Consideraciones entorno a la privacidad y delitos informáticos

delitos_informaticos_peru

Por Cynthia Téllez Gutiérrez

Si es gratis, es porque Ud. es el producto, es una frase que cada vez cobra más sentido teniendo en cuenta la valorización de la información personal en la ingeniería social, espionaje,  su uso en el comercio electrónico y otros tipos de comercios tradicionales que ha llevado al fortalecimiento de nuevos mecanismos no legales para la obtención de información personal de las personas, acciones que el derecho Penal peruano ha ido regulando e incluso incluyendo las actividades automatizadas.

El código penal peruano en su exposición de motivos expone la inclusión de diversos delitos contra la Libertad Individual, entre ellos los delitos de violación de la intimidad. La justificación de la inclusión de la protección de la intimidad como bien jurídico a proteger  es debido al reconocimiento de carácter universal de este derecho desde que la propia Declaración Universal de los Derechos Humanos afirma que “nadie será objeto de injerencias arbitrarias en su vida privada, su domicilio o su correspondencia, ni ataques a su honra ni a su reputación“.

Injerencias que se dan tanto por interferencia de la información que se encuentra en manejo de algunos sujetos a términos de confidencialidad, como la lista de abonados de una operadora de telecomunicaciones, como de aquella que la misma persona expone pero no para conocimiento y menos comercialización de todo el público o algún  público segmentado.

Martínez de Pisón de Cavero manifiesta que todo intento por delimitar el significado de intimidad parte con una dificultad previa: no existe un acuerdo generalizado sobre el término concreto a utilizar ni en la vida cotidiana y ni entre los que estudian la cuestión[1].

El derecho a la intimidad, como una escala más profunda de la privacidad, comprende todo dato, hecho o actividad personal desconocidos por otros, cuyo conocimiento por éstos puede afectar moral o psíquicamente, adquiriendo consecuentemente desde ese punto de vista carácter “absoluto”, a diferencia de la privacidad que muchas veces es “relativa”; contrariamente a lo que puede creerse (artículo 61º C.C.: “La muerte pone fin a la persona”), este derecho no se pierde aun después de muerto, pues los herederos del causante pueden hacerla valer en caso sea vulnerado[2].

En resumen, a opinión de García Falconí[3] este derecho garantiza la protección del respeto a la honra de la persona y a la de su familia; y es protegido porque es un derecho que tiene toda persona humana a que sea respetada su vida privada y/o familiar, el derecho a no ser objeto de injerencias arbitrarias en la zona de su vida privada.

Entonces, es claro afirmar por acuerdo de doctrina mayoritaria y reiterada jurisprudencia que la privacidad es más amplia que la intimidad. Esto debido a que la intimidad protege el ámbito donde se desarrollan las facetas más reservadas de la vida de la persona, como el domicilio, las comunicaciones, etc. En cambio la privacidad es un conjunto más amplio, más completo de los aspectos de la personalidad que la persona tiene derecho a mantener en reserva.[4]

Las áreas entendidas como parte de la intimidad no solo han ido cambiando por el orden social o ético sino también por las nuevas circunstancias de ataque, de vulneraciones que son aun desconocidos por las mismas personas afectadas como de los “atacantes”.

La evolución de la intimidad ha ido íntimamente ligada a los avances técnicos y científicos, así vemos cómo los riesgos de control de protección de la intimidad han aumentado con las nuevas formas de gestión y manipulación de información que se puede obtener a través de la biomedicina, genética, ingeniería social[5], telecomunicaciones, entre otros.

Es bajo estos nuevos riesgos, que el Estado peruano ha  emitido nuevas legislaciones (caracterizadas por recientes modificaciones), los cuales vamos a exponer a fin de identificar los nuevos ámbitos de protección en las gestiones automatizadas de información y brindar las recomendaciones necesarias para evitar contingencias legales en el mercado de administración de información personal que cada vez es mayor y variado en nuestro país, no solo por parte de call centers, bancos, servicios de mailing, BPO, centros médicos, aplicaciones móviles, redes sociales, entre otros.

Los artículos 154 al 158 del código penal regulan el delito de “Violación de la intimidad”,  incluyendo ámbitos de otros derechos que son considerados en su sentido más lato de la intimidad como el derecho al secreto a las telecomunicaciones, al honor y a la imagen cuando en estos se comprometan información intima de la persona.

