Ley Chile - Decreto 20 (20-dic-2023) M. de Transportes y Telecomunicaciones; Subsecretaría de Telecomunicaciones - Biblioteca del Congreso Nacional de Chile

REGLAMENTO SOBRE PRESERVACIÓN PROVISORIA DE DATOS INFORMÁTICOS EN LAS INVESTIGACIONES PENALES

Santiago, 6 de febrero de 2023.- Con esta fecha se ha decretado lo que sigue:

Núm. 20.

Vistos:

1.- Lo dispuesto en los artículos 24, 32 Nº 6 y 35 del decreto supremo Nº l00, de 2005, del Ministerio Secretaría General de la Presidencia que fija el texto refundido, coordinado y sistematizado de la Constitución Política de la República.

2.- El decreto ley Nº 1.762, de 1977, que crea la Subsecretaría de Telecomunicaciones.

3.- La ley Nº 18.168, General de Telecomunicaciones.

4.- La ley Nº 19.880, que establece bases de los procedimientos administrativos que rigen los actos de los órganos de la Administración del Estado.

5.- La ley Nº 19.628, sobre protección de la vida privada.

6.- La ley Nº 21.459, que establece normas sobre delitos informáticos, deroga la ley Nº 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al Convenio de Budapest.

7.- La ley Nº 19.696, que establece el Código Procesal Penal.

8.- El Convenio sobre la Ciberdelincuencia del Consejo de Europa, conocido como el "Convenio de Budapest", promulgado a través del decreto supremo Nº 83, de 2017, del Ministerio de Relaciones Exteriores.

9.- El decreto supremo Nº 142, de 2005, del Ministerio de Transportes y Telecomunicaciones, que establece el reglamento sobre interceptación y grabación de comunicaciones telefónicas y de otras formas de telecomunicación.

10.- La resolución Nº 7, de 2019, de la Contraloría General de la República, que fija normas sobre exención del trámite de toma de razón.

Considerando:

l. Que, el artículo 18 de la ley Nº 21.459, establece: "Modifícase el Código Procesal Penal en el siguiente sentido: 1) Agrégase el siguiente artículo 218 bis, nuevo: "Artículo 218 bis.- Preservación provisoria de datos informáticos. El Ministerio Público con ocasión de una investigación penal podrá requerir, a cualquier proveedor de servicio, la conservación o protección de datos informáticos o informaciones concretas incluidas en un sistema informático, que se encuentren a su disposición hasta que se obtenga la respectiva autorización judicial para su entrega. Los datos se conservarán durante un período de 90 días, prorrogable una sola vez, hasta que se autorice la entrega o se cumplan 180 días. La empresa requerida estará obligada a prestar su colaboración y guardar secreto del desarrollo de esta diligencia.". 2) Suprímese, en el inciso primero del artículo 223, la expresión "telefónica". 3) Reemplázase, en el artículo 225, la voz "telecomunicaciones" por "comunicaciones".".

2. Que, el artículo segundo transitorio de la misma ley Nº 21.459 señala que: "El artículo 18 de la presente ley comenzará a regir transcurridos seis meses desde la publicación en el Diario Oficial de un reglamento dictado por el Ministerio de Transportes y Telecomunicaciones, suscrito además por el Ministro del Interior y Seguridad Pública. El reglamento señalado en el inciso anterior deberá dictarse dentro del plazo de seis meses, contado desde la publicación de la presente ley en el Diario Oficial.".

3. Que, el Convenio de Budapest, promulgado en nuestro país a través del decreto supremo Nº 83, de 2017, del Ministerio de Relaciones Exteriores, regula los delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos, los delitos informáticos y otras infracciones similares, además de contener estatutos especiales de normas procesales y de cooperación internacional diseñadas especialmente para la evidencia electrónica o digital. Su finalidad consiste en desarrollar políticas penales comunes que permitan proteger a la sociedad frente a estos ilícitos, mejorando la cooperación internacional, definiendo conceptos y terminología al respecto, además de manifestar especial interés en concretar legislaciones no sólo penales, sino que procesales, que permitan garantizar rapidez y efectividad en la persecución de estos ilícitos, así como generar un sistema de cooperación internacional en esta materia. En este orden de ideas, para efectos de materializar la cooperación internacional, en virtud de lo dispuesto en los artículos 27 y 35 del referido Convenio, Chile ha designado al Ministerio Público, a través de su Unidad de Cooperación Internacional y Extradiciones (UCIEX) como la Autoridad Central para la asistencia internacional mutua y punto de contacto de la Red 24/7.

