nombrados los delegados presidenciales regionales y provinciales a los que se refiere esta ley, se entenderá que dichos cargos corresponderán a los intendentes y gobernadores, respectivamente.

Artículo tercero.- El artículo 18 de la presente ley comenzará a regir transcurridos seis meses desde la publicación en el Diario Oficial de un reglamento dictado por el Ministerio de Transportes y Telecomunicaciones, suscrito además por el Ministro del Interior y Seguridad Pública, que regulará el deber de mantención con carácter reservado de la información señalada en el numeral 2) de dicho artículo, así como la obligación de destrucción de la información y la adopción de medidas de seguridad dispuestos en el propio numeral 2).

El reglamento señalado en el inciso anterior deberá dictarse dentro del plazo de seis meses, contado desde la publicación de la presente ley en el Diario Oficial.”.”..

SALA DE LA COMISIÓN, a 30 de noviembre de 2020.

ALVARO HALABI DIUANA

Abogado Secretario de la Comisión.

FORMULA INDICACIONES AL PROYECTO DE LEY QUE ESTABLECE NORMAS SOBRE DELITOS INFOMÁTICOS, DEROGA LA LEY Nº 19.223 Y MODIFICA OTROS CUERPOS LEGALES CON EL OBJETO DE ADECUARLOS AL CONVENIO DE BUDAPEST (BOLETÍN Nº 12.192-25).

Santiago, 22 de diciembre de 2020.-

Nº 489-368/

A S.E. EL PRESIDENTE DE LAH. CÁMARA DE DIPUTADOS

Honorable Cámara de Diputados:

En uso de mis facultades constitucionales, vengo en formular las siguientes indicaciones al boletín de la referencia, a fin de que sean consideradas durante la discusión del mismo en el seno de esta H. Corporación:

AL ARTÍCULO 1°

1)Para suprimir la expresión "deliberadamente" .

AL ARTÍCULO 2°

2)Para suprimir en el inciso primero la expresión "o de forma deliberada e ilegítima" .

AL ARTÍCULO 6°

3)Para sustituirlo, por el siguiente:

"Artículo 6º.- Almacenamiento ilícito. El que conociendo su origen o no pudiendo menos que conocerlo, almacene, a cualquier título, datos informáticos provenientes de la realización de las conductas descritas en los artículos 2°, 3° y 5°, sufrirá la pena asignada a los respectivos delitos, rebajada en un grado." .

AL ARTÍCULO 7°

4)Para sustituir en el inciso primero la expresión "deliberada e ilegítimamente cause" por la expresión "causando" .

AL ARTÍCULO 15

5 ) Para sustituir en la letra c) la expresión "Prestadores" por "Proveedores" .

AL ARTÍCULO 16

6)Para sustituirlo por el siguiente:

"Artículo 16.- Para efectos de lo previsto en el artículo 2°, se entenderá que cuenta con autorización para el acceso a un sistema informático el que en el marco de investigaciones de vulnerabilidad o para mejorar la seguridad informática, acceda a un sistema informático mediando la autorización expresa del titular del mismo. ".

AL ARTÍCULO 18

7 ) Para modificarlo, de la siguiente manera:

a)Reemplázase en el numeral 1) la expresión "prestador" por la palabra "proveedor" .

b)Sustitúyase el numeral 2) por el siguiente:

"2) Reemplázase el articulo 219, por el siguiente:

Artículo 219.- Copias de comunicaciones, transmisiones y datos informáticos. El Ministerio Público podrá requerir, penal en en el marco de una investigación curso a cualquier proveedor de servicios que ofrezca servicios en territorio chileno, que facilite los datos de suscriptor que posea sobre sus abonados, así como también la información referente a las direcciones IP utilizadas solicitar existieren televisión por éstos. Del mismo modo, podrá la entrega de las versiones que de las transmisiones de radio, u otros medios públicos. Los proveedores de servicios deberán mantener el secreto de esta solicitud.

Por datos de suscriptor se entenderá, toda información, en forma de datos informáticos o en cualquier otro formato, que posea un proveedor de servicios, que esté relacionada con los abonados a dichos servicios, excluidos los datos sobre tráfico y contenido, y que permita determinar su identidad, el periodo del servicio, dirección postal o geográfica y el número de teléfono del abonado, así como cualquier otro número de acceso, correo electrónico, información sobre facturación y medio de pago.

Podrá también el Ministerio Público requerir a cualquier proveedor de servicios, previa autorización judicial, que entregue la información que tenga almacenada relativa al tráfico y el contenido de comunicaciones de sus abonados, referida al periodo de tiempo determinado establecido por la señalada resolución judicial.

Para efectos de este artículo se entenderá por datos relativos al tráfico, todos los datos relativos a una comunicación realizada por medio de un sistema informático, generados por este último en tanto elemento de la cadena de comunicación, y que indiquen el origen, el destino, la ruta, la hora, la fecha, el tamaño y la duración de la comunicación o el tipo de servicio subyacente.

Las empresas concesionarias de servicios públicos de telecomunicaciones y proveedores de internet deberán mantener, con carácter reservado y adoptando las medidas de seguridad correspondientes, a disposición del Ministerio Público a efectos de una investigación penal, por un plazo de un año, un listado y registro actualizado de sus rangos autorizados de direcciones IP y de los números IP de las conexiones que realicen sus clientes o usuarios, con sus correspondientes datos relativos al tráfico, así como los domicilios o residencias de sus clientes o usuarios. Transcurrido el plazo máximo de mantención de los datos señalados precedentemente, las empresas y proveedores deberán destruir en forma segura dicha información.

Los funcionarios públicos, los intervinientes en la investigación penal y los empleados de las empresas mencionadas en este artículo que intervengan en este tipo de requerimientos deberán guardar secreto acerca de los mismos, salvo que se les citare a declarar.

La entrega de los antecedentes deberá realizarse en el plazo que disponga el fiscal en el caso de aquellos señalados en el inciso primero de este artículo o la resolución judicial, en el caso de los antecedentes a que se refiere el inciso tercero. Si el requerido estimare que no pudiere cumplir con el plazo, en atención al volumen y la nat