Intimidad personal y familiar

El artículo 154[6] del código penal  penaliza la transgresión a la violación de la  intimidad de la vida personal o familiar ya sea observando, escuchando o registrando un hecho, palabra, escrito o imagen, valiéndose de instrumentos, procesos técnicos u otros medios, se establece una mayor penalidad en caso el agente que comete el delito revela la intimidad conocida de la manera antes prevista. El uso de un algún medio de comunicación social, se considera como una agravante mayor en este delito.

Este ámbito de intimidad es similar a aquel concebido por el derecho italiano, en el cual se le entendería como el derecho a la riservatezza, Rescigno lo enuncia como la pretensión del individuo de ver impedida la curiosidad de otros, prohibiéndose la indiscreción y la publicidad no querida, el conocimiento y la divulgación de las vicisitudes personales y familiares[7].

Ámbito en el cual también se traduce su protección constitucional, la Constitución peruana señala expresamente en su artículo 2º, inciso 6 que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten a la intimidad personal y familiar, protección que será de mayor desarrollo en el artículo siguiente, 154-A del código penal.

Cada vez tenemos en mayor disposición datos que sea el Estado, la sociedad o la persona misma pone a disposición de otros, ya sea mediante un acceso controlado, usos controlados o de libre disposición para cualquier tercero. Sin embargo, entender la limitación de usos y disposición  de la información puede ser confusa, más aun si el agente no es capaz de delimitar si la información de una  persona pertenezca a su ámbito público, privado o íntimo, confusión que se agrava cuando la gestión de la información se realiza de manera automatizada dada su característica de poner mejor ventaja su difusión y reproducción.

Cuando los medios informan sobre lo íntimo -o para ser exactos, creen y creemos que lo hacen- no sólo impiden que la persona elija al destinatario de esa comunicación, no sólo violan, en ese sentido, su libertad, sino que violan a la persona. Dejan de decir “él es” con la voz propia y comienzan a decir “yo soy”, imitando la voz de otro. Lo primero puede ser peligroso. Lo segundo resulta injusto, no sólo con aquel que presuntamente hay detrás de ese “yo”, sino también con el público, que no advierte que ha habido una imitación, que ese “yo” es aparente.[8]

Los acciones que forman parte del los hechos materiales para la configuración del delito  mencionadas en el  artículo 154 del código penal peruano es lo suficientemente amplio como para cubrir aquellas actividades que nos permiten realizar actualmente las tecnologías de la información y comunicación y que vulneran la intimidad, como por ejemplo las intromisiones a través de cámaras que registran imágenes estáticas o móviles incluso con sonido, cámaras infrarrojas, micrófonos Sistemas de Posicionamiento Global (GPS), programas de control a distancia en computadores y otros medios que permiten  vigilar incluso clandestinamente a las personas  y que algunos han convertido dichos instrumentos como medios de ataques a la zona íntima personal y familiar.

En los medios de comunicación, sobre todo en la difusión de la prensa escrita y televisiva vemos las más variadas ocurrencias de violación a la intimidad en su forma agravada, sobre todo cuando toman información disponible en esferas públicas y las exponen con información de carácter íntimo de una persona exponiendo indebidamente a esta, sobre todo se da en el ámbito que el agente puede considerar como de “interés público” sin serlo realmente.

Un ejemplo reciente, fue la noticia del no reconocimiento a una hija extramatrimonial por parte de  un congresista que estaba presidiendo una comisión investigadora en el Congreso, la madre de la hija en mención había solicitado que no se exponga ni su identidad ni la de su hija menor de edad. A pesar de ello un medio de prensa escrita haciéndose valer de un “interés público” de conocer el aspecto íntimo del congresista y de usar el registro de RENIEC, bajo el precepto que es un registro de carácter público, para exponer la identidad e imagen de la madre, luego de ello la madre envió una comunicación a todos los demás medios de comunicación, en especial a programas de noticias reafirmando su no autorización a identificar ni a ella ni a su hija, dado que estarían vulnerando la intimidad de ella y de su familia. Comunicación que estaba en todo su derecho y que finalmente fue respetado por la prensa.

Si bien el hecho de problema de la filiación ya era de conocimiento público, ello no implicaba el poder identificar a todos los intervinientes, dado que al identificar a los involucrados, he ahí que se consuma la vulneración de la intimidad al dar una identificación plena, exponiendo sin autorización la intimidad de una persona. El hecho si bien era un hecho noticioso, este no era de interés público, no se afectaba a la sociedad con ocultar la identidad de la madre y la hija, por lo cual se debe entender que la morbidez de las injerencias en la vida íntima de las personas debe ser punible.

Comercialización no autorizada de la información personal

La reciente Ley N° 30171[9], Ley que modifica la Ley 30096, Ley de delitos informáticos, la cual incorporó el artículo  “Artículo 154-A[10]. Tráfico ilegal de datos personales”, en el cual se presentó una nueva reformulación al delito de “traficar” con información de las personas. La creación de este delito fue una incorporación como un nuevo delito informático en el código penal, para luego ser derogado y trasladado como un delito en la Ley 30096, Ley de delitos informáticos, y en la última modificación de esta norma se deroga el artículo que trataba el delito para retornarlo al código penal pera esta vez como un delito de violación a la intimidad, conservando su misma nominación.

Las acciones a penalizar han sido reducidas a la comercialización y venta de información personal (ya no de banco de datos) de manera ilegítima, así  ya no solo se castigará si es ilegal, sino si es considerado ilegítima la acción.

Los ámbitos de información de una persona natural que son protegidos por este tipo penal son aquellos que estén en “cualquier ámbito de la esfera personal, familiar, patrimonial, laboral, financiera u otro de naturaleza análoga”, pero entendamos que los datos personales que son parte de este ámbito pueden estar tanto en la esfera de la privado como de lo íntimo, teniendo en cuenta que la esfera privada es más amplia que la intimidad.

En este tipo penal se debe tener en cuenta las disposiciones establecidas para la protección de datos personales, en especial por la determinada en Ley de Protección de Datos Personales, Ley 29733, la cual  define a los datos personales como “Toda información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados.”, y su norma reglamentaria complementa el tipo de representación de la información pudiendo ser “aquella información numérica, alfabética, gráfica, fotográfica, acústica, sobre hábitos personales, o de cualquier otro tipo concerniente a las personas naturales que las identifica o las hace identificables a través de medios que puedan ser razonablemente utilizado”.

Respecto a la información patrimonial y financiera, ambas estarán siempre dentro del ámbito de dato sensible, que es aquel tipo de dato personal que por su naturaleza íntima merece una protección especial entre los datos personales.

Las formas de tratamiento o actividad en los datos personales o sensibles deben estar previamente autorizados por la persona que es titular de esta información, salvo que exista normativa que disponga lo contrario, la forma de autorizar este consentimiento del tratamiento va a variar e incluso ser más exquisito si estamos ante un dato sensible, por ello cuando se verifique la configuración del tipo penal del 154-A se deberá tener en cuenta si la forma de consentimiento es el adecuado para el dato que es objeto de protección, por ejemplo, los datos sensibles son autorizados para su tratamiento solo mediante firma manuscrita o firma digital (u otro mecanismo análogo), por lo cual si se comercializan este tipo de dato teniendo en cuenta una autorización implícita, opción que no es aceptada por la legislación peruana, entonces estaremos ante una comercialización ilegítima, por tanto, además de la posible sanción administrativa que se pueda establecer se habrá configurado un delito penal.

La exposición de motivos del proyecto de Ley que planteó la  primera tipificación de este delito justifica la regulación debido a la facilidad de la comercialización indebida de información a precios asequibles, bases empleadas para la sistematización de datos por sectores de la industria o el comercio, ventas que se realizan en ciertas zonas comerciales. Así podemos encontrar en internet e incluso correos electrónicos ofreciendo bancos de datos personales de abonados de empresas operadoras de telecomunicaciones, afiliados a Essalud, registros de RENIEC, entre otros.

El  artículo 155 del código penal establece la agravante por razón de la función a los artículos 154 y 154-A. delimitando al agente en caso este sea “funcionario o servidor público y, en ejercicio del cargo”, al cual además se le aplicará inhabilitación conforme al artículo 36 incisos 1, 2 y 4 del código penal.

Revelación por conocimiento autorizado

El artículo 156[11] del código penal establece que quien revela aspectos de la intimidad personal o familiar que conociera con motivo del trabajo que prestó al agraviado o a la persona a quien éste se lo confió, será reprimido con pena privativa de libertad no mayor de un año.