4. Que, en este orden de ideas, el aludido artículo 18 que introduce el artículo 218 bis del Código Procesal Penal, resulta consistente con lo dispuesto en el artículo 16 del Convenio de Budapest, denominado "Conservación rápida de datos informáticos almacenados", el cual prescribe lo siguiente: "1. Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para permitir a sus autoridades competentes ordenar o imponer de otro modo la conservación rápida de datos electrónicos específicos, incluidos los datos relativos al tráfico, almacenados por medio de un sistema informático, en particular cuando existan motivos para creer que dichos datos son particularmente susceptibles de pérdida o de modificación. 2. Cuando una Parte aplique lo dispuesto en el párrafo 1 anterior por medio de una orden impartida a una persona de que conserve determinados datos almacenados que se encuentren en poder o bajo el control de esa persona, la Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para obligar a dicha persona a conservar y a proteger la integridad de los datos durante el tiempo necesario, hasta un máximo de noventa días, con el fin de que las autoridades competentes puedan obtener su revelación. Las Partes podrán prever la renovación de dicha orden. 3. Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para obligar a la persona que custodia los datos o a otra persona encargada de su conservación a mantener en secreto la ejecución de dichos procedimientos durante el tiempo previsto en su derecho interno. 4. Los poderes y procedimientos mencionados en el presente artículo estarán sujetos a lo dispuesto en los artículos 14 y 15.".

5. Que, la medida de conservación rápida de datos informáticos también se encuentra regulada en el artículo 29 del referido Convenio de Budapest, disposición que establece un mecanismo a nivel internacional equivalente al previsto en el Artículo 16 para su uso a nivel nacional, que la parte requerida deberá cumplir conforme a su derecho interno. De acuerdo a lo establecido en dicha norma, una parte puede solicitar a otra que ordene o imponga de otro modo la conservación rápida de datos almacenados por medio de sistemas informáticos que se encuentren en el territorio de esa otra parte, y en relación con los cuales la parte requirente tenga intención de presentar una solicitud de asistencia mutua con vista al registro o al acceso por un medio similar, la confiscación o la obtención por un medio similar, o a la revelación de dichos datos, solicitud que, entre otras menciones, deberá precisar el delito objeto de la investigación y una breve exposición de los hechos relacionados con el mismo. Dicha solicitud de preservación siempre incidirá en una investigación criminal y podrá formularse a través de un requerimiento formal de asistencia internacional, de acuerdo a lo dispuesto en el artículo 27, o por medio de la Red 24/7, regulada en el artículo 35 del Convenio.

6. Que, una vez que entre en vigencia el citado artículo 218 bis del Código Procesal Penal, los prestadores de servicio, que sean requeridos por el Ministerio Público, se encontrarán obligados no sólo a conservar los datos informáticos o informaciones concretas incluidas en un sistema informático, sino que además deberán guardar secreto del desarrollo de esta diligencia.

7. Que, en armonía con señalado en el numeral 6 anterior, la misma ley Nº 21.459, en su artículo 20, agrega un nuevo tipo penal en la ley Nº 18.168, General de Telecomunicaciones, agregando en su artículo 36º B, una letra f) del siguiente tenor: "Comete delito de acción pública: (...) f) Los que vulneren el deber de reserva o secreto previsto en los artículos 218 bis, 219 y 222 del Código Procesal Penal, mediante el acceso, almacenamiento o difusión de los antecedentes o la información señalados en dichas normas, serán sancionados con la pena de presidio menor en su grado máximo.".

8. Que, a su tumo, debe también tenerse en consideración que la obligación del artículo 222 del Código Procesal Penal, concerniente a la interceptación de comunicaciones previa autorización judicial y reglamentada en virtud del decreto supremo Nº 142, de 2005, del Ministerio de Transportes y Telecomunicaciones, y cuyo plazo original de seis meses fue ampliado a un año producto de la ley Nº 20.526, también obliga a empresas determinadas –precisamente para asegurar el cumplimiento adecuado y oportuno de la medida una vez que ésta se autorice–, según se indica en su artículo 6º, a "... mantener, en carácter reservado, a disposición del Ministerio Público, un listado actualizado de sus rangos autorizados de direcciones IP y un registro, no inferior a un año, de los números IP de las conexiones que realicen sus abonados.". Por tanto, lo anterior supone necesariamente que los datos referidos en esta disposición legal siempre deben mantenerse por ese período de tiempo superior indicado, dado que gozan de un tratamiento distinto a los contemplados en el presente reglamento.

9. Que, conforme lo dispuesto en el artículo 11 de la ley Nº 19.628, el responsable de una base de datos personales deberá cuidar de los datos recolectados "con la debida diligencia, haciéndose responsable de los daños" que pueda provocar.

10. Que, atendido lo anterior y el uso de mis atribuciones legales, dicto el siguiente:

Decreto:

Apruébase el siguiente Reglamento sobre Preservación Provisoria de Datos Informáticos en las Investigaciones Penales.

