domingo, 8 de junio de 2008

Qué deben tener en cuenta las empresas ante la ley de delitos informáticos (Argentina)

La ley de delitos informáticos que sancionó la Cámara de Diputados el miércoles tendrá consecuencias directas en la vida diaria de las empresas. La norma busca proteger la privacidad del correo electrónico, pero obligará a las compañías a establecer y publicar reglas internas para el uso de las herramientas y aplicaciones tecnológicas basadas en Internet.

Infobaeprofesional consultó a abogados especializados en tecnologías de la información y la comunicación (TIC) y a los principales proveedores de seguridad informática, quienes analizaron la nueva legislación y y recomendaron los temas que deberán tener en cuentas las organizaciones cuando comience a entrar en vigencia.
La ley cumple una vieja deuda pendiente: la actualización del Código Penal, de comienzos del siglo pasado, a la altura de las nuevas tecnologías.

Sin agujeros legales
La norma establece que el acceso indebido a a un correo electrónico o a un sistema o dato informático será un delito castigado por el Código Penal, con penas excarcelables que oscilan entre los 15 días a seis meses de prisión.

De esta manera, la nueva ley tipifica los delitos informáticos y los equipara con los de violación de correspondencia epistolar, algo que la jurisprudencia ya había establecido en los últimos años desde los juzgados. La ley también considera como delito al acceso indebido a un banco de datos personales.
Daniel Bustos Ventura, abogado y coordinador de Legal&Forensics, el departamento legal de la empresa I-Sec, explicó que la ley “sirve para cubrir varios agujeros, principalmente en lo que es correo electrónico debido a que limita mucho el tema del acceso”. Recordó que hasta el momento sólo se tenían leyes que permitían castigar “conductas parecidas, pero no específicas. Entonces se daban dudas como las siguientes: ¿Dañar una página de Internet es dañar una cosa? Abrir un correo electrónico ¿es abrir una correspondencia? ¿O distribuir pornografía por Internet encuadra dentro de lo que es distribución para el Código Penal? Todo estos vacíos legales que daban cuenta de conductas parecidas son los que se cubren con el nuevo proyecto.

Christian Vila-Toscano, consultor de I-Sec, recordó también que hasta ahora “no había una ley que dijera que el e-mail no se podía leer. Las normativas vigentes lo que hacían era operar a través de analógicas. Ahora ya contás con una ley específica”.

Políticas internas claras
“Esta norma está destinada a proteger la infraestructura tecnológica de las empresas y a penalizar a los ‘hackers’ que de alguna manera las afectan”, dijo Pablo Palazzi, abogado especialista en derecho informático.
Sin embargo, las compañías deberán ser cuidadosas en el uso de la tecnología, explicó. Por ejemplo, a partir de esta ley es considerado como un delito el acceso de un correo electrónico sin permiso.
Las organizaciones deberán poner en práctica y comunicar internamente una política de privacidad que en forma clara y definida informe a sus empleados cuáles son los límites en el uso de las herramientas tecnológicas de la empresa, y cuáles son las consecuencias, advirtió.
Palazzi enfatizó en la importancia de aclarar que la empresa ejercerá un control sobre el correo electrónico del trabajador y la forma en que lo hará. Recalcó que con la reforma el acceso indebido a los sistemas informáticos es un delito. Sin embargo, recordó que los testeos y las pruebas de la seguridad de un sistema de una empresa por parte de consultores especializados (una práctica conocida como “hacking ético”) no deberá ser considerado como tal. Para ello es recomendable que exista un documento de seguridad donde se acuerde y consienta esta operación.
“Ya podemos decir que legalmente la obligación de seguridad se aplica a ambientes TI y tiene consecuencias legales”, concluyó.