Este motivo de trabajo, inicialmente podríamos entender por un trato directo presencial entre el agente y el agraviado, tal por ejemplo en las confidencias que pueda establecerse entre el abogado, el investigador  y su cliente, o el patrón y  su empleado.

Pero ¿podríamos entender también la relación de prestaciones contractuales de servicios en línea? Por ejemplo, aquellas páginas web en las cuales se ofrecen servicios de presentación de candidatos a una relación amorosa tal como las agencias matrimoniales, en las cuales podemos brindar información íntima, o aquellas páginas web o aplicaciones móviles que ofrecen buzones o canales de comunicación privada entre sus clientes, y para verificar que se están cumpliendo los términos y condiciones revisa los mensajes sin previo aviso o consentimiento de las personas que son parte de la comunicación, entrando así en conocimiento de información de la vida íntima de la personal y poniéndolo a disposición de terceros, incluso a la autoridad judicial por un indicio de la comisión de un delito penal.

Los archivos computarizados

El artículo 157[12] del Código Penal establece el delito penal del uso indebido de los archivos computarizados reprochando a quien organiza, proporciona o emplea de manera indebida de cualquier archivo que tenga datos referentes a las convicciones políticas o religiosas y otros aspectos de la vida íntima de una o más personas. El delito se agrava si el agente es funcionario o servidor público y comete el delito en ejercicio del cargo.

A diferencia del artículo 154-A, toda la información la información bajo protección es toda aquella que podríamos considerar como dato personal sensible, no se castigan las actividades de comercialización sino de facilitar el proporcionar la data organizada en un archivo computarizado.

Por ejemplo, si los expedientes médicos de pacientes de un centro hospitalario fuesen fotocopiados y puestos a disposición de una compañía aseguradora de salud, no se podría  aplicar el presente artículo dado que los expedientes constan en formatos de papel. Lo contradictorio es que a pesar que la data objeto de protección es de mayor sensibilidad que la comprendida en el artículo 154-A del código penal, la pena es menor en el artículo 157.
La Ley de protección de datos personales considera las convicciones políticas o religiosas y otros aspectos de la vida íntima, como los hábitos íntimos, son considerados datos sensibles, así define la ley bajo mención en su artículo 2 inciso 5 que son “Datos personales constituidos por los datos biométricos que por sí mismos pueden identificar al titular; datos referidos al origen racial y étnico; ingresos económicos, opiniones o convicciones políticas, religiosas, filosóficas o morales; afiliación sindical; e información relacionada a la salud o a la vida sexual”, y cuyo reglamento en su artículo 2 inciso 6 desarrolla la definición a “aquella información relativa a datos personales referidos a las características físicas, morales o emocionales, hechos o circunstancias de su vida afectiva o familiar, los hábitos personales que corresponden a la esfera más íntima, la información relativa a la salud física o mental u otras análogas que afecten su intimidad.”

Por tanto, si cualquier tipo de información expuesta en el párrafo anterior es facilitada sin el previo consentimiento del titular o excepción dada por ley, no respetando las formas y condiciones expuesta en la Ley de protección de datos personales y su normativa complementaria, incluso las que establecen las medidas de seguridad y confidencialidad.

Sobre todo en la acción de creación de banco de datos personales que contengan datos sensibles, su creación solo puede justificarse si su finalidad además de ser legítima, es concreta y acorde con las actividades o fines explícitos del titular del banco de datos personales.

¿Quién puede accionar?

Los delitos por violación a la intimidad son perseguibles por acción privada, pero esta regla no será aplicada para el tipo penal reconocido en el artículo 154-A, dado que se ha realizado la excepción del caso en el artículo 158[13] del código penal.  Solo en caso del artículo 154-A, el  delito seguirá siendo perseguible no solo por acción privada, en este caso de las personas cuya información personal sea objetó de tráfico ilícito,  sino también por el titular del banco de datos, e incluso de oficio.

Recomendaciones.

  • Toda intromisión a la vida íntima debe ser con el previo consentimiento de la persona o siguiendo las condiciones legales establecidas para ella.
  • En caso llevar mecanismos de espionaje o control de comunicaciones en telecomunicaciones, se debe notificar previamente el hecho y obtener el consentimiento debido, en caso de servicios on line, una opción puede ser en los términos y condiciones legales del sitio.
  • Los administradores y responsables legales deben tener en cuenta que el tráfico de datos personales también puede ser denunciados por ellos y no solo por las personas cuya información es comercializada, asimismo estos deben observar los principios y reglas establecidas para la comercialización de datos personales.
  • En caso del artículo 157 del Código Penal, la determinación de la información objeto de protección debe ser entendida con la data establecida como sensible en la Ley de protección de datos personales y su norma reglamentaria. Además, la creación (incluyendo la organización) de bancos de datos automatizados deben ser debidamente justificados, lo cual incluye una obligación aun para las entidades públicas cuando creen registros ya sea de acceso público (Registro de deudores alimentarios morosos-REDAM) o de acceso restringido (Registro Nacional de Condenas).

 

[1] Martínez de Pisón Cavero, José. El derecho a la intimidad en la jurisprudencia constitucional, Editorial Civitas, Madrid, 1993, p. 28.

[2] Calderón Navarro, Nelly; y Aliaga Huaripata, Luis Alberto. “¿Las dos caras de jano?: La publicidad registral y el derecho a la intimidad”, en XIII Congreso Internacional de Derecho Registral, marzo, Uruguay, 2001

[3] García Falconí, José C. “Derechos Constitucionales a la intimidad, privacidad y la imagen”, en Revista Judicial. Disponible en Internet:http://www.derechoecuador.com

[4] Téllez Gutiérrez, Cynthia. “El derecho a la autodeterminación informativa en los ficheros públicos peruanos. Hacia una propuesta de aplicación para lineamientos de uniformización del contenido de portales de los ficheros públicos peruanos” (Tesis), UNMSM, 2009, p. 19.

[5] Es una disciplina que consiste, ni más ni menos en sacar información a otra persona sin que esta se dé cuenta de que te está revelando “información sensible”. Definición disponible en:http://seguridadinformatica-electivap3.wikispaces.com/DEFINICION+INGENIERIA+SOCIAL

[6]Artículo 154.- El que viola la intimidad de la vida personal o familiar ya sea observando, escuchando o registrando un hecho, palabra, escrito o imagen, valiéndose de instrumentos, procesos técnicos u otros medios, será reprimido con pena privativa de libertad no mayor de dos años.

     La pena será no menor de uno ni mayor de tres años y de treinta a ciento veinte días-multa, cuando el agente revela la intimidad conocida de la manera antes prevista.

     Si utiliza algún medio de comunicación social, la pena privativa de libertad será no menor de dos ni mayor de cuatro años y de sesenta a ciento ochenta días-multa.

[7] Téllez Gutiérrez, Cynthia. Op. Cit., p. 19.

[8] Versión escrita de los comentarios formulados por Eliana Rozas O. y Jorge Molina V., según orden de las intervenciones, a la exposición de José María Desantes en seminario realizado el 28 de agosto de 1991 en el Centro de Estudios Públicos. Asimismo, se reproduce la respuesta de José María Desantes a los

comentarios de los panelistas. Disponible en Internet: file:///D:/Cynthia/Downloads/rev46_molina.pdf

[9] Publicada el 10 de marzo de 2014, en el Diario Oficial El Peruano.

[10]Artículo 154-A. Tráfico ilegal de datos personales

     El que ilegítimamente comercializa o vende información no pública relativa a cualquier ámbito de la esfera personal, familiar, patrimonial, laboral, financiera u otro de naturaleza análoga sobre una persona natural, será reprimido con pena privativa de libertad no menor de dos ni mayor de cinco años.

     Si el agente comete el delito como integrante de una organización criminal, la pena se incrementa hasta en un tercio por encima del máximo legal previsto en el párrafo anterior.”

[11]Artículo 156.- El que revela aspectos de la intimidad personal o familiar que conociera con motivo del trabajo que prestó al agraviado o a la persona a quien éste se lo confió, será reprimido con pena privativa de libertad no mayor de un año.”

[12]Artículo 157.- El que, indebidamente, organiza, proporciona o emplea cualquier archivo que tenga datos referentes a las convicciones políticas o religiosas y otros aspectos de la vida íntima de una o más personas, será reprimido con pena privativa de libertad no menor de uno ni mayor de cuatro años.

[13]  “Artículo 158*. Ejercicio de la acción penal. Los delitos previstos en este Capítulo son perseguibles por acción privada, salvo en el caso del delito previsto en el artículo 154-A.”
*Artículo modificado por el Artículo 4 de la Ley N° 30171, publicada el 10 marzo 2014.