TÍTULO I

Capítulo I

Objeto

Artículo 1°. El presente reglamento, en adelante "el Reglamento", tiene por objeto determinar la forma y alcance de las obligaciones de los prestadores o proveedores de servicios frente a requerimientos de conservación o protección provisoria de datos informáticos o informaciones concretas incluidas en un sistema informático a que aluden tanto el Convenio de Budapest como la ley Nº 21.459, que Establece normas sobre delitos informáticos, deroga la ley Nº 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al Convenio de Budapest.

Capítulo II

Procedimiento de conservación provisoria de datos informáticos durante una investigación penal

Artículo 2°. Con ocasión de una investigación penal, y a requerimiento del Ministerio Público, los prestadores o proveedores de servicios deberán disponer los mecanismos idóneos, necesarios y suficientes para conservar y/o proteger los datos informáticos o informaciones concretas y determinadas incluidas en un sistema informático que se encuentren a su disposición.

La obligación de conservar o proteger datos informáticos, descrita en el inciso precedente, será también aplicable a las solicitudes que realice la Unidad de Cooperación Internacional y Extradiciones de la Fiscalía Nacional del Ministerio Público (UCIEX) –o la entidad que la reemplace– en su calidad de Autoridad Central para la asistencia mutua internacional en materia penal en tratados y convenios internacionales suscritos por Chile, en el marco de una investigación penal en el país derivada de requerimientos de preservación realizados por autoridades extranjeras competentes.

Artículo 3°. Sin perjuicio de las medidas generales que se adopten para proteger y preservar los datos requeridos, conforme lo dispone el artículo 218 bis del Código Procesal Penal, los prestadores o proveedores de servicios estarán especialmente obligados a:

a) Cumplir con la diligencia ordenada, de la forma y en los plazos expresados en el respectivo requerimiento.

b) Guardar secreto del desarrollo de la diligencia ordenada por el Ministerio Público, además de guardar secreto de su contenido, según lo dispone el artículo 218 bis del Código Procesal Penal.

c) Disponer de los protocolos y mecanismos que permitan mantener la seguridad y reserva de los datos informáticos o informaciones concretas incluidas en un sistema informático con motivo de la medida requerida por el Ministerio Público, sin necesidad de utilizar más respaldos que aquellos indispensables para resguardar su integridad y completitud, debiendo adoptar todas las medidas de seguridad informática necesarias para garantizar la integridad, confidencialidad y disponibilidad de tales datos informáticos.

d) Conservar y proteger los datos informáticos o informaciones concretas incluidas en un sistema informático requeridas por el Ministerio Público, o bien, por otro Estado, a través del Ministerio Público de Chile, con motivo de una investigación penal y en virtud de un requerimiento de cooperación internacional, en los términos acá establecidos.

e) Llevar un control estricto de las personas que participarán en la conservación o resguardo de la información correspondiente, debiendo establecer los mecanismos que permitan asegurar total reserva en el desarrollo de la diligencia, así como en su ejecución.

f) Entregar al Ministerio Público, en forma íntegra, la información requerida, dentro del plazo y forma que indique la respectiva autorización judicial.

Artículo 4°. Sin perjuicio de lo previsto en el literal c) del artículo precedente, los prestadores o proveedores de servicios deberán cumplir con la adopción de algún sistema de conservación, almacenamiento, resguardo, forma y/o soporte de entrega preferente, que sea de mayor compatibilidad con sus facilidades tecnológicas, de conformidad al requerimiento que realice el Ministerio Público, debiendo además adoptar las medidas de seguridad idóneas y necesarias para el debido resguardo de los datos personales tratados.

TÍTULO II

Disposiciones Generales

Artículo 5°. Los plazos que con motivo del presente Reglamento deban cumplir los prestadores o proveedores de servicios se someterán a las reglas del Código Procesal Penal.

Artículo 6°. Los proveedores o prestadores de servicios que incumplan, en el tiempo y forma que corresponda, las obligaciones que impone la diligencia de preservación provisoria de datos informáticos regulada en el artículo 218 bis del Código Procesal Penal y en el presente reglamento, serán sancionados de acuerdo a la responsabilidad penal que pueda corresponderles.

Anótese, tómese razón y publíquese en el Diario Oficial.- GABRIEL BORIC FONT, Presidente de la República.- Juan Carlos Muñoz Abogabir, Ministro de Transportes y Telecomunicaciones.- Carolina Tohá Morales, Ministra del Interior y Seguridad Pública.

Lo que transcribo para su conocimiento.- Saluda atentamente a Ud., Claudio Araya San Martín, Subsecretario de Telecomunicaciones.