Penas de prisión
Horacio Granero, socio de Allende & Brea comentó que la ley castiga con penas de quince días a seis meses “a quien abriere o accediere indebidamente a una comunicación electrónica, una carta, un pliego cerrado… al que no esté dirigido”.
Indicó que en este caso deberá analizarse en forma concreta la política de privacidad de cada empresa, con el fin que los empleadores puedan analizar los e-mails de los empleados y así resguardar el correcto uso de los elementos informáticos de la compañía. De no hacerlo en forma correcta el acceso a la información por parte de las firmas podría ahora ser considerado “indebido” y por lo tanto incluido en el nuevo tipo legal, enfatizó.
En cambio, Claudio Avín, especialista en Soluciones de Seguridad de Microsoft Argentina opinó que las penas son “muy livianas, porque no deja de ser un delito aunque se haga con una herramienta, si se quiere, de guante blanco”. En ese sentido, planteó qué sucederá “cuando alguien, sin querer, manda un e-mail que puede ser ilegal. Un ejemplo: ¿qué pasa si a tu PC le entra un malware (código malicioso) y envía un e-mail pornográfico? Porque ahora la pornografía por Internet está penada. ¿Es culpa tuya por no tener segura la PC? ¿La culpa es de la empresa? El problema, hasta ahora, sigue siendo la autenticación de la identidad. La identidad sigue siendo muy fácil de violar”.
Daniel Monastersky, titular de Monastersky & Asociados Abogados, resaltó que la reforma permite ahora a las empresas hacer valer sus derechos y acceder a la justicia en el caso de que su sitio web o sus soportes informáticos sean violados.
Explicó que el presupuesto para que se haga efectiva la sanción penal es la “intromisión indebida” de un tercero en la base de datos de la compañía. “El hackeo de programas, la interrupción de comunicaciones y el espionaje industrial –obtención de información por parte de empleados infieles- serán ahora penados por la ley”, concluyó.


La visión de Microsoft
Desde Microsoft, el mayor fabricante mundial de software, se respaldó la iniciativa sancionada, aunque se recordó que las empresas ya cuentan con las herramientas tecnológicas para cumplirla.
Lucas Martínez, gerente de Iniciativas de Seguridad de Microsoft Cono Sur, explicó en ese sentido y con relación a “la sanción de la violación de correo, esto no es una cuestión de software. Por el contrario, la responsabilidad queda en manos del empresario”.
“Igualmente, y aunque fuera un problema de software, en nuestro caso uno de los cambios de SQL 2008 es que permite hacer una auditoria de datos y operar todo el sistema pero sin poder ver la información. Eso te asegura que un administrador, por más permisos que tenga, no pueda entrar a la información almacenada”, dijo Martínez.
Claudio Avin, especialista en Soluciones de Seguridad de Microsoft Argentina, advirtió que las empresas van a tener que comenzar a revisar diversas herramientas informáticas porque puede que muchas no estén en sintonía con lo que marca la ley.
“En el caso del correo si bien uno no puede revisar la correspondencia tradicional, sí puede meterse en el servidor y revisar el contenido”, señaló. “El administrador de sistemas va a ser clave porque de él dependerán las herramientas que pueden generar o no legalidad”, afirmó.
Para Avín, el empresario argentino tiene hoy su sistema de correo con herramientas que permiten revisar los correos. O sea, no está haciendo nada que el software no permita hacerlo “pero eso mismo –advirtió-- ahora pasará a ser ilegal. De este modo, lo que entrará en juego es el comportamiento del empresario”.
Con relación a los cambios que motivará la ley, estimó que se deberá encarar “un análisis importante no sólo del lado del usuario empresarial, sino también del usuario de Internet en general. La ley no implicará tanto un cambio de software sino más bien un cambio en la actitud de los empresarios. Seguramente habrá nuevas herramientas que permitan adecuarse a la ley. El problema de esas herramientas, en todo caso, está en cómo son utilizadas”, concluyó.

Propiedad intelectual
Ariel Beliera, ingeniero de Sistemas para el Sur de América latina de Symantec, el mayor fabricante mundial de software de seguridad, señaló que “no debe auditarse la información personal pero sí monitorearse que la información privada de la empresa no fluya. Ahí está el negocio –remarcó-- y es lo que, en todo caso, le importa a las empresas. Todo esto tiene que ser evaluado a través de abogados para, como es de suponer, conocer los límites”.
Beliera señaló que también se debe “estudiar el orden dentro de las empresas. Porque se puede decir que la información que desarrolla una persona dentro de una organización por un tema contractual es un trabajo en pos del negocio de la empresa. De ahí --subrayó-- que halla que definir qué es propiedad intelectual y qué es información confidencial del usuario en la empresa. Pero inclusive en esos casos siempre se pueden dar grises”.
Avín recordó que hubo “algunas malas experiencias con la ley de datos personales”, y afirmó que la ley “regula el manejo de la información, pero se siguen viendo en sitios de Internet públicos en los que se ofrecen bases de datos de la Argentina. Y eso es ilegal”. Para el consultor de Microsoft, “todo irá mejor de acuerdo a la fuerza con la que se haga cumplir la ley. Otro problema, y ya en el caso de los jueces, es la falta de educación en el tema. Dependerán mucho de sus asesores”.

Consecuencias para los proveedores
Vila recordó que además de las empresas, “los que se van a tener que preparar mucho con esta ley son los proveedores de Internet. Ahora ellos también son responsables. Y lo bueno de la ley es que le da un montón de herramientas al usuario para poder protegerse”. La cuestión según Vila es la siguiente: “Hoy el proveedor opera recibiendo y correo y reenviándolo, pero en ese trayecto puede leerlo. En la actualidad es así. Ahora el proveedor tendrá que cambiar su manera de trabajo y sumarse a lo que sucede en el resto de los países. Por ley ahora está prohibido que tengan la facultad de leer tu correspondencia”.

Sentencias antes de la reforma
En junio pasado, la jueza Ana Elena Díaz Cano había considerado que invadir una cuenta de e –mail ajena y utilizar la información en un juicio civil configuraba una “conducta atípica” –no prevista en el Código Penal- y que, en consecuencia no constituía delito.
Con este fundamento la magistrada había rechazado la presentación de un abogado que denunció, precisamente, que le habían “hackeado” su cuenta de correo electrónico.
La jueza entendió que la legislación no preveía episodios de esta naturaleza, por lo que consideró que se trataba de una “conducta atípica” y, en consecuencia, no punible.
“Por más que existan en tratamiento diversos proyectos de ley que se refieren a lo que en doctrina se denominan ‘delitos informáticos’... lo cierto es que aún no existe tal previsión legal”, sostuvo la jueza.
La magistrada había formulado una exhortación indirecta al Poder Legislativo para que subsane el vacío legal en relación con los delitos informáticos.

La polémica
En su momento, la sentencia de Diaz Cano originó distintas críticas de los especialistas quienes debatieron en torno a si existía o no un vacío legal en la materia, como asimismo también a si la intromisión en una casilla ajena de e –mail vulneraba derechos protegidos por la Constitución Nacional.
Así, Ricardo Weschler, fiscal de la Cámara Nacional de Casación Penal, consideró que “hackear información del correo electrónico constituye delito" y aseguró que "no cree que haya vacío legal”.
Según el funcionario, la Corte tipificó estas conductas como delito y, aunque falta especificación, “toda violencia contra la privacidad constituye delito contra la libertad”.
“La jurisprudencia equiparó estas conductas con los delitos contemplados dentro del Código Penal que implican intromisión de la privacidad”, dijo Weschler.
Para Gregorio Badeni, Profesor titular de Derecho Constitucional de la Universidad de Buenos Aires, la conducta no sancionada en aquel momento vulneraba las garantías consagradas en los artículos 18 y 19 de la Constitución Nacional.
El constitucionalista consideraba, además, que la conducta no castigada se encontraba tipificada en el artículo 153 del Código Penal, por lo que descartaba que existiera vacío normativo en la materia.

Otros antecedentes judiciales
Existen fallos que han equiparado la comunicación por internet o electrónica a la correspondencia epistolar y han extendido la garantía del artículo 18 de la Constitución Nacional (inviolabilidad de la correspondencia epistolar) a aquellas.
En ese sentido pueden mencionarse la sentencia dictada por la Sala I de la Cámara del Crimen en el caso “Grimberg” (2003) y la sentencia fallada por la Sala VI de la misma Cámara en el caso “Lanata”.
De la misma manera se manifestaron las Salas VIII y X de la Cámara laboral en los casos “Pereyra” (2003) y “Vestiditos S.A.” (2003)

Daniela San Giovanni, Patricio Eleisegui, Matías Debarbieri y César Dergarabedian
Infobaeprofesional.com

No hay comentarios: