Seguridad de La Información Libro PDF
SE||))) INERMIú Revista de la Segunda Cohorte del Doctorado en Seguridad Estratégica Guatemala, 2014 UNIVERSIDAD DE SA
Views 115 Downloads 4 File size 4MB
Recommend stories
- Author / Uploaded
- WalterCastroSilva
- Categories
- Hardware de la computadora
- Almacenamiento de datos de la computadora
- Malware
- Internet
- Cibercrimen
Citation preview
SE||)))
INERMIú
Revista de la Segunda Cohorte del Doctorado en Seguridad Estratégica Guatemala, 2014 UNIVERSIDAD DE SAN CARLOS
DE GUATEMALA
Universidad de San Carlos de Guatemala Facultad de Ciencias Jurídicas y Sociales Escuela de Estudios de Postgrado
Revista de la Segunda Cohorte del Doctorado en Seguridad Estratégica
Guatemala, 2014
Universidad San Carlos de Guatemala Facultad de Ciencias Jurídicas y Sociales Escuela de Estudios de Postgrado (EEP) Doctorado en Seguridad Estratégica Seminario: Seguridad de la Información
Decano: MSc. Avidán Ortiz Orellana Director EEP: Dr. René Arturo Villegas Lara Primera Edición, 2014 Se permite la reproducción parcial o total de este documento, siempre y cuando no se afecten los derechos de autor y de edición. Se estimula el uso de todo o parte de este documento con fines de estudio e investigación, con la correspondiente mención de la fuente bibliográfica. Los contenidos desarrollados en los textos son responsabilidad exclusiva de sus autores. ISBN: 978-9929-40-621-6
Universidad San Carlos de Guatemala Facultad de Ciencias Jurídicas y Sociales Escuela de Estudios de Postgrado (EEP) Doctorado en Seguridad Estratégica Seminario: Seguridad de la Información
Consejo Editorial Compiladores Maestro:
Celvin Manolo Galindo López (Coordinador) Alfredo Bladimir Mena William Rolando Santizo Herrera
Maestra:
Sara Elizabeth Alonzo Mendoza de Arreaga Morelia García Arriaza
Diseño de Portada y Diagramación Marilyn Alonzo
Revisión Editorial Carolina Villatoro
PRÓLOGO El Seminario de Derecho Informático y Seguridad de la Información, dirigido por el catedrático Dr. Aníbal González Dubón, del pensum del Programa de Doctorado en Seguridad Estratégica impartido en la Facultad de Ciencias Jurídica y Sociales de la Escuela de Estudios de Postgrado de la Universidad de San Carlos de Guatemala, ha brindado la oportunidad a los candidatos a doctores a publicar ensayos sobre temas relacionados con el ámbito de la seguridad de la información. En la presente revista se presenta una serie de ensayos desde la perspectiva de la importancia de la información en todas sus formas y estados, la cual se ha transformado en un activo estratégico a proteger y asegurar para garantizar su integridad, confidencialidad y disponibilidad; considerando el mundo globalizado en que vivimos y los alcances que ha desarrollado la tecnología, que está arrollando con cualquier forma de control, haciendo vulnerable cualquier sistema sofisticado que opere en cualquier país desarrollado. El aseguramiento de la información requiere instalar una cultura de seguridad e implementar una adecuada combinación de conceptos tecnológicos, metodologías, estándares, herramientas de gestión y recursos capacitados, que sean capaces de contrarrestar cualquier acto que tenga como objetivo transgredir la ley, en tanto que constantemente surgen nuevas formas de transgresión y que los Estados se sienten incapaces de poder legislar todas las conductas ilícitas nuevas en virtud que la tecnología y los sistemas informáticos son cambiantes aceleradamente. En suma, se presentan en esta revista temas desarrollados por los candidatos a doctores, con un enfoque de aportes construidos desde la particular concepción de su formación académica y que se nutre de su posicionamiento intelectual adquirido en las aulas universitarias.
Consejo Editorial Guatemala, diciembre 2014
Índice
Introducción a la Informática y la Seguridad Por Alonzo de Arreaga, Sara E.
7
Tecnologías de la Información y el Derecho Por Alvarado Franco, Manuel Antonio
19
La Seguridad en las Redes Abiertas Por Arreola Illescas, Saúl D.
29
El Comercio Electrónico Por Arriaza García, Elmer Eduardo
50
Los Mensajes de Datos Por Calles Domínguez, Iliana G.
62
La Firma Electrónica Por Herlyss Omibar, Edelman Hernández
75
La Firma Electrónica Avanzada y su Certificación Por Galindo López, Celvin Manolo
89
Los Delitos Informáticos Por García Arriaza, Morelia
120
Los Actores Jurídicos Instrumentados Digitalmente Por García Velásquez, Selvin Boanerges
142
Los Sistemas de Pagos Digitales Por Garnica Guerrero de Bolaños, Norma Patricia
151
Seguridad de la Información Por Godoy Lemus, Rodolfo
160
Transmisión de Datos entre Países Por Gonzales Estrada, Dayrin
174
Modalidades de Protección de Datos Por Guízar Ruíz, Carlos Humberto
185
La Protección Jurídica de la Información Por Hernandez, Lesvia Antonieta
202
El Habeas Data Por Mena, Alfredo Bladimir
218
La Constitución Política y la Protección de la Información Por Quilo Jauregui, Jorge Melvin
230
Reconocimiento de las Comunicaciones y Firmas Electrónicas Por Reyes Córdova, Erick German
241
La Ley Contra el Crimen Organizado Por Reyes Córdova, Mario René
258
El Secreto Bancario Por Reyes Palencia, Franco Vinicio
281
La Política Pública y el Principio de Transparencia Por Sierra Romero, Carlos René
291
La Protección de la Información Fiscal Por Santizo Herrera, William Rolando
308
El Derecho a la Privacidad Por Solís Avalos, Miguel Roberto
328
La Protección de la Correspondencia, Libros y Comunicaciones Privadas Por Vélez González, Marco Antonio
339
La Protección de las Comunidades Telefónicas Por Zarceño Gaitán, Rogelio
351
“Introducción a la Informática y suSeguridad” Alonzo Mendoza, Sara E. Maestría en Ciencias Políticas y Sociales, Universidad Pompeu Fabra, Barcelona-España.
7
Contenido Introducción
9
I. Historia de la informática II. La informática III. La Seguridad en la Informática
9 11 13
Conclusiones Bibliografía
18 18
8
Introducción Durante el silgo XXI, la informática y la seguridad, son componentes que van de la mano para el resguardo de la información generada por las entidades. En este ensayo se ha planteado ¿Cuál es la relación entre la información y seguridad? esta investigación puede formar parte de un conocimiento general acerca de la seguridad informática para entidades privadas y públicas. Uno de los activos más importantes es la información generada por los componentes de la informática, es por ello que su resguardo es de mayor importancia. Es así como se desarrolla la seguridad informática, la cual intenta proteger el almacenamiento, procesamiento y transformación de la información digital. La parte esencial de esta investigación es conocer un poco más acerca del desarrollo de la informática hacia lo que es hoy, asimismo, analizar qué es la informática y qué es la seguridad en la informática. En la actualidad, aún se están estableciendo las capacidades de los instrumentos de seguridad para el resguardo de la información, en este mundo de la informática, se combina lo tangible y lo intangible.
I. Historia de la informática Los seres humanos han utilizado el proceso de almacenamiento, recuperación, manipulación y comunicación de la información desde las primeras civilizaciones conocidas. A lo largo de la historia el desarrollo de la informática se divide en cuatro fases: la primera de ellas, se caracterizó por la pre-mecánica (3,000 A.C. – 1450 D.C.); la segunda, la mecánica (1450 a 1840); la tercera, la electromecánica (1840 a 1940);
9
y la última, la electrónica (1940 al presente). Actualmente, en el siglo XXI, los avances de la tecnología de la información han transformado al mundo y lo han hecho más globalizado. El siglo XVII, tras la invención de la calculadora, marcó el inicio de invenciones más complejas en donde se era capaz de realizar operaciones básicas de aritmética. Las computadoras u ordenadores, como se conocen actualmente se empezaron a construir a inicios de la década de los cuarenta en el siglo XX. En 1941, se hizo la primera computadora, permitiendo en la década de los noventa que las computadoras fueran de acceso al público común, y no sólo para el gobierno y empresas multinacionales. A mediados del siglo XX, el avance de la informática aún era muy limitado, para ese momento su acceso no se había pensado para las masas, ni que fuera algo global, en donde se pudieran exhibir y vender bienes o servicios; ya no se diga hacer transferencias de dinero o pagos con tarjeta de crédito, ni que dichos actos tuvieran un reconocimiento legal y, por tanto, consecuencias de derecho. Hoy sabemos que todo eso y mucho más es posible gracias a que las nuevas tecnologías y la investigación en esta materia han permitido el desarrollo de diversos medios electrónicos tales como el internet, cuyo uso ha obligado a reconocer la existencia de documentos legales. En 1958, la informática se desarrolló de una forma más estructurada, creando otra rama, mencionada por los autores Harold J. Leavitt y Thomas L. Whilser, en un artículo publicado en el Harvard Business Review, en el que denominan a esta tecnología como information technology (siglas en inglés, IT) dividida en tres categorías: técnicas de procesamiento de información, la aplicación de métodos estadísticos y matemáticos para la toma de decisiones, y la simulación de pensamiento de orden superior a través de programas de ordenador. Actualmente, las computadores no son las únicas que usan la informática, también, las empresas televisivas y telefónicas lo hacen.
10
II. La informática La informática es una ciencia que se ocupa del tratamiento automático de la información usando equipos electrónicos llamados computadores. El tratamiento de la información consta de tres fases: la entrada de datos1 , el procesamiento de dichos datos, los cuales se convierten en información2, y la salida de los resultados; a continuación, se detalla cada una de las fases:
• Fase de entrada: el usuario introduce los datos a través de unos dispositivos conectados al ordenador, los cuales son denominados como periféricos de entrada, algunos ejemplos son el teclado y el ratón (mouse). • Fase de proceso: una vez recibidos los datos, el ordenador los almacena en la memoria y realiza las operaciones necesarias para obtener los resultados. • Fase de salida: el ordenador muestra los resultados y lo hace a través de dispositivos conectados a éste; los cuales son conocidos como periféricos de salida, y son por ejemplo, el monitor y la impresora.
En la actualidad, la cantidad de datos hace difícil su procesamiento, por lo cual se necesita automatizar el proceso y de ello surge la informática (información automática). Es así como los datos se convierten en información y la información al ser analizada permite la toma de decisiones. El principal objetivo de la informática es la 1 Datos: dígito, palabra o hecho, que al ser sometidos a un proceso adquieren un significado, y de datos se convierten en información. Con esa información se toman decisiones. El Proceso de Datos se hace mediante a la automatización de los mismos. Al procesar los datos se obtiene la información que permita la toma de decisiones. 2 Información: es el conocimiento relevante producido como resultado del procesamiento de datos y adquiridos por la gente para realizar un propósito específico.
11
obtención de información a través de un proceso automático; por otro lado, el objetivo de la información es la toma de decisiones. Hoy en día existen diferentes herramientas informáticas, puede ser cualquier dispositivo que permita automatizar datos, siendo el principal de ellos el computador u ordenador. Los principales componentes de la informática son el hardware, que refiere al soporte físico, y el software, el soporte lógico. La parte física de un computador, hardware, son los materiales con los que está construido un computador, éste, puede ser parte de la fase de entrada y salida para el tratamiento de la información. Ejemplos de hardware son el monitor, teclado, impresora, cables, conectores, etc. Sin embargo, uno de estos componentes físicos más importantes es la placa base, ya que es donde todos los elementos electrónicos del interior del computador se encuentran conectados. Es allí donde circulan los datos procedentes de distintos dispositivos y la corriente necesaria para que el sistema funcione. Otro componente importante del hardware, es el CPU, conocido como la “unidad central de proceso”, el cual es el “cerebro” del ordenador, éste controla y coordina el funcionamiento de todos los dispositivos conectados al ordenador, interpreta, elabora y ejecuta las instrucciones que recibe de otros dispositivos. También la memoria principal o memoria RAM, conocida como “la memoria de acceso aleatorio”, es uno de los principales componentes físicos del ordenador, ya que allí se almacena toda la información, es decir las instrucciones de los programas que se ejecutan y los datos o información que recibe de los diferentes dispositivos, sean de entrada o de salida. Anteriormente la capacidad de memoria se medía en bytes, ahora lo más común es en Gigabytes (Gb) y Terabytes (Tb). Otra parte física importantes es la memoria ROM, “memoria de sólo lectura”, es una memoria cuyo contenido no puede alterarse. En
12
ella el fabricante almacena las instrucciones básicas, entre las que se encuentra la rutina de arranque. También, otro elemento importante son las ranuras de expansión o slots, que se encuentran en la placa base, estos son conectores que insertan las tarjetas. Así como los “buses”, son los caminos que comunican los dispositivos integrados en la placa base. El software, o la parte blanda del ordenador, son los programas que ponen en funcionamiento el ordenador, le ayuda para interpretar las instrucciones que recibe a través de los distintos componentes, permitiendo realizar múltiples tareas. Los programas están formados por instrucciones que indican al ordenador la función que ha de realizar en cada momento. Según la función que desempeñan los programas que componen el software, se puede dividir en tres tipos: software de sistemas, software de programación y software de aplicación. El software de sistemas está formado por los programas que coordinan y controlan el hardware, además de dotar al ordenador de capacidad para interpretar y ejecutar las órdenes trasmitidas por el usuario. Estos programas son conocidos como sistemas operativos.
III. La Seguridad en la Informática La informática permite la permanente vulnerabilidad de la información digital, es por ello que se habla la seguridad informática, que es aquella que intenta proteger el almacenamiento, procesamiento y transformación de la información digital, esto a pesar de todas las medidas correspondientes. La seguridad completa es imposible. Algunas entidades escogen una “auditoría de seguridad informática”, contratando a una empresa externa especializada en seguridad informática para que revise los equipos y procedimientos. 13
No obstante es importante recalcar que los mecanismos de seguridad deben estar adaptados a cada caso particular, sin embargo, se pueden dar lineamientos generales. El primero de estos lineamientos es, identificar los activos que se deben proteger. La mayoría de los activos se encuentra en los siguientes componentes: • Equipos: no se pueden sustraer los equipos, ni tampoco introducir nuevos equipos no autorizados. • Aplicaciones: software que ayuda a llevar a cabo el trabajo, no se debe instalar otro software que no sea necesario, para no vulnerar la seguridad. • Datos: ya que son exclusivos de la institución, sea privada o pública. • Comunicaciones: se deben utilizar canales seguros para el intercambio de datos o de información.
Al enlistar lo anterior, se pone en relevancia la importancia de la seguridad física, lo tangible en la informática, que es todo lo referido a los equipos informáticos: ordenadores de propósito general, servidores especializados y equipamiento de red. Por otro lado, es importante la seguridad lógica, la parte intangible, y se refiere a las distintas aplicaciones o software que ayudar a ejecutar las tareas en cada uno de estos equipos. A continuación, se identifican las amenazas para cada una de estas seguridades:
la seguridad Amenazasfísica a
•
Desastres Robos. Fallos de suministros. naturales.
Amenazas contra la seguridad lógica • • •
Virus, troyanos y malware. Pérdida de datos. Ataques a las aplicaciones de los servidores. Elaboración: Propia.
14
Para accionar en contra de estas amenazas se puede reaccionar o prevenir, es por ello que dentro de la seguridad informática, se identifican dos tipos de seguridad:
• Seguridad Pasiva: es cuando todos los mecanismos con los que, cuando se sufre un ataque, se tiene una recuperación razonable. Por ejemplo, cuando existe una copia de seguridad o cuando se daña el disco duro. • Seguridad Activa: cuando se intenta proteger de los ataques mediante la adopción de medidas que protejan los activos de la empresa.
Para mantener la seguridad en los datos y la información, los activos más importantes a resguardar, deben manejarse las siguientes medidas:
Cooficialidad
Busca garantizar que una información sólo sea utilizada por los usuarios y las máquinas que lo necesitan. Se materializa en autenticación, confirmando al usuario, autorización, las operaciones que puede efectuar, y cifrado; los datos de almacenan cifrados para que no puedan ser aprovechados por nadie que no esté debidamente autenticado y autorizado.
Integridad
Intenta que los datos almacenados por un usuario no sufran ninguna alternación sin su consentimiento.
15
Disponibilidad
Se refiere a todas las técnicas dirigidas a mantener activo un servicio.
No repudio
Que ninguna de las partes que intervienen en una relación pueda negarlo. Elaboración Propia.
Es así como se pueden prevenir varios tipos de ataque, como los siguientes:
• Interrupción: El ataque consigue provocar un corte en la prestación de un servicio: el servidor web no está disponible, el disco en red no aparece o sólo se puede leer (no escribir), etc. • Interceptación: El atacante ha logrado acceder a nuestras comunicaciones y ha copiado la información que estábamos transmitiendo. • Modificación: Ha conseguido acceder, pero, en lugar de copiar la información, la está modificando para que llegue alterada hasta el destino y provoque alguna reacción anormal. Por ejemplo, cambia las cifras de una transacción bancaria. • Fabricación: El atacante se hace pasar por el destino de la transmisión, por lo que puede tranquilamente conocer el objeto de nuestra comunicación, engañarnos para obtener información valiosa, etc.
16
A las personas que propician este tipo de amenazas, riesgos y vulnerabilidades, se les puede catalogar de la siguiente forma:
• Hacker: Ataca la defensa informática de un sistema solo por el reto que supone hacerlo. Si tiene éxito, moralmente debería avisar a los administradores sobre los agujeros de seguridad que ha utilizado, porque están disponibles para cualquiera. • Cracker: También ataca la defensa, pero esta vez sí quiere hacer daño: robar datos, desactivar servicios, alterar información, etc. • Script kiddie: Son aprendices de hacker y cracker que encuentran en Internet cualquier ataque y lo lanzan sin conocer muy bien qué están haciendo y, sobretodo, las consecuencias derivadas de su actuación (esto les hace especialmente peligrosos). • Programadores de malware: Expertos en programación de sistemas operativos y aplicaciones capaces de aprovechar las vulnerabilidades de alguna versión concreta de un software conocido para generar un programa que les permita atacar. • Sniffers: Expertos en protocolos de comunicaciones capaces de procesar una captura de tráfico de red para localizar la información interesante. • Ciberterrorista: Cracker con intereses políticos y económicos a gran escala. Como se evidencia la seguridad de la informática hoy en día es de vital importancia para las entidades públicas y privadas, la capacidad preventiva para evitar las amenazas, riesgos y vulnerabilidades son importantes, así como la capacidad de resiliencia. Las personas que ejecutan este tipo de delitos, a veces son personas que no se pueden identificar fácilmente. Algunos Estados, han optado por crear leyes que tipifiquen este tipo de delitos, así como comandos de seguridad para el resguardo de la información de los ataques a los sistemas informáticos.
17
Conclusiones • A lo largo de la historia el desarrollo de la informática se divide en cuatro fases: la pre-mecánica (3,000 A.C. – 1450 D.C.); la segunda, la mecánica (1450 a 1840); la tercera, la electromecánica (1840 a 1940); y la última, la electrónica (1940 al presente). • La informática es una ciencia que se ocupa del tratamiento automático de la información usando equipo electrónicos llamados computadores. El tratamiento de la información consta de tres fases: la entrada de datos, el procesamiento de dichos datos, los cuales se convierten en información, y la salida de los resultados. • La seguridad informática es aquella que intenta proteger el almacenamiento, procesamiento y transformación de la información digital, esto a pesar de todas las medidas correspondientes. La seguridad completa es imposible.
Bibliografía Galdámez, Pablo. Seguridada Informática. 2003. Microsft Windows. «Introducción a la informática.» s.f. http://www.mcgraw hill.es/bcv/guide/capitulo/8448146573.pdf (último acceso: 23 de 09 de 2014).
Roa Buendía, José Fabián. «Conceptos sobre seguridad informática.» Seguridad Informática. Editado por S. L. McGraw-Hill/Interamericana de España. Madrid, 2013.
18
“Tecnologías de la Información y el Derecho”
Alvarado Franco, Manuel Maestría en Administración de Empresas Escuela Superior Internacional
19
Tecnologías de la Información y el Derecho Existen múltiples definiciones de las Tecnologías de la Información: “son las que giran en torno a tres medios básicos: la informática, la microelectrónica y las telecomunicaciones; pero giran, no sólo de forma aislada, sino lo que es más significativo de manera interactiva e interconexionadas, lo que permite conseguir nuevas realidades comunicativas”. (Cabero, 1998: 198) Las tecnologías de la información son “las herramientas y métodos empleados para recabar, retener, manipular o distribuir información. La tecnología de la información se encuentra generalmente asociada con las computadoras y las tecnologías afines aplicadas a la toma de decisiones.” (Bologna y Walsh, 1997: 1). Las tecnologías de la Información han modificado la manera tradicional de hacer las cosas, en el gobierno, las empresas privadas y en cualquier ámbito se utilizan las tecnologías de la información mediante la Internet, las tarjetas de crédito, el pago electrónico de nóminas, entre otras funciones. La primera generación de computadoras estaba destinada a guardar los registros y monitorear el desempeño operativo de las empresas, pero la información no era oportuna ya que el análisis obtenido en un día determinado en realidad describía lo que había pasado una semana antes. Los avances actuales hacen posible capturar y utilizar la información en el momento que se genera, es decir, tener procesos en línea. Este hecho no solo ha cambiado la forma de hacer el trabajo y el lugar de trabajo sino que también ha tenido un gran impacto en la forma en la que las empresas compiten (Alter, 1999). La Internet (International Computer Network) es el fenómeno más importante de las Nuevas Tecnologías de la información y la comunicación a partir de la década de los noventa del siglo pasado.
20
En este nuevo milenio, Internet se presenta como un paso decisivo en el avance de los sistemas de información y comunicación a escala mundial. Gracias a Internet cada ciudadano, sin moverse de su casa, puede acceder a los centros de documentación más importantes del mundo, puede realizar las más diversas operaciones financieras y comerciales, gozar de una enorme oferta de entretenimientos de la más diversa especie, y se puede comunicar con otros usuarios de la red sin limitaciones de número ni distancia. Hace algunos años la “aldea global” era el gran reto del futuro, pero ahora Internet ha convertido el “hogar global” en la realidad presente, en la medida en que cada domicilio de los usuarios de la red constituye la terminal de un sistema integrado universal. Internet es una red de redes que conecta millones de ordenadores pertenecientes a instituciones académicas, entes gubernamentales, empresas privadas y un número creciente de internautas particulares. Se calcula que en la actualidad la emplean más de cien millones de usuarios, cifra que aumenta con una dinámica expansiva e ilimitada. La explosión de su crecimiento se ha debido principalmente a la difusión del parque de ordenadores personales equipados con módem y con posibilidades de conectarse a la red telefónica. Con la aparición de herramientas de uso de la red accesibles a todos, se ha multiplicado el número de usuarios no especialistas en informática, frente al carácter privativo para los expertos que Internet tuvo en sus inicios (Colom y Van Bolhuis, 1995; Moreno, 1995; Rico, 1995). El ciberespacio es un microcosmos digital en el que no existen fronteras, distancias ni autoridad centralizada. Su conquista se ha convertido en meta obligada para quien quiera sentirse miembro de la sociedad informática. En la actualidad es uno de los puntos de encuentro para el ocio y el negocio, que cuenta con mayores perspectivas de futuro (Castillo, 2003; Lagares, 2000; Rico, 1995; Sánchez Bravo, 2001). A la par de esas incuestionables ventajas derivadas de las inmensas
21
posibilidades de conocimiento, actuación y comunicación que permite la navegación por el ciberespacio, la Internet hizo surgir en los últimos tiempos graves motivos de inquietud. La opinión pública internacional se ha conmocionado con el tráfico de imágenes de prostitución infantil a través de la Internet, así como la utilización de la red para difundir propaganda de grupos terroristas, ha supuesto la confirmación de un peligro desde hace algún tiempo anticipado. Los miles de ciudadanos que de manera inmediata o potencialmente son agredidos por esas imágenes o mensajes criminales, abren una brecha en la inconsciencia cívica y política sobre los peligros que entrañan determinadas manipulaciones de las nuevas tecnologías. Ha sido preciso llegar a esta situación para que el conformismo cotidiano de quienes tienen como misión velar por la tutela de las libertades, y quienes tienen como principal tarea cívica el ejercerlas, se viese agitado por la gravedad del riesgo y la urgencia que reviste su respuesta. No es admisible, al menos para juristas, políticos y tecnólogos, aducir sorpresa o desconocimiento de los eventuales peligros implícitos en el uso de las nuevas tecnologías. Desde hace tres décadas, quienes han evaluado el impacto de la informática en las libertades, han alertado sobre esos peligros. Cualquier especialista mínimamente avisado incurriría en negligencia inexcusable de haberlos desatendido. En las sociedades avanzadas con tecnología de punta ya no se puede juzgar como una amenaza remota las advertencias y experiencias de asalto informático a las libertades, que con el descubrimiento de los abusos perpetrados a través de Internet se han convertido en una siniestra realidad (Branscomb, 1995; Cavazos y Morin, 1994; Lagares, 2000). La Internet ha supuesto un factor de incremento de formas de criminalidad, al potenciar la difusión de sabotajes, virus y abordajes a los sistemas por parte de un número imprevisible e incontrolable de piratas informáticos (Hackers). Las “autopistas de la información”
22
entrañan también un grave riesgo para la protección de los programas. Asimismo, la facilidad de intercambiar informaciones a distancia puede generar importantes peligros para la protección de los datos personales. La Internet implica el riesgo de un efecto multiplicador de los atentados contra derechos, bienes e intereses jurídicos (Bensoussan, 1996; Iteanu, 1996; Ribas, 1996). Su potencialidad en la difusión ilimitada de imágenes e informaciones la hace un vehículo especialmente poderoso para perpetrar atentados criminales contra bienes jurídicos básicos: la intimidad, la imagen, la dignidad y el honor de las personas, la libertad sexual, la propiedad intelectual e industrial, el mercado y los consumidores, la seguridad nacional y el orden público (Pérez Luño, 1998; 2000; Sánchez Bravo, 2001). El carácter internacional e ilimitado de esas conductas hace más difícil su descubrimiento, prevención y castigo, ya que incluso en los casos en que puedan ser detectadas pueden plantearse conflictos sobre la jurisdicción sancionadora competente. Existe una evidente dificultad para determinar la responsabilidad jurídica en un medio, como el de la Internet, en el que existen diferentes operadores que concurren en la cadena de comunicaciones: el proveedor de la red, el proveedor de acceso, el proveedor de servicio y el proveedor de contenidos. Este problematismo se agudiza cuando los diferentes elementos de la cadena se hallan en países distintos con legislaciones, a su vez, diferentes. En la doctrina francesa se ha aludido al fenómeno de “délocalisation” de Internet (Piette-Coudol y Bertrand, 1997; Lagares 2000), para hacer hincapié en los problemas jurídicos que plantea establecer el Derecho aplicable a actuaciones realizadas en una red planetaria sin “localización” geográfica precisa y determinada. También debe tenerse en cuenta la dificultad que entraña establecer la responsabilidad derivada de determinados contenidos ilícitos transmitidos a través de Internet. A tenor de las diferentes regulaciones legislativas nacionales se tenderá a hacer recaer dicha responsabilidad
23
en los creadores de la información, en los que han facilitado su transmisión y acceso a la misma, o en los consumidores que la aprovechan o utilizan (Piette-Coudol y Bertrand, 1997; Stuckey, 1995). La Internet plantea una preocupante paradoja, que deriva de su eficacia global e ilimitada para atentar contra bienes y derechos, mientras que la capacidad de respuesta jurídica se halla fraccionada por las fronteras nacionales. Por ello, la reglamentación jurídica del flujo interno e internacional de datos es uno de los principales retos que hoy se plantean a los ordenamientos jurídicos nacionales y al orden jurídico internacional. No está de más tampoco reconocer que la impunidad de determinadas formas de criminalidad informática no siempre constituye una negligencia imputable al legislador. En un sector como el de las relaciones entre la Informática y el Derecho, las constantes innovaciones tecnológicas abren nuevas proyecciones informáticas al Derecho, o innova bienes informáticos que requieren nuevos procedimientos de tutela jurídica, o da a conocer dispositivos que condenan al anacronismo los medios de protección jurídica anteriormente existentes. La criminalidad informática se caracteriza, en suma, por las dificultades que entraña descubrirla, probarla y perseguirla. Se ha hecho célebre la imagen de que los sistemas informáticos son como “queso de Gruyer” (Pérez Luño, 1998; 2000), por las enormes oquedades y lagunas que quedan siempre abiertas a posibles atentados criminales. Debido a la relevancia de la informática se desarrolló el Derecho Informático. Este constituye una de las ciencias jurídicas conformada por un conjunto de principios, doctrinas y normas jurídicas que pretenden regular el conocimiento científico y técnico que posibilita el tratamiento automático de la información por medio de las computadoras, la regulación, administración y protección de los sistemas operativo informáticos y de las computadoras, y de los derechos y obligaciones que los usuarios de la red deben observar en la realización de sus
24
actos informáticos y de las correspondientes sanciones que conlleva el incumplimiento de dichas normas obteniendo el lineamiento de la conducta humana dentro de la sociedad. Las normas del Derecho Informático se caracterizan por la innovación y adaptación de los cambios tecnológicos que se van suscitando en los sistemas operativos, las reglas y los sistemas de contratación informática. En un país como Guatemala en que frecuentemente es rebasado por los cambios que imponen las sociedades desarrolladas, conlleva la necesidad de darle tratamiento, no solo a las normas sustantivas penales sino también a las adjetivas o procesales, en particular en lo que respecta el problema de una incipiente regulación en nuestro Código Penal, de las conductas antijurídicas que conforman los delitos informáticos. Dentro de la gran variedad de delitos informáticos que existen, se pueden mencionar entre los más frecuentes: • Manipulación de los datos de entrada. • Manipulación de los programas. • Manipulación de los datos de salida. • Fraude efectuado por manipulación informática. • Sabotaje informático. • • • • • • • • • • • •
Virus. Gusanos. Bomba cronológica. Acceso no autorizado a servicios y sistemas informáticos. Piratas informáticos. Reproducción no autorizada de programas informáticos. Infracciones al copyright. Intercepción de correo electrónico. Pesca de claves secretas. Estafas electrónicas. Estratagemas. Pornografía infantil. 25
Estos son algunos de los delitos informáticos más frecuentes que se cometen, pero en nuestra legislación ninguno se encuentra regulado, por consiguiente no constituyen delitos, lo cual deja en completa libertad a quienes realizan este tipo de actividades. En el contexto de nuestra legislación penal existe un gran vacío legal toda vez que en lo concerniente al Código Penal, no se da en ninguno de sus títulos la regulación de los delitos informáticos. Esto es perjudicial, pues no se protege de manera efectiva a las personas tanto individuales, como a nivel de la industria, de las entidades estatales, y en general a todos quienes manipulan de alguna forma datos en el plano informático. Nuestra legislación se ha quedado rezagada en cuanto a la realidad que se vive en el ámbito de los sistemas operativos, ya que no se ha producido una reforma integral del Código Penal, Decreto Número 17 73, con el propósito de regular de forma taxativa los distintos tipos penales relacionados con los delitos informáticos. Es inmensa la gama de delitos informáticos que existen por lo que regular de manera efectiva los que se producen en nuestro país, representaría un gran avance en la aplicación de los diferentes tipos penales, toda vez que actuaría como elemento disuasivo entre los delincuentes informáticos, los cuales valiéndose de ciertos conocimientos actúan con total impunidad, escudados en la falta de tipos penales que sancionen este tipo de comportamientos. El acelerado avance de la tecnología y su utilización en la informática han generado muchas formas de delinquir sin que tengan una consecuencia jurídica para lograr establecer una violación de un orden jurídico y de la pena como reintegración de ese orden al no limitar la conducta humana. La carencia de tipicidad del delito, en una legislación penal conlleva al ser humano a actuar fuera de los límites que establece el Derecho
26
Penal ejerciendo una manifestación de voluntad delictiva no penado por la ley, pero la falta de acción penal, ausencia de tipo, falta de condición objetiva es de lo que actualmente carece la legislación y como consecuencia, no nace el delito y menos se obtendrá una pena. La informática, la Internet, los sistemas de datos de cómputo y en general todo lo relacionado con el software se han convertido en el objetivo de los delincuentes informáticos, que por su nivel de conocimiento realizan hasta el espionaje industrial y el personal, introduciéndose sin autorización y violando un derecho de la sociedad civil, empresas privadas, así como de instituciones públicas. Los delitos informáticos, en cuanto a su comisión, son relativamente fáciles de realizar con resultados altamente satisfactorios sin ser descubiertos, pero sin estar ninguno regulado. Por consiguiente, no constituyen delito y dejan en libertad a quienes lo cometen con total impunidad para satisfacer sus intereses, por lo que el ordenamiento jurídico nacional se encuentra rezagado a nivel de sistemas operativos. El Congreso de la República debe regular en el Código Penal guatemalteco los delitos informáticos que se realizan en internet, para limitar el accionar del delincuente en la sociedad, evitar un daño al patrimonio o la integridad de cada persona individual o jurídica. También es necesaria la creación de técnicas de seguridad informática en el sector empresarial para proteger la confidencialidad de su actividad comercial lícita, evitando la competencia desleal que pudiera surgir al tener acceso el delincuente a su sistema informático, aprovechándose del patrimonio ajeno, en este caso, el secreto empresarial. Las técnicas son imprescindibles si se pretende un medio seguro de información.
27
Es deber del Estado garantizar a los habitantes de la República la vida, la seguridad y la justicia ante la amenaza real de la mala utilización del sistema informático, creando iniciativas de ley por medio del Organismo Ejecutivo, Legislativo y Judicial para incluir los delitos informáticos en el Código Penal. El propósito es garantizar a la persona que cuando acuda a un tribunal de justicia pueda ejercer sus derechos.
28
“La Seguridad de las Redes Abiertas” Arreola Illescas, Saúl D. Maestría en Administración de Negocios con énfasis en Planeación Estratégica Por la Universidad Mesoamericana, Guatemala
Contenido
29
contenido Introducción
31
I. II. III.
Redes Abiertas Problemas de seguridad informática El objetivo del ataque a través
32 34
IV. V.
de redes abiertas Delitos Informáticos Situación en el ámbito nacional sobre la seguridad de redes abiertas
37 38
A.
Políticas de Seguridad.
Conclusiones Bibliografía
43 45
47 49
30
Introducción Conforme los avances tecnológicos van tomando mayor auge, el uso del Internet va adquiriendo mayor importancia en la vida de las personas, el uso del internet se ha vuelto un medio a través del cual se ha logrado el incremento de la actividad económica a nivel mundial. Esta misma tendencia conlleva peligros y amenazas, surgiendo con ello contantes desafíos ante la vulnerabilidad de los sistemas de seguridad de las redes, las cuales son constantemente atacadas. Aun cuando estas son amenazas globales, tienen un gran impacto a nivel nacional; Guatemala no se escapa de sufrir las consecuencias como resultado de un ataque a los sistemas informáticos ya sea de usuarios finales, empresas, organismos del Estado, etc. Los cuales podrían llegar a tener un impacto directo en la economía del país o en los sistemas de seguridad de la Nación, entre otros (LACNIC, 2013). No debemos permitir que las diferentes amenazas y riesgos de seguridad presentes en Internet se vuelvan un obstáculo para el desarrollo de las actividades online, ya sean de tipo comercial o no. Esta ‘confianza’ en la red es tan frágil como la confianza en la seguridad pública. Se debe trabajar intensamente para preservarla. Sin embargo este trabajo debe ser consciente de que se deben preservar las características originales que han hecho de Internet el motor de desarrollo que es hoy. En particular el trabajo de seguridad debe tener en cuenta la preservación de la naturaleza abierta de la red. El objetivo primordial debe ser: mantener la integridad, disponibilidad, privacidad, control y autenticidad de la información manejada en los sistemas informáticos, a través de procedimientos basados en una política de seguridad
31
I. Redes Abiertas ¿Qué son las redes abiertas? Las redes abiertas son todas aquellas que no tienen restricciones de acceso y operación, permitiendo realizar cualquier cosa sin ningún tipo de limitante. No requieren de ningún tipo de contraseña para poder ingresar a ellas. Comúnmente la red abierta por excelencia es la que conocemos como Internet, ésta es una red de redes que permite la interconexión descentralizada de computadoras a través de un conjunto de protocolos denominado TCP/IP. La Internet tuvo sus orígenes en 1969, cuando una agencia del Departamento de Defensa de los Estados Unidos comenzó a buscar alternativas ante una eventual guerra. En 1972 se realizó la primera demostración pública del sistema ideado con la colaboración y trabajo de las universidades de California y una de Utah logrando establecer una conexión conocida como ARPANET (Advanced Research Projects Agency Network por sus siglas en inglés). En 1980 finaliza Arpanet, la red de trabajo que dio origen a Internet y en ese mismo año el mayor centro de Internet en Europa era el CERN. En ese organismo, en el año 1992 Tim Berners Lee, creó la Wold Wide Web, utilizando tres nuevos recursos: HTML (Hypertext Markup Languaje), TTP (Hipertext Transfer Protocol) y un programa cliente llamado Web Broswer. Todo este trabajo se basó en un escrito de Ted Nelson. En enero de 1983, el Departamento de Defensa de los Estados Unidos, decidió usar el protocolo TCP/IP en su red Arpanet, creando la red Arpa Internet, esta red empezó a ser usada por otras agencias gubernamentales, entre ellas la NASA, por lo que su nombre fue evolucionando al de Federal Research Internet, TCP/IP Internet y finalmente se quedó con el nombre de Internet.
32
A partir de acá los avances y el desarrollo de Internet han superado ampliamente cualquier previsión y ha constituido una verdadera revolución en la sociedad moderna. El sistema se transformó en un pilar de las comunicaciones, el entretenimiento y el comercio en todos los rincones del planeta. Las estadísticas indican que, en 2006, los usuarios de Internet (conocidos como internautas) superaron los 1.100 millones de personas; se espera que en la próxima década esa cifra se duplique, impulsada por la masificación de los accesos de alta velocidad (banda ancha). Entonces decimos que hoy en día la internet es imprescindible en nuestras vidas, es increíble cómo ha avanzado la tecnología y es posible hablar con una persona que está al otro lado del mundo, ver una película, estudiar por una página web, descargar un libro, comprar algo por la red, hacer nuevos amigos, a través de ella se han creado muchas cosas, han habido nuevos descubrimientos. La internet es una vía de comunicación muy práctica y rápida. Este medio tiene muchas ventajas y desventajas, una de las desventajas es que ha ganado mucha importancia en los últimos años y todo es a base de internet, dejando de lado los libros y bibliotecas, ahora todo lo podemos encontrar aquí. Carlos Martínez, ingeniero de investigación y desarrollo del Registro de Direcciones de Internet para América Latina y el Caribe (LACNIC por sus siglas en inglés), admitió que se percibe una creciente actividad para tratar de vulnerar la seguridad en Internet a nivel global, pero destacó el intenso trabajo de LACNIC con la comunidad técnica de la región para responder y mitigar el impacto de esos incidentes. (LACNIC, 2013) Afirmó que LACNIC trabaja por una Internet abierta, estable y segura, con iniciativas y herramientas para dar respuestas regionales a los principales problemas de seguridad informática.
33
II. Problemas de seguridad informática La seguridad en redes se da en dos tipos: física y lógica. En la primera, se debe estar atento y tomar medidas preventivas como son los desastres naturales, inundaciones, terremotos, incendios, así, como también de las instalaciones eléctricas, etc. En la segunda se debe tener cuidado con aquellas personas que no están autorizadas para el acceso de la información, y es aquí donde entran los piratas informáticos, un ejemplo de ellos son los hackers, crackers, etc. Que buscan algo que les interesa y después puedan poseerlo, o también para probarse a sí mismos hasta donde pueden llegar, aprovechándose de las vulnerabilidades de la víctima, como por ejemplo de los sistemas operativos o de la ingenuidad de los trabajadores al recibir archivos desconocidos y abrirlos, infectando el sistema por medio de virus u otra especie de herramientas. Es muy importante diferenciar lo que son las amenazas que afectan directamente al que podemos llamar “usuario final”, es decir al común denominador de las personas ya sea en sus hogares, sus lugares de trabajo o en sus dispositivos móviles, y las amenazas que pueden afectar a las empresas o gobiernos en su infraestructura. En el caso de los usuarios finales sin duda que las mayores amenazas continúan siendo las diferentes formas de software malicioso (malware), el fraude electrónico y el robo de identidad (phishing) en sus diferentes formas, y el correo electrónico no solicitado(spam). El spam muchas veces opera como vehículo o vector de otras amenazas, por ejemplo para enviar enlaces a páginas web comprometidas o enviando otro tipo de engaños. En el caso de empresas y gobiernos las amenazas más importantes son los llamados ataques de denegación de servicio (DoS), el fraude. Es de destacar que tanto el malware como el fraude también afectan
34
a las empresas. En particular el uso de troyanos, es decir piezas de software que aparentan ser útiles pero en realidad tienen una finalidad maliciosa, es un vector ataque común. Una tendencia emergente y preocupante es la conocida como “APT” (Advanced Persistent Threats). Bajo APT se agrupan los ataques continuados en el tiempo, dirigidos a un blanco específico y conducidos por adversarios habilidosos con abundancia de recursos. A. Tipos de Seguridad Es posible clasificar a la seguridad en las redes en 2 tipos: física y lógica.
Seguridad Física: Se refiere a los controles y mecanismos de seguridad dentro y alrededor del centro de cómputo, así como los medios de acceso remoto del mismo; implementados para proteger el hardware y medios de almacenamiento de datos. Seguridad Lógica: Consiste en la aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo. Cuadro. 1 Distinción entre seguridad Física y Seguridad Lógica
Seguridad física
Seguridad lógica
Desastres
Controles de acceso
Incendios
Identificación
Equipamiento
Roles y Permisos
Inundaciones
Transacciones
35
Picos y ruidos electromagnéticos
Control de acceso interno
Cableado
Limitación a los servicios (Fuente: Elaboración propia)
B. La Vulnerabilidad en las Redes Para proteger los sistemas informáticos de las amenazas actuales, los administradores de TI (Tecnología de la Información) deben evaluar la posibilidad de implementar una estrategia integral. Este tipo de estrategia se centra en eliminar factores que aumentan el riesgo e incorporar controles para reducirlo. No importa cuán buenos sean el software, el hardware, los procesos y el personal, los piratas informáticos pueden encontrar siempre una vía para traspasar un único nivel de protección. El modelo de seguridad de defensa integral protege los activos clave mediante el uso de varios niveles de seguridad en todo el entorno para protegerse de intrusiones y amenazas de seguridad. Contar con varios niveles de seguridad en el sistema obliga al pirata informático a incrementar sus esfuerzos para penetrar en un sistema de información, lo que reduce la exposición a riesgos globales y la probabilidad de estar en peligro. En lugar de depender de una sola defensa perimetral segura o de servidores protegidos, el enfoque de defensa integral de la seguridad se basa en la incorporación de varias defensas distintas frente a una posible amenaza. La defensa integral no reduce la necesidad de otras medidas de seguridad sino que se basa en la solidez combinada de todos los componentes. Basar la seguridad en niveles superpuestos tiene dos ventajas clave:
1.
Dificulta el éxito de los ataques. Cuantos más niveles haya, más difícil resultará para el pirata informático efectuar una penetración con éxito y habrá más posibilidades de detectar el ataque en curso. 36
2.
Ayuda a mitigar el efecto de las nuevas vulnerabilidades en los dispositivos. Cada nivel protege de un tipo de ataque diferente o proporciona una cobertura duplicada que no adolece de los mismos puntos débiles que el otro nivel. Como resultado, muchos de los nuevos ataques se pueden impedir si se dispone de una transacción dependiente bloqueada por una medida defensiva aún intacta, lo que proporciona tiempo para solucionar las deficiencias básicas.
En lugar de depender de una sola defensa perimetral segura o de servidores protegidos, el enfoque de defensa integral de la seguridad se basa en la incorporación de varias defensas distintas frente a una posible amenaza. La defensa integral no reduce la necesidad de otras medidas de seguridad sino que se basa en la solidez combinada de todos los componentes.
III. El objetivo del ataque a través de redes abiertas Muchos de los ataques a los que se ven expuestas las redes abiertas o el internet van directamente asociados a los intereses de una persona o de un grupo en particular; por ejemplo; existen atacantes que tratan de romper las barreras o sistemas de protección de los sistemas por el simple hecho que lo toman como un reto, para poder medir su capacidad y habilidad para acceder a estos sitios. Otros más bien quieren llamar la atención de algún grupo de interés en particular, tales como, grupos políticos, entidades de gobierno, sectores sociales, etc.
37
En tercer lugar se encuentran aquellos que busca un fin económico ya sea como parte de alguna negociación ilícita con otras personas o de alguna forma accediendo a cuentas bancarias o movimientos financieros de los sectores económicos principalmente. Y por último se encuentran aquellos que el fin es dañar los sistemas de seguridad por el simple hecho de causar algún problema o inhabilitar. Fig. 3 Ataque a redes abiertas
Fuente: Elaboración propia
IV. Delitos Informáticos Diversos autores y organismos han propuesto definiciones de los delitos informáticos, aportando distintas perspectivas y matices al concepto. Algunos consideran que es innecesario diferenciar los delitos informáticos de los tradicionales, ya que, según éstos se trata de los mismos delitos, cometidos a través de otros medios. Partiendo de esta compleja situación y tomando como referencia el Convenio de Ciberdelincuencia del Consejo de Europa (2001), podemos definir los delitos informáticos como: “los actos dirigidos
38
contra la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, redes y datos informáticos, así como el abuso de dichos sistemas, redes y datos”. (Consejo de Europa, 2001)
A.
Características Principales • Son delitos difíciles de demostrar ya que, en muchos casos, es complicado encontrar las pruebas. Provocan serias pérdidas económicas. Ofrecen facilidades de tiempo y espacio, ya que en milésimas de segundo y sin una necesaria presencia física pueden llegar a consumarse. Son muchos los casos y pocas las denuncias, y todo ello debido a la misma falta de regulación por parte del Derecho. Presentan grandes dificultades para su comprobación, esto por su mismo carácter técnico. Son actos que pueden llevarse a cabo de forma rápida y sencilla. En ocasiones estos delitos pueden cometerse en cuestión de segundos, utilizando sólo un equipo informático y sin estar presente físicamente en el lugar de los hechos.
Los delitos informáticos tienden a proliferar y evolucionar, lo que complica aún más la identificación y persecución de los mismos. B. Método de delito utilizado Los métodos de delitos informáticos reconocidos por Naciones Unidas son: a. Fraudes Cometidos Mediante Manipulación de Computadoras • Manipulación de Datos: Este tipo de fraude informático, conocido también como sustracción de datos, representa el delito informático más común ya que es fácil de cometer y difícil de descubrir.
39
Este delito no requiere de conocimientos técnicos de informática y puede realizarlo cualquier persona que tenga acceso a las funciones normales de procesamiento de datos en la fase de adquisición de los mismos. • Manipulación de Programas: Es muy difícil de descubrir y a menudo pasa inadvertida debido a que el delincuente debe tener conocimientos técnicos concretos de informática. Este delito consiste en modificar los programas existentes en el sistema de computadoras o en insertar nuevos programas o nuevas rutinas. Un método común utilizado por las personas que tienen conocimientos especializados en programación informática es el denominado Caballo de Troya, que consiste en insertar instrucciones de computadora de forma encubierta en un programa informático para que pueda realizar una función no autorizada al mismo tiempo que su función normal. • Manipulación de los Datos de Salida: Se efectúa fijando un objetivo al funcionamiento del sistema informático. El ejemplo más común es el fraude de que se hace objeto a los cajeros automáticos mediante la falsificación de instrucciones para la computadora en la fase de adquisición de datos. Tradicionalmente esos fraudes se hacían a base de tarjetas bancarias robadas; sin embargo, en la actualidad se usan ampliamente equipo y programas de computadora especializados para codificar información electrónica falsificada en las bandas magnéticas de las tarjetas bancarias y de las tarjetas de crédito. • Manipulación informática aprovechando repeticiones automáticas de los procesos de cómputo: Es una técnica especializada que se denomina “técnica del salchichón” en la que “rodajas muy finas” apenas perceptibles, de transacciones financieras, se van sacando repetidamente de una cuenta y se transfieren a otra.
40
b. Falsificaciones Informáticas • Como Objeto: Cuando se alteran datos de los documentos almacenados en forma computarizada. • Como Instrumentos: Las computadoras pueden utilizarse también para efectuar falsificaciones de documentos de uso comercial. Cuando empezó a disponerse de fotocopiadoras computarizadas en color a base de rayos láser surgió una nueva generación de falsificaciones o alteraciones fraudulentas. Estas fotocopiadoras pueden hacer copias de alta resolución, pueden modificar documentos e incluso pueden crear documentos falsos sin tener que recurrir a un original, y los documentos que producen son de tal calidad que sólo un experto puede diferenciarlos de los documentos auténticos. c. Daños o modificaciones de programas o datos computarizados El sabotaje informático es el acto de borrar, suprimir o modificar sin autorización funciones o datos de computadora con intención de obstaculizar el funcionamiento normal del sistema. Las técnicas que permiten cometer sabotajes informáticos son: • Virus: Es una serie de claves programáticas que pueden adherirse a los programas legítimos y propagarse a otros programas informáticos. Un virus puede ingresar en un sistema por conducto de una pieza legítima de soporte lógico que ha quedado infectada, así como utilizando el método del Caballo de Troya. Gusanos: Se fabrica de forma análoga al virus con miras a infiltrarlo en programas legítimos de procesamiento de datos o para modificar o destruir los datos, pero es diferente del virus porque no puede regenerarse. En términos médicos podría decirse que un gusano es un tumor benigno, mientras que el virus es un tumor maligno. Ahora bien, las consecuencias del ataque de un gusano pueden ser tan
41
graves como las del ataque de un virus: por ejemplo, un programa gusano que subsiguientemente se destruirá puede dar instrucciones a un sistema informático de un banco para que transfiera continuamente dinero a una cuenta ilícita. • Bomba Lógica o Cronológica: Exige conocimientos especializados ya que requiere la programación de la destrucción o modificación de datos en un momento dado del futuro. Ahora bien, al revés de los virus o los gusanos, las bombas lógicas son difíciles de detectar antes de que exploten; por eso, de todos los dispositivos informáticos criminales, las bombas lógicas son las que poseen el máximo potencial de daño. Su detonación puede programarse para que cause el máximo de daño y para que tenga lugar mucho tiempo después de que se haya marchado el delincuente. La bomba lógica puede utilizarse también como instrumento de extorsión y se puede pedir un rescate a cambio de dar a conocer el lugar en donde se halla la bomba. d. Acceso no autorizado a servicios y sistemas informáticos Por motivos diversos: desde la simple curiosidad, como en el caso de muchos piratas informáticos (hackers) hasta el sabotaje o espionaje informático. • Piratas Informáticos o Hackers: El acceso se efectúa a menudo desde un lugar exterior, situado en la red de telecomunicaciones, recurriendo a diversos medios: el delincuente puede aprovechar la falta de rigor de las medidas de seguridad para obtener acceso o puede descubrir deficiencias en las medidas vigentes de seguridad o en los procedimientos del sistema. A menudo, los piratas informáticos se hacen pasar por usuarios legítimos del sistema; esto suele suceder con frecuencia en los sistemas en los que los usuarios pueden emplear contraseñas comunes o contraseñas de mantenimiento que están en el propio sistema.
42
• Reproducción no autorizada de programas informáticos de protección legal: Esta puede entrañar una pérdida económica sustancial para los propietarios legítimos. Algunas jurisdicciones han tipificado como delito esta clase de actividad y la han sometido a sanciones penales. • El problema ha alcanzado dimensiones transnacionales con el tráfico de esas reproducciones no autorizadas a través de las redes de telecomunicaciones modernas. Al respecto, se ha considerado, que la reproducción no autorizada de programas informáticos no es un delito informático debido a que el bien jurídico a tutelar es la propiedad intelectual.
V. Situación en el ámbito nacional sobre la seguridad de redes abiertas El constante progreso tecnológico que experimenta la sociedad, supone una evolución en las formas de delinquir, dando lugar, tanto a la diversificación de los delitos tradicionales como a la aparición de nuevos actos ilícitos. Esta realidad ha originado un debate en torno a la necesidad de distinguir o no los delitos informáticos del resto. Ante la falta de una ley que condene los delitos informáticos en Guatemala, los delincuentes han encontrado la internet como el medio más eficaz para cometer diferentes hechos delictivos entre los cuales encontramos principalmente estafas, fraudes y robos de identidad vía electrónica tanto a personas particulares como a instituciones financieras en el país. Así como la tecnología avanza, las estrategias para delinquirtambién. Ahora las instituciones de gobierno no dejan de ser la excepción ante hechos delictivos de esta índole, en varias oportunidades se ha sabido
43
de algunos casos en los cuales la seguridad de la información ha sido violentada y personas no autorizadas han ingresado a cuentas personales de miembros del gobierno o a páginas de organismos del Estado.
El especialista en seguridad informática, Víctor Peñaloza, señala que en el país debe existir una legislación seria que castigue este tipo de casos y también es necesario que las empresas mejoren sus protocolos de seguridad. Es muy frecuente conocer sobre los ataque a sitios web del gobierno, especialmente a los sitios relacionados a los temas financieros y políticos, y todo se da ante la falta de un ordenamiento jurídico moderno que investigue, persiga y condene este tipo de delitos. Los ataques no son algo nuevo, personas con un diferente perfil se dan a la tarea de poner en práctica sus conocimientos sobre hacking hacia cuentas de correo, redes sociales, páginas web con diferentes finalidades, dependiendo del tipo de conducta como lo vimos en los capítulos anteriores y así mismo de los medios que están a su disposición podría determinarse si busca ataques dirigidos a sitios, hacer colapsar el sistema, alterar bases de datos modificando contenidos, etc., en conclusión son diversos los actos delictivos que pueden cometerse, o que bien pueden simplemente intentar ingresar a estos sitios para medir su nivel de habilidad y destreza. Algunos sitios de gobierno han sido objeto de más de algún tipo de acción a través de ataques cibernéticos y en algunas oportunidades, ante las presiones de algunos grupos de interés, quienes han amenazado de vulnerar la seguridad de los sitios; se ha tenido que implementar algunas medidas reactivas, mostrando la debilidad de los sistemas. Casos particulares también se han dado en los cuales figuras del ámbito socio-político han sido expuestas ante los ataques de la delincuencia informática. 44
La guerra cibernética no es algo nuevo, lo recomendable para administradores de sistemas estener protocolos de seguridad, soportes en sus centro de datos, y normas de seguridad para el resguardo de información, en el caso del ciudadano común es ser reservado en cuanto al uso de su información, no proporcionando en ningún caso datos privados ni revelar sus contraseñas, muchas veces por descuido es que se vulnera la privacidad. El estado de Guatemala debe incentivar al desarrollo de iniciativas de ley que brinden seguridad de tipo informático, aprobar las iniciativas existentes sobre cibercrimen y maximizar las medidas de seguridad en sus servicios electrónicos
A. Políticas de Seguridad La política de seguridad, en el mundo real, es un conjunto de leyes, reglas y prácticas que regulan la manera de dirigir, proteger y distribuir recursos en una organización para llevar a cabo los objetivos de seguridad informática dentro de la misma. La política define la seguridad de la información en el sistema central de la organización, por lo tanto, un sistema central es seguro si cumple con las políticas de seguridad impuestas para esa organización. La política especifica qué propiedades de seguridad el sistema debe proveer. De manera similar, la política define la seguridad informática para una organización, especificando tanto las propiedades del sistema como las responsabilidades de seguridad de las personas. Una política de seguridad informática debe fielmente representar una política del mundo real y además debe interactuar con la política de recursos, por ejemplo, políticas en el manejo de bases de datos o de transacciones. En ella, se deben considerar las amenazas contra las computadoras, especificando cuáles son dichas amenazas y cómo contraatacarlas. Asimismo, debe ser expresada en un lenguaje en el 45
que todas las personas involucradas (quienes crean la política, quienes la van a aplicar y quienes la van a cumplir) puedan entender.
B. Principios fundamentales Los principios fundamentales de las políticas contra el cibercrimen se expresan a través de las leyes, reglas y prácticas que reflejen las metas y situaciones de la organización: a) Responsabilidad individual: las personas son responsables de sus actos. El principio implica que la gente que está plenamente identificada debe estar consciente de sus actividades, debido a que sus acciones son registradas, guardadas y examinadas. b) Autorización: son reglas explícitas acerca de quién y de qué manera puede utilizar los recursos. c) Mínimo privilegio: la gente debe estar autorizada única y exclusivamente para acceder a los recursos que necesita para hacer su trabajo. d) Separación de obligaciones: las funciones deben estar divididas entre las diferentes personas relacionadas a la misma actividad o función, con el fin de que ninguna persona cometa un fraude o ataque sin ser detectado. La separación de obligaciones funciona mejor cuando cada una de las personas involucradas tiene diferentes actividades y puntos de vista. e) Auditoría: el trabajo y los resultados deben ser monitoreados durante su inicio y hasta después de ser terminado. Una
46
revisión de los registros, donde se guardan las actividades, ayuda para realizar una reconstrucción de las acciones de cada individuo. f) Redundancia: el principio de redundancia afecta al trabajo y a la información. Múltiples copias son guardadas con importantes registros y dichas copias son frecuentemente almacenadas en diferentes lugares. g) Reducción de Riesgo: esta estrategia debe reducir el riesgo a un nivel aceptable, haciendo que el costo de la aplicación sea proporcional al riesgo.
Conclusiones El gran crecimiento que se tiene de las redes de computadoras ha sido mucho y por ello es que la seguridad también ha crecido a la par, día a día se trata buscar la mejor forma para estar protegidos, pero al mismo tiempo, en cuanto sale algún software o hardware, algunas personas, mejor conocidas como piratas informáticos, encuentran esos puntos débiles, que usando su ingenio, crean programas para destapar esas debilidades que existen en ellas. A pesar de todo esto, también hay herramientas de seguridad como los firewalls, los sistemas de protección como el kerberos, y la criptografía, que se van actualizando y tapan esos huecos que podían tener en sus versiones o generaciones anteriores, pero en sí, hay muchísimas herramientas de las cuales se pueden conseguir y usar para definir y comunicar las Políticas de Seguridad de la información dentro de la organización. Las Políticas de Seguridad, son esenciales para cualquier tipo de organización ya sea privada o pública para contrarrestar los ataques a
47
las redes. La seguridad no debería ser un problema, ni en las redes, sin embargo ante la realidad que se vive, solo queda buscar los medios para proteger la privacidad de la información y por ende de las personas. Entre algunas de las cosas que se deberían hacer están: • Mantener las máquinas actualizadas y seguras físicamente. • Mantener personal especializado en cuestiones de seguridad. • No permitir el tráfico desde fuera de la red privada. De esta forma se evita ser empleados como “multiplicadores” durante un ataque. • • • • •
•
Filtrar el tráfico IP Spoof. Auditorías de seguridad y sistemas de detección. Mantenerse informado constantemente sobre cada una de las vulnerabilidades encontradas y parches lanzados. La capacitación continua del usuario. El acceso de los empleados a los servicios desde dispositivos iPad, teléfonos Android, tabletas y ordenadores personales (que exigen medidas de protección similares a los equipos tradicionales pero aún más eficaces) hace que los cortafuegos sean cada vez más porosos. Las estrategias de seguridad deben tener en cuenta cómo proteger los accesos en las diferentes plataformas incluidas en los perímetros de red en expansión. Cada vez más empresas de todos los tamaños están empezando a adoptar servicios en la nube. Esta tendencia representa un gran reto para la seguridad de las redes, ya que el tráfico puede circunvalar los puntos de inspección tradicionales.
La transnacionalidad de estos hechos continúa presentando desafíos a la hora de tratar de ubicar a los responsables de los mismos. Este trabajo necesita de más y mejores esfuerzos de coordinación a nivel internacional. Paulatinamente esto se tendrá que ir dando a medida que también a nivel nacional los jueces y otros actores comienzan a comprender mejor la dinámica de Internet y de los actores que la componen. 48
A nivel gubernamental se deben de buscar alianzas estratégicas con organismos internacionales que colaboran con la comunidad técnica de la región así como también con otros actores para responder y mitigar el impacto de los incidentes cibernéticos, a manera de llevar adelante iniciativas que sirvan para mejorar la seguridad de las redes. Todos los gobiernos de la región deben ser conscientes de la importancia de la temática de ciberseguridad y, en este sentido, crear las políticas de seguridad necesarias para proteger la privacidad de todas las personas.
Bibliografía RAMOS VARON, Antonio Angel. (2011). Hacking y Seguridad en Internet, RA-MA. HARRINGTON, Jan. (2006). Manual Práctico de Seguridad en Redes (Hardware y Redes). Anaya Multimedia. Naciones Unidas. (2010). 12º Congreso de las Naciones Unidas sobre Prevención del Delito y Justicia Penal. Brasil. LACINIC. (2013). Boletín Informativo de LACNIC para la comunidad de Internet. HUERTA, Antonio Villalón. Seguridad en Unix y redes. (Versión 2.1) ALDEGANI, Gustavo Miguel. (1997). Seguridad Informática. MP Ediciones: Uruguay. McCLURE, Stuart. (s.f.) Hackers Secretos y Soluciones Para la Seguridad en Redes. McGRAW– Hill. Trabajo sobre Delitos Informáticos desde la Universidad de El Salvador, Octubre 2000. Obtenido de: http://www.e-libro.net/E-libro-viejo/gratis/delitoinf.pdf Revista red “la seguridad en manos de otros”, julio 2004. Seperiza Pasquali, Iván. (s.f.). Los Virus Informáticos, Electrónicos o Comutacionales. Obtenido de: http://www.isp2002.co.cl/virus.htm MARTINEZ, Oscar. (s.f.). “Virus Informáticos”. Obtenido de: http://www.geocities. com/ogmg.rm/ COCHO, Julian Marcelo. (2003). Riesgos y Seguridad de los Sistemas Informáticos. Universidad Politécnica de Valencia: Valencia. TÉLLES VALDEZ, Julio. (1996). Derecho Informático. Mc Graw Hill: México D.F. SCHNEIER, Bruce. Secrets & Lies. Página 28-29. 49
“El Comercio Electrónico”
Arriaza García, Elmer Eduardo Maestría en Altos Estudios Estratégicos Universidad Mariano Gálvez Maestría en Administración de Empresas
50
Contenido Introducción
52
I. Contenido Temático
53
Conclusiones Bibliografía
61 61
51
Introducción
Considerando el comercio electrónico como el proceso en el cual las personas venden o adquieren productos, bienes o servicios por medio de un sistema electrónico y un adquiriente puede cancelar los mismos en forma digital sin necesidad de trastornar el confort discrecional. Pero el mismo ha evolucionado a tal modo que se genera un alcance interestatal dando lugar a otras necesidades de regulación comercial como de resguardo. Coyunturalmente se considera al comercio electrónico como oportunidad transfronteriza para las organizaciones sin importar su naturaleza de implementar las nuevas tecnologías, consolidando como un estratégico e indispensable punto de interconexión y comunicación para el inmediato acceso a los mercados internacionales; siendo el mercado virtual una maniobra de sostenibilidad prospectiva que representa procesos más eficientes en tiempos inmediatos así como una notoria reducción de costos si se emplea adecuadamente en aspectos operativos y logísticos dando lugar a la necesidad de consolidar cada día más el crecimiento del comercio on-line, facilitando el flujo de información de manera eficiente. Pero esto también trae consigo una serie de situaciones de riesgo y amenaza, lo cual obliga a las instituciones de cualquier naturaleza a tomar medidas inmediatas operacionales, así como la necesidad de legislar la regulación y protección legal y legítima en lo relacionado al tema, dado antecedentes de pérdida de bienes e información sensible en materia electrónica.
52
I. Contenido Temático El intercambio electrónico de información, se originó en los Estados Unidos en los sesentas con iniciativas independientes en los sectores del ferrocarril, principalmente con el objetivo de fortalecer la calidad de los datos que intercambiaban con otros en la cadena de proveedores y usándolo para sus procesos internos; para luego convertirse en transferencias electrónicas de fondos a finales de los setentas haciendo uso de redes seguridad privadas específicas de cada una de las instituciones pioneras del sector financiero; generando interés comercial con el uso estratégico de los procesadores de información de la época para la transferencia de giros y pagos sin saber las consecuencias expansivas que esto conllevaría para la inteligencia de los negocios a nivel globalizado. Palacio (2005, p. 5) consideraba que el comercio electrónico se convertiría en un factor indispensable en su incorporación a la sociedad de la Información en las empresas, lo cual permitiría acceder a nuevas oportunidades de servicios y compras de fácil alcance dada la urgencia de reducir distancias en aspectos comerciales, como una oportunidad de mejora continua de los servicios que cada vez son más específicos al momento de satisfacer a clientes diferenciados. Así mismo cabe mencionar la importancia que el comercio electrónico está adquiriendo conforme el avance de las tecnologías de la información se vuelven más personalizadas, donde los avances en comunicaciones digitales han creado una “economía sin fronteras”, comercializando las 24 horas sin descanso, permitiendo responder en forma inmediata a los requerimientos de los clientes. Sin embargo, las instituciones estatales se están viendo afectadas por esta misma ola digital imparable; incluso están siendo vulneradas en sus distintas redes internas, lo cual trae consigo consecuencias lamentables debido al tipo de información sensible que se resguarda, o bien que se pretende
53
resguardar para evitar usos indebidos, representando un problema de seguridad nacional, siendo la información un recurso extremadamente valioso.
A. Ventajas, riesgos e inconvenientes Dado que las transacciones que se realizan a través de Internet son de carácter no presencial, esto genera un cierto grado de incertidumbre por parte del adquiriente, así como tampoco se puede constatar la calidad física. Por estas razones, para mitigar este tipo de desventajas se implementan cierto tipo de acercamientos a distancia, como chats o asistentes virtuales para resolver dudas en el proceso de compra. Entre las ventajas sobresale el acceso a múltiples productos, bienes o servicios del mercado 24 horas los 365 días del año; productos más económicos con ofertas personalizadas así como la comodidad de realizarlo en el lugar de conveniencia. Entre los inconvenientes no solo resalta la falta de contacto físico con el proveedor del producto en sí, así como la logística puede ser complicada y los reclamos por cualquier situación de inconformidad. Pero lo que más incertidumbre genera, entre otros, es la inseguridad al momento de realizar la transacción del pago requerido, porque deja al comprador en una incertidumbre tendenciosa el no saber la certeza del uso de la información que este provee a un tercero desconocido. En la mayoría de las transacciones comerciales, las compras se realizan a través de Internet brindando el número de la tarjeta de crédito del comprador, pero aún no es 100% seguro introducirlo en la Red sin conocimiento alguno. Por estas razones muchas naciones han legislado a favor de los derechos tanto del comprador como del proveedor, sin embargo, se quedan cortas debido a que no existe un marco regulatorio internacional en materia aplicable porque cada nación cuenta con sus propias leyes
54
y no se sabe cuál debe aplicar con exactitud, aun cuando existen normativas de comercio internacional, muchas veces proteccionistas, estas ven solo lo relacionado a su materia específica. En 2009 se alcanzó la cifra de 10,4 millones de individuos que realizaron compras a través de Internet, un incremento del 17% con respecto al año anterior debido al aumento del número de internautas y de su uso del comercio online. Entre las razones de esta preferencia por el canal online destacan los mejores precios (65,4%), la comodidad (58,0%) o la facilidad para comparar con otros productos (38,3%). (ONTSI, 2010) B. Puntos críticos de seguridad en las redes Como consumidores desconocemos el funcionamiento de lo interno de los sistemas de tecnología de la información, lo cual no nos interesa una vez podamos realizar nuestras gestiones con la rapidez requerida; pero es importante estar informados al respecto de las amenazas y como los perpetradores operan haciendo ilegitimo de la información proporcionada inocentemente; entre estos se encuentran los Hackers en Internet con posibles ataques al servidor web con el ánimo de obtener claves de usuarios, información sobre ventas, números de tarjetas de crédito de clientes o simplemente alterar un sitio web. El uso del famoso y tan útil correo electrónico, puede ser una posible entrada de virus, gusanos y troyanos. Todos estos provocan pérdida de información y comprometen la seguridad del sitio en general; claro que se han tomado medidas de informática para mitigar los daños, como instalar filtros de acceso y control de contraseñas sobre todo en ciertos recursos críticos, entre otros.
55
C. Seguridad y Legislación La seguridad es un aspecto fundamental en todo momento que muchas veces es sub estimado en el comercio electrónico. Debido a que no existe confianza en los sitios web, la cual debe construir conforme se consolida historial con cada cliente específico; dado que no se pueden realizar transacciones que corran algún tipo de riesgo, por lo que estos deben ser minimizados al máximo. Considerando que el comercio electrónico representa uno de los sectores de mayor relevancia en la actualidad con cifras y cuotas de mercado en aumento a nivel globalizado, debe dar cumplimiento a la normativa legal como garantía para ambas partes, comprometidas a los derechos, obligaciones, garantías y requisitos establecidos con la finalidad de dotar seguridad y certeza jurídica al actuar y la naturaleza del negocio en curso. Entre la normativa legislativa se debe tener en cuenta el territorio, la actividad y las características del producto o servicio ofrecido. Guatemala cuenta con su normativa legal propia denominada Ley para el Reconocimiento de las Comunicaciones y Firmas Electrónicas; que abarca el comercio electrónico en forma generalizada; lo cual es muy ambiguo porque las reglas deben ser claras sobre todo en ámbito jurídico, mas no interpretables. Así mismo, ésta sí prepondera el Reconocimiento jurídico de las comunicaciones electrónicas, incorporación por remisión y firma entre otros. Las Naciones Unidas por su parte también exponen por medio de la Comisión para el Derecho Mercantil establecida por la Asamblea General de diciembre de 1966 (anexo I), la cual desarrollo en cumplimiento de su mandato de promover la armonización, modernización y resolución de controversias, las prácticas contractuales internacionales, el comercio electrónico, los pagos internacionales, las operaciones garantizadas, la contratación pública y la compraventa de mercancías.
56
Aspectos que no se toman en cuenta a profundidad en comercio electrónico como los derechos de propiedad intelectual y material en el entorno digital, la gestión de los sistemas de pago y legalidad de contratos electrónicos conllevan a diferentes aspectos de la jurisdicción legal en el ciberespacio; lo cual claramente detecta deficiencias en los problemas legales en materia de seguridad electrónica. Algunos de estos pueden regirse con el Código de Comercio de Guatemala como la aplicabilidad, la cual preceptúa que “los comerciantes en su actividad profesional, los negocios jurídicos mercantiles y cosas mercantiles, se regirán por las disposiciones del Código de Comercio de Guatemala; se aplicaran e interpretaran de conformidad a los principios que inspiran al derecho mercantil y por ende facultan la utilización de los de usos y costumbres del comercio internacional, si no existieran leyes o costumbres nacionales que regulen un acto jurídico”. (Código de Comercio)
D. Resolución de conflictos /Adhesión a Códigos de Conducta En las condiciones de venta o documento contractual, el comerciante en todo momento (se asume) este deberá informar a los interesados acerca de los procedimientos previstos en caso de existir cualquier denominación de conflicto entre las partes (procedimientos extrajudiciales de resolución de conflictos, entre otros, y si el mismo se encuentra adherido a algún Código de Conducta específico, o bien, de validez internacional. La información precontractual o condiciones son considerados implícitos en cuanto a obligaciones, derechos y garantías para consumidores, usuarios y comerciantes, una vez cumplan con requisitos como identificación, características productos y servicios con información concreta acerca de las características específicas de los mismos objetos de comercialización, también los costes, renuncia o desistimiento, entre otros.
57
Para el caso de disponibilidad de documento contractual, nos referimos a un aspecto específico de la contratación electrónica, donde el comerciante deberá en todo momento garantizar la puesta a disposición del adquiriente del documento contractual, así se debe informar si va a proceder al archivo o mantenimiento del mismo, y las condiciones relevantes para su acceso, si fuere el caso. También existen medidas opcionales o alternativas denominados “Terceras partes de Confianza” quienes otorgan garantías de autenticidad y seguridad jurídica a los documentos contractuales en caso exista conflicto entre ambas partes, ejemplo claro es la establecida y reconocida ya firma electrónica certificada, sellados de tiempo en el almacenamiento de los documentos contractuales.
E. Protección de Datos de Carácter Personal Se debe considerar también dentro del contexto del comercio electrónico las normativas sobre protección de datos de carácter personal. El comerciante deberá cumplir las obligaciones y establecer las medidas exigidas por las mismas tanto a nivel nacional como internacional, como en cualquier otra actividad comercial, donde las obligaciones establecidas para la protección de los datos personales de los consumidores y usuarios contemplen Información y derechos relativos al uso de los datos personales previstos y la finalidad de los mismos, sin que éstos sean transferidos a terceros en ningún momento y los medios puestos a disposición para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
F. Seguridad jurídica y delito informático Como consumidores virtuales que somos, resulta procedente manifestar que los ataques directos e indirectos que afectan el comercio electrónico pueden ser mitigados en cierta manera o bien
58
contrarrestados desde el ámbito jurídico y técnico; para lo cual se han especializado instituciones gubernamentales y comerciales como lo son las Entidades de Certificación, Certificados Digitales y Firmas Digitales; manifestando que el uso indebido del software, la apropiación y manipulación indebida de datos, las interferencias de datos ajenos, la manipulación indebida de datos, entre otros, son conductas que se enmarcan dentro del tipo penal del “Delito Informático”3.
G. Entidades de certificación y firmas digitales El tema de las Certificaciones en nuestro medio, representa mucho desconocimiento debido, posiblemente, a la no exigencia de los compradores directos de los mismos a certificarlos. No obstante, la tendencia está cambiando en un mercado exigente donde el soporte necesario para generar confianza y fuerza vinculante en los actos y operaciones que no han cumplido con una formalidad sean validados por una tercera parte, la cual debe ser totalmente imparcial y especialista en la rama específica requerida, garantizando la infalibilidad de los hechos. Existe especial trascendencia en el comercio electrónico en lo referente a los Certificados, sin que esto signifique que los organismos de certificación estén otorgando fe pública, facultad que no les ha sido delegada por el Legislador en la cosa pública, sin embargo, en aspectos comerciales si se les empodera de tal forma que un auditor especializado puede o no dar visto bueno a una inspección requerida con fines de certificación para este caso lo referente a informática.
[...] todas aquellas acciones u omisiones típicas - antijurídicas y dolosas - come tidos contra personas naturales o jurídicas, realizadas mediante el uso de sistemas 3
electrónicos de transmisión de información y, destinadas a producir un perjuicio en la víctima a través de atentados a la sana técnica informática... carácter patrimonial, actué con o sin ánimo de lucro”. (Claudio Libano Manssur 2001).
59
Como el caso de la Certificación ISO 270004 , de reconocimiento internacional. Claro que no es el único y perfecto medio de seguridad de la información para el comercio electrónico; si genera confianza en el consumidor como un nivel de conformidad de cumplimiento de una normativa establecida a nivel internacional, donde se faculta a una institución pública o privada para emitir certificados en relación con las firmas digitales de las personas, ofrecer o facilitar los servicios de registro y estampado cronológico de la transmisión y recepción de mensajes de datos, así como cumplir otras funciones relativas a las comunicaciones basadas en las firmas digitales, que representan a personas naturales o jurídicas. Así también, la Real Academia tiene una labor pendiente en actualizar el concepto de firma e incluir sus nuevas acepciones. El Dr. Font define técnicamente la firma digital como un mecanismo de clave pública que vincula la identidad de una parte (en una relación o transacción) a un determinado mensaje. De forma similar a como una firma escrita vincula el documento firmado con el autor de la firma, la cual es requerida en el ámbito internacional para cualquier tipo de transacción de intercambio por las partes involucradas.
4
ISO/IEC 27001 es un estándar para la seguridad de la información aprobado
y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission. Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información.
60
Conclusiones La sumersión masiva de la tecnología y el comercio electrónico en nuestra sociedad se presenta como una realidad innegable y por ende se debe revisar y mejorar los conceptos y visiones tradicionales del mundo físico para adaptarlos en el actual contexto del mundo digital cada vez más dinámico y personalizado, dada la demanda de confort situacional en los bienes y servicios globalizados. Donde la promoción del mismo en todos sus aspectos requiere de una reglamentación específica y legislación cuyo fundamento sea, entre otros, la facilitación del comercio electrónico como tal más allá de las fronteras nacionales. La integración al comercio electrónico globalizado requiere que sean adoptados instrumentos jurídicos, técnicos y legales basados en los modelos de legislación de comercio internacional que buscan la uniformización de esta rama del derecho tan especializada, y que debe dársele seguridad jurídica y técnica necesaria.
Bibliografía Palacio, R. (2005). Estudio sobre Comercio Electrónico B2C Red.es Entidad Pública Empresarial. Madrid.
61
“Los Mensajes de Datos”
Calles Domínguez, Iliana Altos estudios Estratégicos con Especialidad en Seguridad y Defensa Universidad Mariano Gálvez
62
contenido Introducción
I. II. III.
IV. V. VI.
64
Los Mensajes de Datos 65 Partes que debe tener un Mensaje de Datos 65 Otros Aspectos que se deben considerar en los Mensajes de Datos
66
Principios de Protección de los Mensajes Datos Derechos que se deben considerar
67 68
Protección al Consumidor
71
Conclusiones Bibliografía
73 74
63
Introducción
La investigación hace referencia a los mensajes de datos, los cuales se pueden definir como las comunicaciones efectuadas mediante correo electrónico, como también los telegramas y telefax, aunque estos últimos ya casi no son utilizados y en algunos casos ya no existen; el correo electrónico surge por la aparición del internet. Estos mensajes de datos, tienen como característica, ser muy utilizados en la actualidad, se puede decir que es un medio de comunicación necesario para hacer compras, pagos, negocios, transacciones entre otros. El interés que lleva a realizar este trabajo, es conocer la inseguridad que existe en no proteger los mensajes de datos cuando las personas proporcionan su información en las páginas web de los comercios inscritos en el internet, los métodos pocos seguros no son suficientes para proteger la privacidad y manejo de estos datos. Cada día se ve amenazada esta área con el mal manejo de datos, por no contar con políticas claras que deben proporcionar los proveedores a los consumidores para su resguardo. Si bien desde el punto de vista académico, se centrará el trabajo en aportar datos teóricos sobre la problemática, también abarca un ámbito profesional, haciendo hincapié en el contexto de la seguridad que promueve este ensayo. Es menester, analizar ciertos aspectos que pueden mejorar el control de estos mensajes de datos con lineamientos que influyen positivamente en el manejo y protección adecuada de los datos de las personas. El trabajo consta de cuatro partes: en la primera se trata de dar una definición clara y sencilla para su mejor comprensión. La segunda parte, consiste en exponer los elementos de los mensajes de datos para establecer cómo se desarrolla su mecanismo. La tercera sección habla de los otros aspectos que se deben considerar en la elaboración de los mensajes de datos. La cuarta parte expone los principios que se
64
deben tomar en cuenta para el manejo de los mensajes de datos. Y por último, se presentan los derechos que deben tener los consumidores para el manejo de su información. Terminando con las conclusiones a las que se llegó con el trabajo realizado.
I. Los Mensajes de Datos Se puede comprender como mensaje de datos a las comunicaciones efectuadas mediante correo electrónico; sin embargo, también se extiende a otras comunicaciones como el telegrama, el télex o el telefax. Los mensajes de datos surgieron tras la aparición del internet y del correo electrónico; éstos permiten generar, archivar, recibir o enviar información, así como comunicarse, lo que incluye textos, voces, correo de voz, datos, imágenes, o números. (Maya, 2008)
II. Partes que debe tener un Mensaje de Datos El emisor, es la persona que en su nombre inicia o envía un mensaje antes de archivarla, y que lo envía a un destinatario específico. El destinatario es la persona que recibe el mensaje de datos enviado por el emisor. El infrascrito es la persona o grupo que conserva la información y los datos de la creación de la firma y actúa en nombre propio de quien que representa. El intermediario es la persona que, en relación con un determinado mensaje de datos, envía, recibe o archiva dicho mensaje o presta algún otro servicio con respecto al mismo, actuando por cuenta de otra persona. (González et. al., 2005)
65
III. Otros Aspectos que se deben considerar en los Mensajes de Datos Parte confiable; es el ente individual que, siendo o no el destinatario actúa sobre la base de un certificado o de una firma electrónica. Prestador de servicio de certificación; es la entidad u organización de derecho privado o la institución pública, como por ejemplo; el Sistema de Administración Tributaria (SAT). Identidad del emisor; lo más importante en materia de los mensajes de datos lo constituye la identidad del emisor. Es decir, siempre que se entienda que el mensaje de datos proviene del emisor o que el destinatario tenga la potestad de actuar con arreglo a este supuesto, el destinatario tendrá derecho a verificar que el mensaje de datos recibido corresponde al emisor y que va dirigido al destinatario correcto, éste, a su vez, podrá proceder en consecuencia. Momento de la conducción; el mensaje de datos se tendrá por despachado al destinatario o la parte que confía y recibe (la que actúa en base a, certificado o una firma electrónica). Lugar de conducción y recepción; el mensaje de datos entre el emisor y el destinatario se entiende por despachado en el lugar donde el emisor tiene su entidad y por recepción en el lugar donde el destinatario tiene el suyo (González et. al., 2005; págs. 72-73). Momento de la recepción; el momento de la recepción de los mensajes de datos es sustancial para los efectos jurídicos de los actos realizados a través del mismo. Acuses de recibido; el destinatario debe dar la certeza que ha recibido el mensaje de datos del emisor, procede la expedición de acuses de recibido de los mensajes de datos.
66
Valor demostrable de los mensajes de datos; revelar de acuerdo como prueba para los mensajes de datos. Para valorar la fuerza probatoria de los mensajes, se estimará primordialmente la fiabilidad del procedimiento en que haya sido generado, archivado, comunicado o conservado. Conservación de los mensajes de datos; ambas partes deben conservar la documentación digital que contiene la información descrita tanto del emisor como el destinatario. (González et. al., 2005; págs. 74-76)
IV. Principios de Protección de los Mensajes de Datos Se considera de mucha importancia contemplar ciertos principios para el manejo de los mensajes de datos con el objetivo de que su conducción y disposición pueda ser segura, de acuerdo con Sarra (2000) son las siguientes: • Legalidad y buena fe: se refiere a que la información personal debe ser procesada en forma legítima y no pueda ser utilizada con
•
fines contrarios a la buena fe. Explicación de la finalidad, racionalidad y duración: se refiere a que el proceso de la información debe realizarse con fines determinados, que deben ser explícitos y legítimos; y para su divulgación debe mediar consentimiento del titular. La racionalidad de su utilización implica que los datos deben ser utilizados para los fines para los que fueron recolectados. Además, la información solo deberá ser conservada por un período razonable para la consecución de los fines para los cuales fue recolectada.
67
•
Eficacia y exactitud: la información presentada a procesamiento debe ser adecuada, pertinente y no excesiva con relación al ámbito y los fines.
•
No discriminación: se debe evitar el sistema de datos de las personas que pueda converger en actos ilegítimos o discriminatorios. Para esto, se ha establecido la prohibición de recopilar datos sensibles que incluyan información sobre el origen racial o étnico, vida sexual, opiniones políticas, religiosas, filosóficas o cualquier otra creencia y la pertenencia a asociaciones, sindicatos, etc. Es decir, cualquier tipo de información que pudiera derivar en actos de discriminación sobre las personas. (Sarra, 2000; págs.196-198)
•
Confidencialidad y seguridad de la información: se debe garantizar que la información personal, solo será tratada por personas autorizadas, y esta información estará protegida contra destrucción, pérdida, alteración o difusión, accesos no autorizados, utilización fraudulenta, contaminación por virus de computadoras, etc. Para esto, se deberán adoptar las medidas técnicas de seguridad y de organización necesarias para garantizar un adecuado resguardo de los datos. (Sarra, 2000; págs. 203-205)
Para que estos principios puedan ponerse en operación, se deben ofrecer las siguientes garantías, de acuerdo con Sarra, y Téllez. Se comenta, además, su importancia en el ambiente de comercio electrónico, se debe aplicar los siguientes derechos: (Sarra, 2000; págs. 78-79)
V. Derechos que se deben Considerar a) Derecho de conocimiento: los interesados a los que se requieran datos personales deberán ser, previamente, informados de modo expreso, preciso e inequívoco, según:
68
•
Derecho de la existencia de un fichero o procedimiento de datos de carácter personal, con la finalidad de la acumulación de éstos y de los destinatarios de la información;
•
Derecho de las consecuencias de la obtención de los datos o de la negativa de administrarlos; Derecho del carácter obligatorio o voluntario de su respuesta a las preguntas que les sean planteadas;
• • •
Derecho de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición; Derecho de la identidad y dirección del responsable del tratamiento o de su representantes.
b) Derecho a que los datos sean de calidad: los datos que se recolecten deben ser exactos, pertinentes, adecuados y no excesivos, y recolectados para los fines determinados. c) Derecho de acceso: las personas tendrán derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos. d) Derecho de rectificación y cancelación: permite que el interesado solicite una modificación en los términos de alteración o ampliación, o una supresión o cancelación de aquellos datos que, referidos a su persona, considere como inexactos o irrelevantes o que requieran actualizarse. e) Derecho de oposición: permite a los interesados a oponerse, al tratamiento de los datos que le conciernen. En este caso, sus datos deben ser dados de baja en el tratamiento, cancelándose las informaciones a su simple solicitud. f) Derecho a la aprobación: En todo procesamiento de datos se requiere que el interesado preste su consentimiento, salvo cuando exista una disposición en contrario.
69
g) Derecho a fijar el nivel de protección: mediante el derecho de autodeterminación se otorga a la persona la posibilidad de determinar el nivel de protección que desea que se otorgue a los datos que le conciernen. Por otro lado, el responsable del tratamiento de los datos deberá adoptar medidas técnicas y de organización apropiadas para asegurar la protección de los datos contra daños, pérdidas o accesos no autorizados. h) Derecho de uso conforme al fin: consiste en que el interesado pueda exigir que su información personal sea destinada para los objetivos específicos por los cuales se proveyó. i) Derecho para la prohibición de interconexión de archivos: este derecho se refiere a que las distintas bases de datos que contienen información personal no puedan consultarse y/o vincularse indistintamente. j) Derecho a la impugnación de valoraciones basadas sólo en datos procesados automáticamente: este derecho pretende asegurar al interesado que no será sometido a una decisión que pudiera tener efectos jurídicos significativos sobre él, cuando esta hubiere sido adoptada sobre la única base de un tratamiento automatizado de datos y fuera destinada a evaluar determinados aspectos de su personalidad, conducta, fiabilidad, rendimiento laboral, etc. k) Derecho de indemnización: este derecho se refiere a la facultad que poseen los afectados por infracciones a la normativa de protección de datos, de ser indemnizados. l) Derecho de tutela: este derecho otorga a las personas la facultad de reclamarante la autoridad competente, frente a las actuaciones contrarias o que violen sus derechos sobre la protección de sus datos personales. m) Derecho a la no discriminación: se refiere a que se prohibirá la recolección de datos sensibles que puedan resultar en la discriminación de las personas por su condición, ya sea: social, étnico, sexual, salud, político, religioso, filosófico, gremial, etc. 70
VI. Protección al Consumidor Es necesario educar al consumidor sobre sus derechos y responsabilidades, para que pueda realizar compras seguras y satisfactorias en Internet, que permita un adecuado equilibrio entre el desarrollo de la economía y su protección como ciudadano. Al hacer un recuento de las actividades que realiza un consumidor para llevar a cabo una transacción de compra y venta electrónica, y considerando el análisis anterior se puede identificar que en una compra y venta por Internet, debe cumplirse lo siguiente, para proteger la privacidad del consumidor: (Sarra, 2000; págs. 202-206) •
• •
•
•
Informar al consumidor, si el sitio que accede está grabando “cookies” en su computador, y las consecuencias de ello. Es decir, informar desde este momento sobre los “cookies” y para qué sirven, y obtener el consentimiento del consumidor. El consumidor debe ser responsable de informarse para fijar el nivel de seguridad adecuado a sus intereses. Informar al consumidor, si el sitio está grabando su información personal electrónica y no electrónica y el uso que se dará a esa información y consultar si está de acuerdo. Informar sobre el nivel de protección que tendrán sus datos, y que éstos no serán cedidos, vendidos o transferidos a terceros sin su consentimiento. El nivel de seguridad debe proteger los datos de usos fraudulentos, accesos no autorizados, pérdida, alteración o difusión. En caso de que la transacción comercial sea con una empresa ubicada en el extranjero, informar al consumidor si sus datos serán transferidos a un país con poca protección de datos personales, para obtener su consentimiento para la recolección de datos.
71
•
•
•
•
•
•
•
•
Consultar al consumidor, si desea que se le envíe publicidad a su dirección electrónica o cuando se encuentra navegando por Internet. Informar los derechos que tiene el consumidor sobre sus datos, si puede consultarlos, rectificarlos, oponerse a su procesamiento, o acceder a ellos en cualquier momento. Los datos que se recolecten debe ser exactos, pertinentes, adecuados, no excesivos, y utilizados conforme al fin establecido (para la transacción de compra y venta electrónica), y se mantendrá por un período finito (lo necesario para respaldar la realización de la compra y venta electrónica y los casos de cumplimiento de garantías). Prohibir que se interconecten archivos para procesar datos de un consumidor para obtener perfiles de sus actividades, sin su consentimiento expreso. Prohibir la recolección de datos sensibles que puedan después utilizarse para negar una venta o un servicio al consumidor, o tratarlo de manera diferente. Permitir que el consumidor impugne una valoración que se ha tomado con base sólo a los datos procesados automáticamente. Y valorar su condición tomando en consideración otros datos aportados por él que pueden cambiar su valoración inicial. El Estado debe garantizar la tutela de las personas a la protección de sus datos personales y, en consecuencia, también los derechos del consumidor a la protección de sus datos personales. Así como la indemnización de las personas cuando sus derechos han sido lesionados. El Estado debe informar y educar a las personas para que puedan establecer relaciones de consumo responsable (tomen sus propias medidas de seguridad, conozcan lo que ocurre en la red, sean cautos al realizar una transacción
72
comercial electrónica, se cercioren para qué se requieren datos personales y los derechos que tiene sobre ellos, y sobre todo, que conozcan los procedimientos para reclamar cuando sus derechos le sean violados). (Sarra, 2000; págs. 2012-2017
Conclusiones •
•
•
•
•
Se debe tomar muy en cuenta en el uso electrónico, sobre todo cuando se navega por internet, que es menester que tanto el consumidor como el proveedor tenga claro las reglas del juego, es decir que cada parte sepa cuáles son sus derechos y obligaciones. Es necesario tener un aspecto jurídico para que se protejan los datos que las personas entregan a las empresas por medio de la web; que tengan la privacidad, pero sobre todo que no dispongan de estos datos para otros usos. Las empresas que venden por internet, deben tener políticas y éstas se deben comprometer a exhibirlas en forma clara y destacarlas en la página principal del sitio y en cada parte de la misma en que se recolecte la información personal, debe ser clara, precisa y entendible. Es necesario educar al consumidor sobre sus derechos, obligaciones y deberes, para que pueda hacer transacciones seguras y satisfactorias en internet, que permita un adecuado desarrollo de la economía y su protección como ciudadano. El costo de una buena gestión de seguridad, será el beneficio para la seguridad de los mensajes de datos de las personas individuales como jurídicas.
73
Bibliografía González, García, León Tovar, Vázquez del Mercado. (2005). La firma electrónica avanzada. Editorial Mexicana: México D.F.
Sarra, Andrea Viviana. (2000). Comercio electrónico y derecho. Editorial Astrea: Buenos Aires.
Téllez, J. (2004). Derecho Informático. Editores S.A.: México D.F.
74
“La Firma Electrónica”
Edleman Hernández, Herlyss Omibar Maestría en Seguridad Pública Maestría en Criminología y Criminalística Universidad Galileo
Contenido
75
cONTENIDO Introducción
77
I. Firma Electrónica 77 II. ¿Qué es una Firma Electrónica? 80 III. La Firma Electrónica: Mayor Seguridad en la Red 82
Conclusiones Bibliografía
88 88
76
Introducción
En los últimos años, la tecnología ha avanzado a pasos cada vez mayores, obviando y reemplazando el uso de documentos tangibles; la firma electrónica es el conjunto de datos en forma electrónica consignados, adjuntados o lógicamente asociados al mensaje de datos por cualquier tecnología, utilizados para identificar al firmante en relación con el mensaje de datos. Con el paso del tiempo se han venido fortaleciendo las medidas de seguridad, en relación a confidencialidad de documentos electrónicos, siendo la firma electrónica uno de los controles de seguridad en los mismos. Como parte del diario vivir de las personas que trabajan documentos de carácter personal, comerciales, entre otros; por medio de la tecnología el uso de la firma electrónica ha sido la herramienta que cumple con las medidas de seguridad básicas para este tipo de actividades.
I. Firma Electrónica No debe confundirse con Firma digital. Lafirma electrónica es un concepto jurídico, equivalente electrónico al de la firma manuscrita, donde una persona acepta el contenido de un mensaje electrónico a través de cualquier medio electrónico válido. Ejemplos: 1. Firma con un lápiz electrónico al usar una tarjeta de crédito o débito en una tienda. 2. Marcando una casilla en una computadora, a máquina o aplicada con el ratón o con el dedo en una pantalla táctil. 3. Usando una firma digital.
77
4. Usando usuario y contraseña. 5. Usando una tarjeta de coordenadas. Una firma electrónica crea un historial de auditoría que incluye la verificación de quién envía el documento firmado y un sello con la fecha y hora. Según la Ley 59/2003, de firma electrónica, en España, es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante. Según la Directiva 1999/93/CE del Parlamento Europeo y del Consejo Europeo, del 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica, la firma electrónica son los datos en forma electrónica anexos a otros datos electrónicos o asociados de manera lógica con ellos, utilizados como medio de autenticación.
Necesidad de la firma electrónica La firma de un documento es necesaria para hacer constar por escrito la manifestación de la voluntad de aceptar, contratar o acusar recibo por parte del emisor. También es necesaria para identificar al firmante del documento, verificar la integridad del mensaje (por ejemplo, cuando es manuscrito, con la rubrica en cada hoja) y asegurar la confidencialidad del propio mensaje. Y, por tanto, conlleva las consecuencias jurídicas derivadas del contenido del documento atribuible al firmante, lo que implica que se reconoce a la persona titular de la firma como autor del documento. Para autenticar un documento digital también se requiere una firma: la firma electrónica. A una firma electrónica también se aplican todos los conceptos anteriores y, por tanto, necesariamente debe probarse que proviene de la persona a quien se la atribuimos, lo que al parecer
78
siempre ocurre cuando se trata de una firma electrónica avanzada (FEA), la cual debe ser fiable. Más adelante nos ocuparemos de la fiabilidad. La firma electrónica es necesaria como un mecanismo indispensable para proporcionar validez a los actos y contratos que se realizan por medios electrónicos, así como para eludir posibles fraudes que pueden darse por el uso de tarjetas de crédito o de comunicaciones en redes públicas, evitar el ingreso a sitios infectados con virus y dar secrecía y seguridad a la información que se transcribe por medios electrónicos, ópticos o tecnologías similares. Tipos 1. La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control. 2. Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma. La firma electrónica reconocida tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel.
Guatemala
En Guatemala, la Ley para el Reconocimiento de las Comunicaciones y Firmas Electrónicas (Decreto 47-2008), fue publicada en el diario oficial el 23 de septiembre de 2008. El Ministerio de Economía de este país tiene bajo su responsabilidad el regular este tema, y abrió en el mes de junio de 2009 el Registro de Prestadores de Servicios de
79
Certificación, publicando su sitio web con copia de la ley e información importante sobre el tema. El Primer y único Prestador de Servicios de Certificación Digital debidamente autorizado por el Ministerio de Economía de Guatemala para prestar Servicios de Certificación Digital es la Cámara de Comercio de Guatemala a través de su instancia Firma-e, según resolución del Registro de Prestadores de Servicios de Certificación No. PSC-01-2012.
II. ¿Qué esuna Firma Electrónica? La Firma Digital es un método criptográfico que asocia la identidad de una persona o de un equipo informático al mensaje o documento. En función del tipo de firma, puede, además, asegurar la integridad del documento o mensaje. La Firma Electrónica es un concepto más amplio que el de Firma Digital. Mientras que el segundo hace referencia a una serie de métodos criptográficos, el concepto de “Firma Electrónica” es de naturaleza fundamentalmente legal, ya que confiere a la firma un marco normativo que le otorga validez jurídica. La Firma Electrónica, puede vincularse a un documento para identificar al autor, para señalar conformidad (o disconformidad) con el contenido, para indicar que se ha leído o, según el tipo de firma, garantizar que no se pueda modificar su contenido. La Firma Digital La firma digital de un documento es el resultado de aplicar cierto algoritmo matemático, denominado función hash, a su contenido y, seguidamente, aplicar el algoritmo de firma (en el que se emplea una clave privada) al resultado de la operación anterior, generando la firma 80
electrónica o digital. El software de firma digital debe además efectuar varias validaciones, entre las cuales se pueden mencionar: vigencia del certificado digital del firmante, revocación del certificado digital del firmante (puede ser por OCSP o CRL), inclusión de sello de tiempo. La función hash es un algoritmo matemático que permite calcular un valor resumen de los datos a ser firmados digitalmente. Funciona en una sola dirección, es decir, no es posible, a partir del valor resumen, calcular los datos originales. Cuando la entrada es un documento, el resultado de la función es un número que identifica inequívocamente al texto. Si se adjunta este número al texto, el destinatario puede aplicar de nuevo la función y comprobar su resultado con el que ha recibido. No obstante, este tipo de operaciones no están pensadas para que las lleve a cabo el usuario, sino que se utiliza software que automatiza tanto la función de calcular el valor hash como su verificación posterior. El Marco Normativo de la Firma Electrónica La Directiva 1999/93/CE de la Unión Europea sienta un marco común para la firma electrónica en la zona Euro. La transposición de dicha Directiva en España corresponde a la Ley 59/2003, de Firma electrónica, que define tres tipos de firma: • Simple: Incluye un método de identificar al firmante (autenticidad) • Avanzada: Además de identificar al firmante permite garantizar la integridad del documento. Se emplean técnicas de PKI. • Reconocida: Es la firma avanzada ejecutada con un DSCF (dispositivo seguro de creación de firma) y amparada por un certificado reconocido (certificado que se otorga tras la verificación presencial de la identidad del firmante).
En ocasiones, esta firma se denomina Cualificada por traducción del término Qualified de la Directiva Europea de Firma Electrónica.
81
El Formato de la Firma Electrónica Las normas TS 101 733 y TS 101 903 definen los formatos técnicos de la firma electrónica. La primera se basa en el formato clásico PKCS#7 y la segunda en XMLD sigfirma XML especificada por el consorcio W3C. Bajo estas normas se definen tres modalidades de firma: • Firma básica. Incluye el resultado de operación de hash y clave privada, identificando los algoritmos utilizados y el certificado asociado a la clave privada del firmante. • Firma fechada. A la firma básica se añade un sello de tiempo calculado a partir del hash del documento firmado por una TSA (Time Stamping Authority) •
Firma validada o firma completa. A la firma fechada se añade información sobre la validez del certificado procedente de una consulta de CRL o de OCSP realizada a la Autoridad de Certificación.
La firma completa libera al receptor de la firma del problema de ubicar al Prestador de Servicios de Certificación y determinar los procedimientos de validación disponibles.
III. La Firma Electrónica: Mayor Seguridad en la Red Se proponen cambios en la regulación de la firma electrónica para impulsar el comercio electrónico. La confianza y la seguridad de los usuarios son clave para conseguirlo. Pero, ¿sabe usted qué es exactamente y cómo funciona?
82
¿Qué es la firma electrónica? La firma electrónica o digital es un conjunto de datos electrónicos que identifican a una persona en concreto. Suelen unirse al documento que se envía por medio telemático, como si de la firma tradicional y manuscrita se tratara, de esta forma el receptor del mensaje está seguro de quién ha sido el emisor, así como que el mensaje no ha sido alterado o modificado. La firma electrónica puede utilizarse en el sector privado, para contratación privada por vía electrónica, entre empresa y consumidor (por ejemplo, la compra de un libro o un compacto por Internet) y entre empresas (por ejemplo, realizar un pedido a un distribuidor) o incluso entre los mismos consumidores finales (por ejemplo, venta de una raqueta de segunda mano, una colección de monedas etc.). También nos sirve para realizar actuaciones con y entre la Administración, es decir, sirve tanto para las relaciones entre los propios entes públicos que la forman como para las relaciones del ciudadano con la Administración (por ejemplo, algo tan simple como la renovación del D.N.I, la solicitud de prestaciones a la Seguridad Social o incluso la presentación de la declaración de la renta por Internet con el conocido programa “Padre”).
¿Cómo funciona la firma electrónica? La firma electrónica funciona mediante la encriptación o cifrado de los datos que la componen, de forma que si no se tiene la clave, el documento se convierte en ilegible. Para ello es necesario contar con un par de claves: clave privada y clave pública que se corresponden de forma matemática. Pongamos un ejemplo, escribimos un documento y lo firmamos con nuestra clave privada y lo enviamos a nuestro receptor al cual previamente le habremos otorgado nuestra clave pública, esta clave pública es la que permite verificar la procedencia del mensaje
83
y que verdaderamente ha sido firmado por nosotros, que somos los únicos poseedores de la clave privada). Con esta encriptación se consigue que: La información enviada bajo la firma electrónica sólo pueda leerse por la persona autorizada que posea la clave. Acreditar la identidad de quien firma el documento electrónicamente. ¿Cuántos tipos de firma electrónica existen? En nuestra actual normativa existen dos tipos: la básica y la avanzada. La firma electrónica básica contiene un conjunto de datos recogidos de forma electrónica que formalmente identifican al autor y se incorporan al propio documento, pero este sistema tiene algunos problemas. ¿Cómo sabemos que los datos enviados hayan sido creados por la persona que lo firma o que verdaderamente lo ha firmado él y no una tercera persona haciéndose pasar por él? Para resolver este problema se crea la firma electrónica avanzada, a la que nuestro ordenamiento atribuye plena eficacia jurídica y valor probatorio en juicio. Permite la identificación del emisor del mensaje ya que está vinculada de manera única al que firma el documento y a los datos que incorpora, debido a que es el signatario quien únicamente posee el control exclusivo de estas claves, además de que permite saber si estos datos han sido modificados posteriormente o en su transcurso. Sin duda son figuras todavía desconocidas y complicadas para el uso y entendimiento de la población, no sólo porque son tratadas desde un punto de vista excesivamente técnico, sino por la propia ambigüedad que produce la lectura de las definiciones que ofrece la regulación actual.
84
¿Quién autentifica las firmas electrónicas? Las autoridades de certificación, que son personas o entidades que cumplen una serie de requisitos legales y que deben ser autorizados por el Ministerio de Justicia para otorgar certificados que acrediten que la persona o entidad que usa dicha firma es ciertamente quien dice ser. Las principales autoridades de certificación que operan en España y que por consiguiente se hayan debidamente acreditadas son: Agencia de Certificación Electrónica (ACE), está homologada por Visa y Mastercard y ofrece certificados para Entidades y Corporaciones dentro de Comercio electrónico y de comunicaciones a través de Internet. (www.ace.es). Fundación para el Estudio de la Seguridad de las Telecomunicaciones (FESTE), se trata de entidad formada por registradores, notarios, abogados, la Universidad de Zaragoza e Intercomputer S.A y su principal actuación se dirige a la contratación privada. (www.feste.es). Certificación Española (CERES), es una entidad de certificación pública que lleva a cabo la Fábrica Nacional de Moneda y Timbre. Su campo de actuación es la garantía de seguridad, validez y eficacia de comunicaciones entre los órganos de la Administración Pública y entre las personas físicas y jurídicas que se relacionen con ella, sin olvidar servicios de Comunidades Autónomas, Entidades Locales y de derecho público siendo necesario únicamente un convenio previo. (www.fnmt.es/faq.htm). En España la prestación de estos servicios es libre, si bien existe un procedimiento voluntario, que es la acreditación, mediante la cual la Administración, realizando las evaluaciones técnicas de rigor, emite una resolución o documento oficial donde certifica que ese Prestador cumple con las normas de calidad y seguridad establecidas en cuanto a sus procedimientos y a los productos y tecnología que utiliza.
85
¿Qué necesitamos para emitir un documento con firma digital avanzada? Primeramente necesitaremos una serie de requisitos técnicos en nuestro ordenador, como es un navegador del tipo Nestcape o Microsoft Internet Explorer 4.0 o superior, en segundo lugar contactar con una Autoridad de certificación de firmas, como por ejemplo la Agencia de Certificación Electrónica, Verisign, IPS, etc., estas entidades comprobarán su identidad y le facilitarán un juego de claves (pública o privada) además de que le expedirán un certificado. (Actual Regulación: R.D.Ley 14/1999, de 17 de septiembre sobre firma electrónica). España es un país pionero en lo que respecta a la regulación de la firma electrónica, de hecho el Real Decreto fue publicado antes que la Directiva europea de 13 de Diciembre de 1999 de armonización de la firma electrónica. Se critica de este Real Decreto Ley, precisamente que sea un Decreto la norma que regule la firma electrónica y que fuera aprobado con carácter de urgencia, y no una ley aprobada de forma consensuada y debatida en el Parlamento. Su contenido es demasiado técnico y de difícil comprensión por personas no especializadas en la materia, incluidos jueces y abogados cuando realizan una interpretación de los mismos, asimismo se centra demasiado en aspectos administrativos, dejando un vacío respecto al verdadero y cotidiano uso de la firma por particulares. Además observamos una falta de concreción con respecto a los requisitos necesarios para la prestación de servicios de certificación y a la posición de preeminencia que se otorga a las Administraciones Públicas pareciendo impedir en muchos casos el acceso al mercado de operadores privados dejando en muchos casos en entredicho la libertad de competencia. También sería deseable que hubiera una
86
autoridad claramente definida con una competencia marcada en la tramitación de los “servicios de la sociedad de la información”, como en el caso que nos ocupa la firma electrónica, ya que da la sensación de no saber dónde acudir. Anteproyecto de Ley de firma electrónica Se pretende dotar a la firma electrónica de una regulación legal, respecto a su forma y limar algunos de sus contenidos, algo que la propia evolución social y tecnológica clamaba desde hace tiempo. La validez jurídica de la firma electrónica sigue teniendo la plena eficacia jurídica y probatoria. Sin embargo podemos observar dos novedades importantes en este anteproyecto: Creación del DNI electrónico, de este modo, todos los ciudadanos podrán emitir firmas electrónicas certificadas por la Administración del Estado. Será muy útil en trámites administrativos, transacciones electrónicas y banca online. Regulación de los certificados de personas jurídicas. Las solicitarán los administradores, representantes legales y apoderados de la persona jurídica, es decir se requiere que haya una persona física con vinculación a la persona jurídica. Será un gran paso para la seguridad jurídica entre empresas y como impulso del comercio electrónico. Se pretende que cada vez más se extienda a la población en general y deje de ser un servicio prácticamente exclusivo de empresas y Administraciones Públicas. Es deseable una distinción clara entre firma básica o simple y firma avanzada, en qué consisten cuáles son sus efectos y qué utilidades ofrecen para el usuario en función del destino que le vaya a dar. Respecto a las entidades de certificación, es criticable la falta de transparencia hacia los ciudadanos sobre cuál es su procedimiento. Primeramente ante el desconocimiento de quién puede realizar estos
87
servicios, qué requisitos deben cumplir, si están o no acreditados, en qué medida la acreditación influye en la prestación del servicio y las responsabilidades que conlleva etc.; y en segundo lugar, la falta de información que existe sobre los servicios que se ofertan, los precios de los mismos, su utilidad real, y el procedimiento para llevarlos a cabo. En la práctica nos encontramos con servicios dirigidos a un público demasiado especializado, que producen impotencia en el usuario ante la amalgama de términos empleados, también son frecuentes los enlaces a otras páginas, llevando al usuario a un desconcierto y la confusión.
Conclusiones •
El ser humano, por naturalidad es un ser social y comunicativo, y ante el evolucionar de la tecnología, también ha evolucionado en sus diferentes maneras de comunicarse y transmitir mensajes; siendo la tecnología ya parte de su diario vivir.
•
Siendo necesaria la comunicación en el ser humano, también de manera concomitante han surgido las medidas de seguridad, siendo la firma electrónica una de ellas.
Bibliografía Wikipedia. (s.f.). Firma Electrónica. Obtenido de: es.wikipedia.org/wiki/Firma electrónica
88
“La Firma ElectrónicaAvanzaday su Certificación”
Galindo López, Celvin Manolo Maestría en Derecho Penal y Ciencias Penales Maestría en Criminología y Ejecución Penal Universidad Pompeu Fabra, Barcelona-España Universidad de Barcelona-España Universidad Autónoma de Barcelona-España
89
CONTENIDO I. II. III.
IV. V. VI. VII. VIII. IX.
Firma Electrónica Avanzada Autoridades Certificadoras ¿Qué es un Certificado Digital
91 96
de Firma Electrónica Avanzada? Seguridad de la información Protocolos de Seguridad de la Información Planificación de la seguridad Actores que amenazan la seguridad Otros conceptos Gobierno de la Seguridad de la Información
99
Bibliografía
100 107 118 115 116 118 119
90
I. Firma Electrónica Avanzada La firma electrónica permite identificar al firmante y detectar cualquier cambio posterior de los datos firmados, está vinculada al firmante de manera única y a los datos a los que se refiere, esta firma tiene las propiedades necesarias para que el firmante pueda mantener bajo su exclusivo control. La firma electrónica en un concepto jurídico equivale a la firma manuscrita, donde una persona acepta los documentos emitidos a través de cualquier medio electrónico válido.
Ejemplos: • Firma con un lápiz electrónico al usar una tarjeta de crédito o débito • • • •
en una tienda. Marcando una casilla en una computadora. Usando una firma digital. Usando usuario y contraseña. Usando una tarjeta de coordenadas.
Una firma electrónica crea un historial de auditoría que incluye la verificación de quién envía el documento firmado y un sello con la fecha y hora.
Tipos de Firma Electrónica Existen dos tipos de firmas electrónicas las cuales son: 1. Firma Electrónica Avanzada: La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante. 2. Firma Electrónica Reconocida: Se considera firma electrónica reconocida a la firma electrónica avanzada basada en un certificado
91
reconocido y generada mediante un dispositivo seguro de creación de firma. La firma electrónica reconocida tendrá el mismo valor que la firma manuscrita. Regulaciones en diferentes países La firma electrónica avanzada es utilizada en diferentes países y aprobada por diversas leyes regularizando el uso de la misma. A continuación se presentan varios países en los que se hace uso de la firma electrónica avanzada, explicando cómo la legislación con la que fue aprobada difiere en el uso de la misma según el país.
Argentina La firma digital es legislada en la ley 25506 de la República Argentina. Fue sancionada en noviembre de 2001 y promulgada en el mismo año. La ley distingue a la firma digital de la firma electrónica, siendo la primera la de mayor peso jurídico: se establece que la firma digital es equivalente a la firma manuscrita. Esa equivalencia se exceptúa en los siguientes casos: 1. a las disposiciones por causa de muerte; 2. a los actos jurídicos del derecho de familia; 3. a los actos que deban ser instrumentados bajo exigencias o formalidades incompatibles con la utilización de la firma digital, ya sea como consecuencia de disposiciones legales o acuerdo de partes. A diferencia de la firma electrónica, la firma digital es posible gracias al uso de certificados digitales. Esos certificados contienen datos que identifican altitular de una firma. Los certificados digitales son entregados por Certificadores registrados y autorizados para tal actividad. Son los certificados digitales los que permiten a un tercero establecer la autenticidad de un firmante y detectar la alteración de documentos electrónicos firmados digitalmente.
92
Por otro lado, la exigencia de establecer la autenticidad del firmante en la firma electrónica recae en el mismo firmante, dado que carece de los requisitos legales para ser considerada firma digital.
Chile La Ley sobre firma electrónica fue publicada el 15 de septiembre del año 2003 por el Ministerio Secretaría General de la Presidencia, la Ley 19.799 sobre Documentos Electrónicos, Firma Electrónica y Servicios de Certificación de dicha firma, reconoce que los órganos del Estado podrán ejecutar o realizar actos, celebrar contratos y expedir cualquier documento, dentro de su ámbito de competencia, suscribiéndolos por medio de firma electrónica simple. Igualmente señala que estos actos, contratos y documentos, suscritos mediante firma electrónica, serán válidos de la misma manera y producirán los mismos efectos que los expedidos en soporte de papel.
España En España existe la Ley 59/2003, de Firma electrónica, que define tres tipos de firma: • Simple. Datos que puedan ser usados para identificar al firmante (autenticidad) • Avanzada. Además de identificar al firmante permite garantizar la integridad del documento y la integridad de la clave usada, utilizando para ello un Dispositivo Seguro de Creación de Firma. Se emplean técnicas de PKI. • Reconocida. Es la firma avanzada y amparada por un certificado reconocido (certificado que se otorga tras la verificación presencial de la identidad del firmante).
93
Guatemala En Guatemala, la Ley para el Reconocimiento de las Comunicaciones y Firmas Electrónicas (Decreto 47-2008), fue publicada en el diario oficial el 23 de septiembre de 2008. El Ministerio de Economía tiene bajo su responsabilidad el regular este tema y abrió en el mes de Junio de 2009 el Registro de Prestadores de Servicios de Certificación, publicando su sitio web con copia de la ley e información importante sobre el tema. El Primer y único Prestador de Servicios de Certificación Digital debidamente autorizado por el Ministerio de Economía de Guatemala para prestar Servicios de Certificación Digital es Cámara de Comercio de Guatemala a través de su instancia Firma-e, según resolución del Registro de Prestadores de Servicios de Certificación No. PSC-01-2012.
¿Cómo funciona la firma electrónica? La firma electrónica funciona mediante la encriptación o cifrado de los datos que la componen, de forma que si no se tiene la clave, el documento se convierte en ilegible. Para ello es necesario contar con un par de claves: clave privada y clave pública. Es decir, en el momento en el que el usuario redacta un documento y lo firma con la clave privada y éste lo envía a un receptor al cual previamente le otorgan clave pública, esta clave pública es la que permite verificar la procedencia del mensaje y que verdaderamente ha sido firmado por un ente validador, quienes son los únicos poseedores de la clave privada. Con esta encriptación se consigue que: • La información enviada bajo la firma electrónica sólo pueda leerse por la persona autorizada que posea la clave. • Acreditar la identidad de quien firma el documento electrónicamente.
94
Dicho en otras palabras, los usuarios tanto emisor como receptor deberán firmar los documentos enviados verificando la procedencia del mensaje, siguiendo los siguientes procedimientos: Cabe mencionar que el procedimiento para firmar documentos electrónicos puede variar dependiendo de la aplicación que esté utilizando. Pasos para firmar un documento 1. El firmante ingresa a la opción de firmar digitalmente el documento. 2. La aplicación solicita el dispositivo (token o tarjeta inteligente). 3. El firmante inserta el dispositivo en el lector (Puerto USB o en el lector de tarjetas). 4. El dispositivo solicita los datos de activación (palabra o frase clave). 5. El firmante indica su palabra o frase clave (que es secreta y custodia para evitar robo de la identidad). 6. El sistema operativo calcula el código clave (digesto) y lo firma utilizando la llave privada custodiada por el dispositivo. Además verifica el estado del certificado para evitar firmar utilizando un certificado revocado o suspendido. 7. La aplicación almacena en grupo el documento firmado, el cual es compuesto por la unión del documento electrónico, el certificado digital y el digesto o resumen encriptado. 8. El firmante verifica que el documento o archivo esté firmado digitalmente. ¿Cuántos tipos de firma electrónica existen? En nuestra actual normativa existen dos tipos: • Básica • Avanzada.
95
Firma Electrónica Básica: Contiene un conjunto de datos recogidos de forma electrónica que formalmente identifican al autor y se incorporan al propio documento, pero este sistema tiene algunas deficiencias, debido a que se desconocía si los documentos enviados fueron creados y firmados por la persona que los firma. Firma Electrónica Avanzada: Debido a las deficiencias encontradas en la firma electrónica básica se crea la firma electrónica avanzada, a la que nuestro ordenamiento atribuye plena eficacia jurídica y valor probatorio en juicio. Permite la identificación del emisor del mensaje ya que está vinculada de manera única al que firma el documento y a los datos que incorpora, debido a que es el signatario quien únicamente posee el control exclusivo de estas claves, además de que permite saber si estos datos han sido modificados posteriormente o en su transcurso.
II. Autoridades Certificadoras La gestión para ser Autoridad Certificadora se divide en dos fases:
Primera Fase En esta primera fase, el solicitante implementa y garantiza la operación de la infraestructura de llave pública de acuerdo a la ley y su reglamento. En esta fase de preparación el solicitante debe garantizar el cumplimiento de: 1. Políticas de Certificación emitidas por la Dirección de Certificadores de Firma Digital (DCFD), de acuerdo al alcance de los tipos de certificado que se van a emitir: • Política de Certificados para la jerarquía nacional de certificadores registrados 96
• •
Política de sellado de tiempo del sistema nacional de certificación digital Directrices para las Autoridades de Registro. - Características de cumplimiento de Autoridades de Registro (RA) de la jerarquía nacional de certificadores registrados de Costa Rica
2. Implementación de los controles y procedimientos de las Normas técnicas •
INTE-ISO 21188:2007 Infraestructura de llave pública para servicios financieros - Estructura de prácticas y políticas.
INTE-ISO/IEC 17021: 2007 Evaluación de la conformidad Requisitos para los organismos que realizan la auditoría y la certificación de sistemas de gestión. 3. Competencia técnica y administrativa para la operación de la •
Autoridad Certificadora 4. Someterse a un diagnóstico de la infraestructura de llave publica Segunda Fase En la segunda fase, gestiona su autorización o registro ante la DCFD siguiendo las formalidades: 1. Completar el formulario de solicitud de registro de la DCDF 2. Documentación completa (original y copia) para la identificación de las personas que fungirán como responsables administrativos 3. Documentación completa (original y copia) para la identificación de las personas que fungirán como responsables técnicos 4. Certificación de personería jurídica, en el caso de los sujetos privados, o de nombramiento para los funcionarios públicos 5. Certificación de composición y propiedad del capital social (aplica únicamente a la Sociedad Mercantil) 6. En caso de una solicitud de registro, el solicitante debe aportar la copia del certificado de acreditación o una carta de cumplimiento del proceso de acreditación por parte del ECA.
97
La Dirección recibe la solicitud de registro y procede a: 1. Verificar contra la lista de requisitos básicos 2. Asignar el número de expediente nuevo a la solicitud 3. Apercibir al interesado en un plazo no mayor de diez días, y por una única vez, para que subsane cualquier falta u omisión 4. Para las empresas privadas se requiere que: a. La DCFD genera resumen para publicación b. El solicitante publica el resumen en el diario oficial de
5. 6. 7. 8. 9.
la GACETA c. La DCFD reciba y resuelva las oposiciones d. La DCFD solicita la Póliza de Fidelidad Tramitar el acuerdo de suscriptor Citar a los solicitantes y a un supervisor técnico para que se ejecute la ceremonia de generación de llaves Participar en la ceremonia de generación de llaves para emitir la solicitud de certificado con la llave pública Generar el certificado correspondiente a la solicitud bajo las más estrictas normas de seguridad Conceder un plazo prudencial para someter al solicitante a una acreditación por parte del ECA, en caso de ser una autorización para su funcionamiento.
Firma-e como Prestador de Servicios de Certificación Digital Firma-e es el primer Prestador de Servicios de Certificación Digital de Guatemala, autorizado mediante resolución PSC-01-2012 del Ministerio de Economía, a través del Registro de Prestadores de Servicios de Certificación. Logro alcanzado gracias al apoyo del Banco Interamericano de Desarrollo (BID) a través del Fondo Multilateral de Inversiones FOMIN dentro de la ejecución del proyecto ATN/ME9031 GU“Apoyo al Comercio Electrónico”. Ahora Guatemala cuenta con una poderosa herramienta para facilitar la vida de todos sus ciudadanos.
98
Base Jurídica La Ley 47-2008 crea las bases jurídicas para el uso de la Firma Electrónica Avanzada en la República de Guatemala. La equivalencia de la firma manuscrita y los documentos electrónicos es una realidad gracias a la firma electrónica. Sus alcances superan la imaginación pues la mitigación de los riesgos en las comunicaciones electrónicas facilita cualquier proceso, ya sea contable, legal, público o privado.
III. ¿Qué es un Certificado Digital de Firma Electrónica Avanzada? Son algoritmos electrónicos que emite Cámara de Comercio de Guatemala y que permiten identificar de manera inequívoca a una persona en medios digitales. Adicionalmente califica tanto su actividad profesional, como el rol que desempeña en el momento. La certificación de Firma Digital permite garantizar: 1. Identidad y capacidad de las partes que tratan entre sí sin conocerse (emisor y receptor del mensaje). 2. Integridad de la transacción (verificar que la información no fue manipulada). 3. Irrefutabilidad de los compromisos adquiridos (no repudio). 4. Confidencialidad de los contenidos de los mensajes (solamente conocidos por quienes estén autorizados). A continuación el diagrama de la Jerarquía Nacional de Emisión de Certificados Digitales.
99
IV. Seguridad de la información La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma. El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos. Para el hombre como individuo, la seguridad de la información tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura del mismo. El campo de la seguridad de la información ha crecido y evolucionado considerablemente a partir de la Segunda Guerra Mundial, convirtiéndose en una carrera acreditada a nivel mundial. Este campo ofrece muchas áreas de especialización, incluidos la auditoría de sistemas de información, planificación de la continuidad del negocio, ciencia forense digital y administración de sistemas de gestión de seguridad, entre otros.
Concepción de la seguridad de la información En la seguridad de la información es importante señalar que su manejo está basado en la tecnología y debemos de saber que puede ser confidencial: la información está centralizada y puede tener un alto valor. Puede ser divulgada, mal utilizada, ser robada, borrada o saboteada. Esto afecta su disponibilidad y la pone en riesgo. La información es poder, y según las posibilidades estratégicas que ofrece tener acceso a cierta información, ésta se clasifica como:
100
• • •
Crítica: Es indispensable para la operación de la empresa. Valiosa: Es un activo de la empresa y muy valioso. Sensible: Debe de ser conocida por las personas autorizadas
Existen dos palabras muy importantes que son riesgo y seguridad: • Riesgo: Es la materialización de vulnerabilidades identificadas, asociadas con su probabilidad de ocurrencia, amenazas expuestas, así como el impacto negativo que ocasione a las operaciones de negocio. •
Seguridad: Es una forma de protección contra los riesgos.
La seguridad de la información comprende diversos aspectos entre ellos la disponibilidad, comunicación, identificación de problemas, análisis de riesgos, la integridad, confidencialidad, recuperación de los riesgos. Precisamente la reducción o eliminación de riesgos asociados a una cierta información es el objeto de la seguridad de la información y la seguridad informática. Más concretamente, la seguridad de la información tiene como objeto los sistemas, el acceso, uso, divulgación, interrupción o destrucción no autorizada de información. Los términos seguridad de la información, seguridad informática y garantía de la información son usados frecuentemente como sinónimos porque todos ellos persiguen una misma finalidad al proteger la confidencialidad, integridad y disponibilidad de la información. Sin embargo, no son exactamente lo mismo existiendo algunas diferencias sutiles. Estas diferencias radican principalmente en el enfoque, las metodologías utilizadas, y las zonas de concentración. Además, la seguridad de la información involucra la implementación de estrategias que cubran los procesos en donde la información es el activo primordial. Estas estrategias deben tener como punto primordial el establecimiento de políticas, controles de seguridad, tecnologías
101
y procedimientos para detectar amenazas que puedan explotar vulnerabilidades y que pongan en riesgo dicho activo, es decir, que ayuden a proteger y salvaguardar tanto información como los sistemas que la almacenan y administran. La seguridad de la información incumbe a gobiernos, entidades militares, instituciones financieras, los hospitales y las empresas privadas con información confidencial sobre sus empleados, clientes, productos, investigación y su situación financiera. En caso de que la información confidencial de una empresa, sus clientes, sus decisiones, su estado financiero o nueva línea de productos caigan en manos de un competidor; se vuelva pública de forma no autorizada, podría ser causa de la pérdida de credibilidad de los clientes, pérdida de negocios, demandas legales o incluso la quiebra de la misma. Por más de veinte años la Seguridad de la Información ha declarado que la confidencialidad, integridad y disponibilidad son los principios básicos de la seguridad de la información. La correcta Gestión de la Seguridad de la Información busca establecer y mantener programas, controles y políticas, que tengan como finalidad conservar la confidencialidad, integridad y disponibilidad de la información, si alguna de estas características falla no estamos ante nada seguro. Es preciso anotar, además, que la seguridad no es ningún hito, es más bien un proceso continuo que hay que gestionar conociendo siempre las vulnerabilidades y las amenazas que se ciñen sobre cualquier información, teniendo siempre en cuenta las causas de riesgo y la probabilidad de que ocurran, así como el impacto que puede tener. Una vez conocidos todos estos puntos, y nunca antes, deberán tomarse las medidas de seguridad oportunas.
102
Confidencialidad La confidencialidad es la propiedad que impide la divulgación de información a personas o sistemas no autorizados. A grandes rasgos, asegura el acceso a la información únicamente a aquellas personas que cuenten con la debida autorización. Por ejemplo, una transacción de tarjeta de crédito en Internet requiere que el número de tarjeta de crédito a ser transmitida desde el comprador al comerciante y el comerciante de a una red de procesamiento de transacciones. El sistema intenta hacer valer la confidencialidad mediante el cifrado del número de la tarjeta y los datos que contiene la banda magnética durante la transmisión de los mismos. Si una parte no autorizada obtiene el número de la tarjeta en modo alguno, se ha producido una violación de la confidencialidad. La pérdida de la confidencialidad de la información puede adoptar muchas formas. Cuando alguien mira por encima de su hombro, mientras usted tiene información confidencial en la pantalla, cuando se publica información privada, cuando un laptop con información sensible sobre una empresa es robado, cuando se divulga información confidencial a través del teléfono, etc. Todos estos casos pueden constituir una violación de la confidencialidad.
Integridad Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. (No es igual a integridad referencial en bases de datos.) A groso modo, la integridad es el mantener con exactitud la información tal cual fue generada, sin ser manipulada o alterada por personas o procesos no autorizados. La violación de integridad se presenta cuando un empleado, programa o proceso (por accidente o con mala intención) modifica o borra los datos importantes que son parte de la información, así
103
mismo hace que su contenido permanezca inalterado a menos que sea modificado por personal autorizado, y esta modificación sea registrada, asegurando su precisión y confiabilidad. La integridad de un mensaje se obtiene adjuntándole otro conjunto de datos de comprobación de la integridad: la firma digital es uno de los pilares fundamentales de la seguridad de la información.
Disponibilidad La disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. Groso modo, la disponibilidad es el acceso a la información y a los sistemas por personas autorizadas en el momento que así lo requieran. En el caso de los sistemas informáticos utilizados para almacenar y procesar la información, los controles de seguridad utilizados para protegerlo, y los canales de comunicación protegidos que se utilizan para acceder a ella deben estar funcionando correctamente. La alta disponibilidad sistemas objetivo debe estar disponible en todo momento, evitando interrupciones del servicio debido a cortes de energía, fallos de hardware, y actualizaciones del sistema. Garantizar la disponibilidad implica también la prevención de ataque de denegación de servicio. Para poder manejar con mayor facilidad la seguridad de la información, las empresas o negocios se pueden ayudar con un sistema de gestión que permita conocer, administrar y minimizar los posibles riesgos que atenten contra la seguridad de la información del negocio. La disponibilidad además de ser importante en el proceso de seguridad de la información, es además variada en el sentido de que existen varios mecanismos para cumplir con los niveles de servicio que se requiera. Tales mecanismos se implementan en infraestructura
104
tecnológica, servidores de correo electrónico, de bases de datos, de web etc., mediante el uso de clúster o arreglos de discos, equipos en alta disponibilidad a nivel de red, servidores espejo, replicación de datos, redes de almacenamiento (SAN), enlaces redundantes, etc. La gama de posibilidades dependerá de lo que queremos proteger y el nivel de servicio que se quiera proporcionar.
Autenticación o autentificación Es la propiedad que permite identificar el generador de la información. Por ejemplo al recibir un mensaje de alguien, estar seguro que es de ese alguien el que lo ha mandado, y no una tercera persona haciéndose pasar por la otra (suplantación de identidad). En un sistema informático se suele conseguir este factor con el uso de cuentas de usuario y contraseñas de acceso. Esta propiedad se puede considerar como un aspecto de la integridad -si está firmado por alguien, está realmente enviado por él mismo- y así figura en la literatura anglosajona.
Servicios de seguridad El objetivo de un servicio de seguridad es mejorar la seguridad de los sistemas de procesamiento de datos y la transferencia de información en las organizaciones. Los servicios de seguridad están diseñados para contrarrestar los ataques a la seguridad y hacen uso de uno o más mecanismos de seguridad para proporcionar el servicio.
No repudio Proporciona protección contra la interrupción, por parte de alguna de las entidades implicadas en la comunicación, de haber participado en toda o parte de la comunicación. El servicio de Seguridad de No repudio o irrenunciabilidad está estandarizado en la norma ISO-7498-2. 105
No Repudio de origen: El emisor no puede negar el envío porque el destinatario tiene pruebas del mismo, el receptor recibe una prueba infalsificable del origen del envío, lo cual evita que el emisor, de negar tal envío, tenga éxito ante el juicio de terceros. En este caso la prueba la crea el propio emisor y la recibe el destinatario. • Prueba que el mensaje fue enviado por la parte específica. No Repudio de destino: El receptor no puede negar que recibió el mensaje porque el emisor tiene pruebas de la recepción. Este servicio proporciona al emisor la prueba de que el destinatario legítimo de un envío, realmente lo recibió, evitando que el receptor lo niegue posteriormente. En este caso la prueba irrefutable la crea el receptor y la recibe el emisor. • Prueba que el mensaje fue recibido por la parte específica. Si la autenticidad prueba quién es el autor de un documento y cuál es su destinatario, el “no repudio” prueba que el autor envió la comunicación (no repudio en origen) y que el destinatario la recibió (no repudio en destino). El no repudio evita que el emisor o el receptor nieguen la transmisión de un mensaje. Así, cuando se envía un mensaje, el receptor puede comprobar que, efectivamente, el supuesto emisor envió el mensaje. De forma similar, cuando se recibe un mensaje, el emisor puede verificar que, de hecho, el supuesto receptor recibió el mensaje. Definición según la recomendación X.509 de la UIT-T Servicio que suministra la prueba de la integridad y del origen de los datos ambos en una relación infalsificable que pueden ser verificados por un tercero en cualquier momento.
106
V. Protocolos de Seguridad de la Información Los protocolos de seguridad son un conjunto de reglas que gobiernan dentro de la transmisión de datos entre la comunicación de dispositivos para ejercer una confidencialidad, integridad, autenticación y el no repudio de la información. Estos protocolos se componen de: • Criptografía (Cifrado de datos): se ocupa del cifrado de mensajes, un mensaje es enviado por el emisor, lo que hace es transposicionar u ocultar el mensaje hasta que llega a su destino y puede ser descifrado por el receptor. • Lógica (Estructura y secuencia): llevar un orden en el cual se agrupan los datos del mensaje, el significado del mensaje y saber cuándo se va enviar el mensaje. • Identificación (Autenticación): es una validación de identificación, es la técnica mediante la cual un proceso comprueba que el compañero de comunicación es quien se supone que es y no se trata de un impostor.
VI. Planificación de la seguridad Hoy en día la rápida evolución del entorno técnico requiere que las organizaciones adopten un conjunto mínimo de controles de seguridad para proteger su información y sistemas de información. El propósito del plan de seguridad del sistema es proporcionar una visión general de los requisitos de seguridad del sistema y se describen los controles en el lugar o los previstos para cumplir esos requisitos. El plan de seguridad del sistema también delinea las responsabilidades y el comportamiento esperado de todos los individuos que acceden al sistema. Debe reflejar las aportaciones de distintos gestores con responsabilidades sobre el sistema, incluidos los propietarios de la
107
información, el propietario de la red, y el alto funcionario de la agencia de información de seguridad (SAISO). Los administradores de programas, los propietarios del sistema, y personal de seguridad en la organización debe entender el sistema de seguridad en el proceso de planificación. Los responsables de la ejecución y gestión de sistemas de información deben participar en el tratamiento de los controles de seguridad que deben aplicarse a sus sistemas.
Creación de un plan de respuesta a incidentes Es importante formular un plan de respuestas a incidentes, soportarlo a lo largo de la organización y probarlo regularmente. Un buen plan de respuestas a incidentes puede no sólo minimizar los efectos de una violación sino también, reducir la publicidad negativa. Desde la perspectiva del equipo de seguridad, no importa si ocurre una violación o abertura (pues tales eventos son una parte eventual de cuando se hacen negocios usando un método de poca confianza como lo es Internet), sino más bien cuando ocurre. El aspecto positivo de entender la inevitabilidad de una violación a los sistemas (cualquier sistema donde se procese información confidencial, no está limitado a servicios informáticos) es que permite al equipo de seguridad desarrollar un curso de acciones para minimizar los daños potenciales. Combinando un curso de acciones con la experiencia le permite al equipo responder a condiciones adversas de una manera formal y oportuna. El plan de respuesta a incidentes puede ser dividido en cuatro fases: • Acción inmediata para detener o minimizar el incidente • Investigación del incidente • Restauración de los recursos afectados • Reporte del incidente a los canales apropiados
108
Una respuesta a incidentes debe ser decisiva y ejecutarse rápidamente. Debido a que hay muy poco espacio para errores, es crítico que se efectúen prácticas de emergencias y se midan los tiempos de respuesta. De esta forma, es posible desarrollar una metodología que fomenta la velocidad y la precisión, minimizando el impacto de la indisponibilidad de los recursos y el daño potencial causado por el sistema en peligro. Un plan de respuesta a incidentes tiene un número de requerimientos, incluyendo: • Un equipo de expertos locales (un equipo de respuesta a emergencias de computación) • Una estrategia legal revisada y aprobada • Soporte financiero de la compañía • Soporte ejecutivo de la gerencia superior • Un plan de acción factible y probado • Recursos físicos, tal como almacenamiento redundante, sistemas en stand by y servicios de respaldo Consideraciones legales Otros aspectos importantes a considerar en una respuesta a incidentes son las ramificaciones legales. Los planes de seguridad deberían ser desarrollados con miembros del equipo de asesoría jurídica o alguna forma de consultoría general. De la misma forma en que cada compañía debería tener su propia política de seguridad corporativa, cada compañía tiene su forma particular de manejar incidentes desde la perspectiva legal. Las regulaciones locales, de Estado o federales están más allá del ámbito de este documento, pero se mencionan debido a que la metodología para llevar a cabo el análisis post-mortem, será dictado, al menos en parte, por la consultoría jurídica. La consultoría general puede alertar al personal técnico de las ramificaciones legales de una violación; los peligros de que se escape
109
información personal de un cliente, registros médicos o financieros; y la importancia de restaurar el servicio en ambientes de misión crítica tales como hospitales y bancos.
Planes de acción Una vez creado un plan de acción, este debe ser aceptado e implementado activamente. Cualquier aspecto del plan que sea cuestionado durante la implementación activa lo más seguro es que resulte en un tiempo de respuesta pobre y tiempo fuera de servicio en el evento de una violación. Aquí es donde los ejercicios prácticos son invalorables. La implementación del plan debería ser acordada entre todas las partes relacionadas y ejecutada con seguridad, a menos que se llame la atención con respecto a algo antes de que el plan sea colocado en producción. La respuesta a incidentes debe ir acompañada con recolección de información siempre que esto sea posible. Los procesos en ejecución, conexiones de red, archivos, directorios y mucho más deberían ser auditados activamente en tiempo real. Puede ser muy útil tener una toma instantánea de los recursos de producción al hacer un seguimiento de servicios o procesos maliciosos. Los miembros de CERT y los expertos internos serán recursos excelentes para seguir tales anomalías en un sistema.
El manejo de riesgos Dentro de la seguridad en la información se lleva a cabo la clasificación de las alternativas para manejar los posibles riegos que un activo o bien puede tener dentro de los procesos de organización. Esta clasificación lleva el nombre de manejo de riesgos. El manejo de riesgos, conlleva una estructura bien definida, con un control adecuado y su manejo, habiéndolos identificado, priorizado y analizado, a través de acciones
110
factibles y efectivas. Para ello se cuenta con las siguientes técnicas de manejo del riesgo: • Evitar. El riesgo es evitado cuando la organización rechaza aceptarlo, es decir, no se permite ningún tipo de exposición. Esto se logra simplemente con no comprometerse a realizar la acción que origine el riesgo. Esta técnica tiene más desventajas que ventajas, ya que la empresa podría abstenerse de aprovechar muchas oportunidades. Ejemplo: No instalar empresas en zonas sísmicas. • Reducir. Cuando el riesgo no puede evitarse por tener varias dificultades de tipo operacional, la alternativa puede ser su reducción hasta el nivel más bajo posible. Esta opción es la más económica y sencilla. Se consigue optimizando los procedimientos, la implementación de controles y su monitoreo constante. Ejemplo: No fumar en ciertas áreas, instalaciones eléctricas anti flama, planes de contingencia. •
Retener, Asumir o Aceptar el riesgo. Es uno de los métodos más comunes del manejo de riesgos, es la decisión de aceptar las consecuencias de la ocurrencia del evento. Puede ser voluntaria o involuntaria, la voluntaria se caracteriza por el reconocimiento de la existencia del riesgo y el acuerdo de asumir las pérdidas involucradas, esta decisión se da por falta de alternativas. La retención involuntaria se da cuando el riesgo es retenido inconscientemente. Ejemplo de asumir el riesgo: Con recursos propios se financian
•
las pérdidas. Transferir. Es buscar un respaldo y compartir el riesgo con otros controles o entidades. Esta técnica se usa ya sea para eliminar un riesgo de un lugar y transferirlo a otro, o para minimizar el mismo, compartiéndolo con otras entidades. Ejemplo: Transferir los costos a la compañía aseguradora.
111
Medios de transmisión de ataques a los sistemas de seguridad El mejor en soluciones de su clase permite una respuesta rápida a las amenazas emergentes, tales como: • Malware y spam propagado por e-mail • La propagación de malware y botnets • Los ataques de phishing alojados en sitios web • Los ataques contra el aumento de lenguaje de marcado extensible (XML) de tráfico, arquitectura orientada a servicios (SOA) y servicios web Estas soluciones ofrecen un camino a la migración y la integración. Como las amenazas emergentes, cada vez más generalizada, estos productos se vuelven más integrados en un enfoque de sistemas. Un enfoque de sistemas de configuración, la política, y el seguimiento se reúne cumplimiento de las normativas en curso y permite a los sistemas rentables de gestión. El enfoque de sistemas de gestión de la seguridad, dispone: • Configuración de la política común de todos los productos • Amenaza la inteligencia y la colaboración de eventos • Reducción de la complejidad de configuración • Análisis de riesgos eficaces y operativos de control En la actualidad gracias a la gran cantidad posibilidades que se tiene para tener acceso a los recursos de manera remota y al gran incremento en las conexiones a internet los delitos en el ámbito de TI se han visto incrementados, bajo estas circunstancias los riesgos informáticos son más latentes. Los delitos cometidos mediante el uso de la computadora han crecido en tamaño, forma y variedad. Los principales delitos hechos por computadora o por medio de computadoras son: • Fraudes • Falsificación • Venta de información
112
Entre los hechos criminales más famosos en los Estados Unidos están: • El caso del Banco Wells Fargo donde se evidenció que la protección de archivos era inadecuada, cuyo error costó USD 21.3 millones. • El caso de la NASA donde dos alemanes ingresaron en archivos
•
•
• •
confidenciales. El caso de un muchacho de 15 años que entrando a la computadora de la Universidad de Berkeley en California destruyó gran cantidad de archivos. El caso de un estudiante de una escuela que ingresó a una red canadiense con un procedimiento de admirable sencillez, otorgándose una identificación como un usuario de alta prioridad, y tomó el control de una embotelladora de Canadá. El caso del empleado que vendió la lista de clientes de una compañía de venta de libros, lo que causó una pérdida de USD 3 millones. El caso de estudiantes de ingeniería electrónica donde accedieron al sistema de una Universidad de Colombia y cambiaron las notas de sus compañeros generando estragos en esta Universidad y retrasando labores, lo cual dejó grandes pérdidas económicas y de tiempo.
Los virus, troyanos, spyware, malware y demás código llamado malicioso (por las funciones que realiza y no por tratarse de un código erróneo), tienen como objetivo principal el ejecutar acciones no solicitadas por el usuario, las cuales pueden ser desde el acceso a una página no deseada, el re direccionamiento de algunas páginas de internet, suplantación de identidad o incluso la destrucción o daño temporal a los registros del sistema, archivos y/o carpetas propias. El virus informático es un programa elaborado accidental o intencionadamente, que se introduce y se transmite a través cualquier medio extraíble y transportable o de la misma red en la que se encuentre un equipo infectado, causando diversos tipos de daños a los sistemas.
113
Históricamente los virus informáticos fueron descubiertos por la prensa el 12 de octubre de 1985, con una publicación del New York Times que hablaba de un virus que se distribuyó desde un BBS y aparentemente era para optimizar los sistemas IBM basados en tarjeta gráfica EGA, al ejecutarlo salía la presentación pero al mismo tiempo borraba todos los archivos del disco duro, con un mensaje al finalizar que decía “Caíste”. Este dato se considera como el nacimiento de su nombre, ya que los programas con código integrado, diseñados para hacer cosas inesperadas han existido desde que existen las propias computadoras. Las primeras referencias de virus con fines intencionales surgieron en 1983 cuando Digital Equipament Corporation (DEC) empleó una subrutina para proteger su famoso procesador de textos Decmate II, que el 1 de abril de 1983 en caso de ser copia ilegal borraba todos los archivos de su unidad de disco.
VII. Actores que amenazan la seguridad •
Un hacker es cualquier persona con amplios conocimientos en tecnología, bien puede ser informática, electrónica o comunicaciones, mantiene permanentemente actualizado y conoce a fondo todo lo relacionado con programación y sistemas complejos; es un investigador nato que se inclina ante todo por conocer lo relacionado con cadenas de datos cifrados y las posibilidades de acceder a cualquier tipo de “información segura”. Su formación y las habilidades que poseen les da una experticia mayor que les permite acceder a sistemas de información seguros, sin ser descubiertos,
114
y también les da la posibilidad de difundir sus conocimientos para que las demás personas se enteren de cómo es que realmente funciona la tecnología y conozcan las debilidades de sus propios
•
•
•
•
•
•
sistemas de información. Un cracker, es aquella persona con comportamiento compulsivo, que alardea de su capacidad para reventar sistemas electrónicos e informáticos. Un cracker, es un hábil conocedor de programación de Software y Hardware; diseña y fabrica programas de guerra y hardware para reventar software y comunicaciones como el teléfono, el correo electrónico o el control de otros computadores remotos. Un lamer, es una persona que alardea de ser pirata informático, cracker o hacker y sólo intenta utilizar programas de FÁCIL manejo realizados por auténticos hackers. Un copyhacker, es una persona dedicada a falsificar y crackear hardware, específicamente en el sector de tarjetas inteligentes. Su estrategia radica en establecer amistad con los verdaderos Hackers, para copiarles los métodos de ruptura y después venderlos los bucaneros. Los copyhackers se interesan por poseer conocimientos de tecnología, son aficionados a las revistas técnicas y a leer todo lo que hay en la red. Su principal motivación es el dinero. Un “bucanero”, es un comerciante que depende exclusivamente de la red para su actividad. Los “bucaneros” no poseen ningún tipo de formación en el área de los sistemas, pero sí poseen un amplio conocimiento en área de los negocios. Un phreaker, se caracteriza por poseer vastos conocimientos en el área de telefonía terrestre y móvil, incluso más que los propios técnicos de las compañías telefónicas; recientemente con el auge de los teléfonos móviles, han tenido que entrar también en el mundo de la informática y del procesamiento de datos. Un newbie o “novato de red”, es un individuo que sin proponérselo tropieza con una página de hacking y descubre que en ella existen
115
•
•
áreas de descarga de buenos programas de hackeo, baja todo lo que puede y empieza a trabajar con ellos. Un script kiddie o skid kiddie, es un simple usuario de Internet, sin conocimientos sobre hackeo o crackeo que, aunque aficionado a estos temas, no los conoce en profundidad limitándose a recopilar información de la red y a buscar programas que luego ejecuta, infectando en algunos casos de virus a sus propios equipos. Un tonto o descuidado, es un simple usuario de la información, con o sin conocimientos sobre hackeo o crackeo que accidentalmente borra daña o modifica la información, ya sea en un mantenimiento de rutina o supervisión.
VIII. Otros conceptos Otros conceptos relacionados son • Auditabilidad: permitir la reconstrucción, revisión y análisis de la secuencia de eventos. • Identificación: verificación de una persona o cosa; reconocimiento. • Autenticación: proporcionar una prueba de identidad; puede ser algo que se sabe, que se es, se tiene o una combinación de todas. • Autorización: lo que se permite cuando se ha otorgado acceso. • No repudio: no se puede negar un evento o una transacción. • Seguridad en capas: la defensa a profundidad que contenga la
• • • • •
inestabilidad. Control de Acceso: limitar el acceso autorizado sólo a entidades autenticadas. Métricas de Seguridad, Monitoreo: medición de actividades de seguridad. Gobierno: proporcionar control y dirección a las actividades. Estrategia: los pasos que se requieren para alcanzar un objetivo. Arquitectura: el diseño de la estructura y las relaciones de sus 116
• •
•
•
•
• • • •
•
• •
• • • •
elementos. Gerencia: vigilar las actividades para garantizar que se alcancen los objetivos. Riesgo: la explotación de una vulnerabilidad por parte de una amenaza. Exposiciones: áreas que son vulnerables a un impacto por parte de una amenaza. Vulnerabilidades: deficiencias que pueden ser explotadas por amenazas. Amenazas: cualquier acción o evento que puede ocasionar consecuencias adversas. Riesgo residual: el riesgo que permanece después de que se han implementado contra medidas y controles. Impacto: los resultados y consecuencias de que se materialice un riesgo. Criticidad: la importancia que tiene un recurso para el negocio. Sensibilidad: el nivel de impacto que tendría una divulgación no autorizada. Análisis de impacto al negocio: evaluar los resultados y las consecuencias de la inestabilidad. Controles: cualquier acción o proceso que se utiliza para mitigar el riesgo. Contra medidas: cualquier acción o proceso que reduce la vulnerabilidad. Políticas: declaración de alto nivel sobre la intención y la dirección de la gerencia. Normas: establecer los límites permisibles de acciones y procesos para cumplir con las políticas. Ataques: tipos y naturaleza de inestabilidad en la seguridad. Clasificación de datos: el proceso de determinar la sensibilidad y criticidad de la información.
117
IX. Gobierno de la Seguridad de la Información Un término a tomar en cuenta en el área de la seguridad de la información es su gobierno dentro de alguna organización empezando por determinar los riesgos que le atañen y su forma de reducir y/o mitigar impactos adversos a un nivel aceptable mediante el establecimiento de un programa amplio y conciso en seguridad de la información y el uso efectivo de recursos cuya guía principal sean los objetivos del negocio, es decir, un programa que asegure una dirección estratégica enfocada a los objetivos de una organización y la protección de su información.
Bibliografía Ángel Ángel, José de Jesús. (1999). Criptografía para principiantes IV. SeguriDATA: México D.F.
Barbero, Doménico. (1967). Sistema del derecho privado. EJEA: Buenos Aires. Borja Soriano, Manuel. (1968). Tratado General de las Obligaciones. Porrúa: México D.F.
Carrascosa López, Pozo Arranz y Rodríguez Castro. (1997). La Contratación Informática: el Nuevo Horizonte Contractual. Los Contratos electrónicos e Informáticos. Granada.
Castañeda, Jorge Eugenio. (1972). El Negocio Jurídico, en revista de Derecho y Ciencias políticas, vol. 36, núm. 1.Lima, Perú.
Colegio de Contadores Públicos de México. (2004). La firma y la factura electrónicas. FOC: México D.F.
118
Conejo Certuche, Francisco. (1982). Acto jurídico, en Diccionario Jurídico Mexicano. UNAM: México.
Davara Rodríguez. (1997). Manual de Derecho informático. Aranzadi: Pamplona. Galindo Cosme, Mónica Isela. (2004). Estudio Práctico de los medios electrónicos 2004. Ediciones Fiscales ISEF: México D.F.
León Tovar, Soyla H. (2004). Contratos mercantiles. Oxford University Press: México D.F.
Ortiz Urquidi. (1959). Hechos, Actos y Negocios Jurídicos, Ensayo en Revisión de las bases fundamentales de su teoría general, en Revista de la Facultad de Derecho. (35). UNAM: México D.F.
Ripert, Georges. (1954). Tratado elemental de derecho comercial. Tipográfica Editora: Buenos Aires.
Shippey, Karla C.J.D. (2003). Guía Práctica de Contratos Internacionales. CECSA: México D.F.
Solís García, José Julio. (2004). Comprobantes Fiscales Digitales. En Prontuario de Actualización Fiscal, núm. 353. Grupo Gasca: México D.F.
Weaver, Warren, Smith. (1984). La matemática de la comunicación. En Comunicación y cultura. Nueva Visión: Buenos Aires.
119
“Los Delitos Informáticos” García Arriaza, Morelia Maestría en Altos Estudios Estratégicos con Especialidad en Seguridad y Defensa Universidad Mariano Gálvez
120
Contenido Introducción
I. II. III.
122
Marco Referencial 123 Información sobre informática, cibernética, internet y seguridad informática. 130 Los delitos informáticos y su regulación en el Código Penal guatemalteco. 135
Conclusiones Bibliografía
140 141
121
Introducción
Mucho se habla de los beneficios de los medios de comunicación y el uso de la informática y lo que han aportado a la sociedad actual. Pero el objetivo de este trabajo es analizar la otra cara de la moneda, en otras palabras, las conductas delictivas que puede generar el gran avance tecnológico, sobre todo en el campo de la informática. En el desarrollo del presente trabajo se puede observar cómo el desarrollo de las tecnologías informáticas ofrece un aspecto negativo. Al investigar sobre el concepto del delito informático, se encuentra que no existe un consenso en cuanto al concepto de este delito y que estudios del tema lo han definido desde diferentes puntos de vista como son el criminógeno, formal, tipico y atípico, etc.; con esto se da lugar a que la denominación de esta conducta haya sufrido diferentes interpretaciones, las cuales se tratarán de explicar más adelante. Además de señalar los sujetos activos y pasivos, se considera la legislación de algunos países, haciendo énfasis en la guatemalteca, tal y como lo tipifica el código penal. A pesar que las ciencias de la informática contribuye en gran medida al desarrollo económico, sobre todo en la actualidad, la informática está marcada en materia tecnológica y vinculada a la expansión de la economía a nivel global, precisamente se puede notar cuando se habla de globalización o mundialización, con el uso de la informática, se eliminan las fronteras tanto social, cultural, académicas, económicas, entre otras. El contenido del trabajo se presenta en tres partes, en la primera parte se desarrolla un marco referencial conteniendo definiciones de delito y delitos informáticos tomando parte de la teoría general del delito. En la segunda parte se presenta información sobre informática, internet, tecnologías, etc. Y en la tercera parte se aborda el tema central del ensayo, “los delitos informáticos” haciendo énfasis como se anunció antes en el Código Penal guatemalteco.
122
I. Marco Referencial A. El delito Tomando como base al Derecho Penal, dentro del cual se encuentra la teoría general del delito, que establece las directrices generales en lo que a la configuración del delito se refiere, los aspectos tanto positivos como negativos, así como los elementos personales y características. Es muy importante entender la configuración del delito, para luego establecer la comisión del delito informático. Continuando con lo antes expuesto, se presenta una breve descripción de los antecedentes históricos.
B. Antecedentes históricos El delito es una valoración jurídica que inicia en el antiguo Oriente, en Persia, en Israel, en la Grecia legendaria y en Roma primigenia. Para mostrar como el delito se entendía como un ente antijurídico, la intención aparece en la Antigua Roma y se presenta el siguiente ejemplo: cerca del Siglo XX se encendieron hogueras en Europa para quemar a las brujas, era entonces la hechicería el delito más tremendo. La valoración jurídica de aquellos tiempos así lo consideró, y por ello, infelices mujeres, algunas de ellas enfermas de la mente, pagaron en la hoguera sus excentricidades contrarias a la valoración de la época. Lo subjetivo, es decir, la intención, aparece en los tiempos de la culta Roma, donde incluso se cuestiona la posibilidad de castigar el homicidio culpable, que hoy figura en todos los Códigos. Con el afinamiento del derecho aparece, junto al elemento antijurídico, que es multisecular, la característica de la culpabilidad. (Jiménez de Asúa, 1997; pág. 13)
123
C. Definiciones de delito El Diccionario de la Real Academia de la Lengua Española (DRAE) define delito como “un comportamiento que, ya sea por propia voluntad o por imprudencia, resulta contrario a lo establecido por la ley. El delito, por lo tanto, implica una violación de las normas vigentes, lo que hace que merezca un castigo o pena.” (DRAE, 2014) Etimológicamente, la palabra delito proviene del Latín delictum, aun cuando la técnica romana poseyera significados genuinos, dentro de una coincidente expresión calificadora de un hecho antijurídico y doloso sancionado con una pena. “En general, delito es culpa, crimen, quebrantamiento de una ley imperativa. Proceder o abstención que lleva añejo una pena. Más técnicamente, cumplimiento del presupuesto contenido en la ley penal, que el delincuente, el autor del delito o participe responsable de él, no viola, sino que observa. Situándose en una perspectiva de orden legislativo, delito es el proceder sancionado con una pena o la descripción legal a que va aneja una sanción punitiva. Allí donde hay concepto tripartito de las infracciones punibles, el delito es la intermedia, superado en gravedad por el crimen y superior a la venialidad de la falta. En los códigos penales dualistas, el delito constituye la conducta reprimida más severamente, en oposición a las faltas. Donde impera el monismo criminal, delitos son todas las figuras reprimidas, aunque en una escala muy variada de severidad. Algunos autores se sitúan más en un plano jurídico genérico que en un enfoque penal; y de ahí que sus conceptos sean más bien para lo antijurídico que para el delito. Así, el delito también es caracterizado como la violación o quebrantamiento del derecho por actos de la libre voluntad o con conciencia no sólo del acto, sino que además de que es opuesto al derecho.” (Jiménez de Asúa, 1997; pág. 130)
124
En la misma línea también existen delitos morales, estos van más allá de las leyes, siempre y cuando se conozca como delito, a cualesquiera que se constituyan en faltas como se apuntalaba a los morales. Pero sin embargo en el sentido judicial existen delitos civiles (acción que se desarrolló para dañar a un tercero) delito penal (el cual o los cuales se encuentran tipificados y castigados en el código penal). Entre otros delitos se pueden encontrar el delito doloso y el delito culposo, los cuales no se entran a explicar en este trabajo; como se anunció en los párrafos anteriores es solamente una breve descripción del término delito. En cuanto a la definición técnica jurídica, afirma Francesco Carnelutti, que el delito es el acto típico, antijurídico, culpable, sancionado por una pena o, en su reemplazo, con una medida de seguridad y conforme a las condiciones objetivas de punibilidad. Algo que debe quedar claro es que en “todo delito se da un sujeto el que quebranta la norma jurídica o incurre en la condicional punitiva que el legislador señala: el delincuente. Un objeto, el derecho violado: la seguridad nacional, la integridad física. Una víctima, sea personal, como el asesinado, o abstracta, como el Estado al revelarse un secreto de armamento a otra nación. Un fin, la perturbación del orden jurídico, piense expresamente en ello, o no, el infractor. Se caracteriza también el delito por tres requisitos de concurrencia necesaria: un hecho exterior que viola un derecho o que infrinja un deber previamente señalados; uno o varios sujetos, autores del hecho o responsables como partícipes; un vínculo moral que enlace al autor con el hecho, y del que nace la responsabilidad para ser sujeto de sus derechos y obligaciones ejerciéndolos por sí mismo en juicio y fuera de el para no violarle su derecho de defensa como en todo debido proceso.” (López García, 2011; pág. 41)
125
Concepto de Delitos Informáticos Este delito implica actividades criminales que se han tratado de encuadrar en figuras típicas de carácter tradicional, tales como robos o hurtos, fraudes, falsificaciones, perjuicios, estafas, sabotaje, etc. Sin embargo, con los daños que se han sufrido tanto en instituciones estatales como en la iniciativa privada, se ha propiciado la necesidad de regulación por parte del derecho. En México, Julio Téllez señala que “no es labor fácil dar un concepto sobre delitos informáticos, en razón de que su misma denominación alude a una situación muy especial, ya que para hablar de “delitos” en el sentido de acciones típicas, es decir tipificadas o contempladas en textos jurídicos penales, se requiere que la expresión “ delitos informáticos” esté consignada en los códigos penales.” Para Carlos Sarzana, en su obra Criminalística y tecnología, los crímenes por computadora comprenden “cualquier comportamiento criminógeno en el cual la computadora ha estado involucrada como material o como objeto de la acción criminógena” Nidia Callegari define el delito informático como “aquel que se da con la ayuda de la informática o de técnicas anexas”. Rafael Fernández Calvo define el delito informático como “la realización de una acción que, reuniendo las características que delimitan el concepto de delito, se ha llevado a cabo utilizando un elemento informático o telemático contra los derechos y libertades de los ciudadanos definidos en el título 1 de la Constitución española. María de la Luz Lima dice que el “delito electrónico” en un sentido amplio es cualquier conducta criminógena o criminal que en su realización hace uso de la tecnología electrónica ya sea como método, medio o fin y que en un sentido estricto, el delito informático, es cualquier acto ilícito penal en el que las computadoras, sus técnicas y funciones desempeñan un papel ya sea como método, medio o fin”
126
Julio Téllez Valdés conceptualiza el delito informático en forma típica y atípica, entendiendo por la primera a “las conductas típicas, antijurídicas y culpables en que se tienen a las computadoras como instrumento o fin” y por las segundas “actitudes ilícitas en que se tienen a las computadoras como instrumento o fin”. Se han formulado diferentes denominaciones para indicar “las conductas ilícitas en las que se usa la computadora, tales como “delitos informáticos”, “delitos electrónicos”, “delitos relacionados con la computadora”, “crímenes por computadora”, “delincuencia relacionada con el ordenador” entre otros. En este orden de ideas, en este trabajo se entenderán como sigue: Delitos informáticos son todas aquellas conductas ilícitas susceptibles de ser sancionadas por el derecho penal, que hacen uso indebido de cualquier medio informático. Las personas que cometen estos delitos tienen su propio perfil, considerando que tienen conocimientos especiales para ello. Perfil Criminológico de las personas que cometen delitos informáticos: son auténticos genios de la informática, entran sin permiso en ordenadores y redes ajenas, husmean, rastrean, y a veces dejan sus peculiares tarjetas de visita. Los Hackers posmodernos corsarios de la red, son la última avanzada de la delincuencia informática de este siglo. Parecen más bien una pandilla que se divierte haciendo travesuras. El hecho de poder tener acceso a los ordenadores más seguros del mundo, entrar a las redes de información de gobiernos y organismos oficiales, y simplemente echar un vistazo y salir dejando una pequeña tarjeta de visita, parece suficiente para estos corsarios posmodernos, que no roban, no matan, no destrozan, simplemente observan. En 1996, observadores informáticos accedieron 162,586 veces a las bases de datos estadunidenses, que presumen de ser las mejores protegidas del planeta.
127
Kevin Mitnik, quien con solo 16 años fue un pionero, impuso su lema “La información es pública, es de todos, y nadie tiene derecho a ocultarla” y cuando fue detenido sostuvo que no se creía un delincuente y decía “un Hacker es solo un curioso, un investigador, y aquí vuestra intención equivale a enviar a un descubridor a la hoguera, como lo hacía la inquisición”.
D. Personas que cometen delitos informáticos • Hacker: es una persona muy interesada en el funcionamiento de sistemas operativos, aquel curioso que simplemente le gusta husmear por todas partes, llegar a conocer el funcionamiento de cualquier sistema informático mejor que quiénes lo inventaron. La palabra es un término inglés que caracteriza al delincuente silencioso o tecnológico capaz de crear sus propios softwares para
•
•
•
•
entrar a los sistemas. Toma su actitud como un reto intelectual, no pretende producir daños e incluso se apoyan en un código ético. Cracker: es sinónimo de rotura y como su nombre lo indica se dedican a romper sistemas, para los grandes fabricantes de sistemas este grupo es el más rebelde de todos, ya que siempre encuentran el modo de romper una protección. Phreaker: Es el especialista en telefonía (Cracker de teléfono), posee conocimientos profundos de los sistemas de telefonía, tanto terrestres como móviles, también posee conocimientos de tarjetas prepago, buscan violar la protección de las redes públicas y corporativas. Lammers: Aquellos que aprovechan el conocimiento adquirido y publicado por los expertos. Si el sitio web que intentan vulnerar los detiene, su capacidad no les permite continuar más allá; generalmente son despreciados por los verdaderos hackers que los miran en menos por su falta de conocimientos y herramientas propias. Gurús: Son los maestros y enseñan a los futuros hackers.
128
•
•
•
•
•
Normalmente se trata de personas adultas. El gurú no está activo, pero absorbe conocimientos ya que sigue practicando para conocimientos propios y enseña las técnicas básicas, no enseña todo lo que sabe. Bucaneros: comerciantes, solo venden los productos crackeados como tarjetas de control de acceso de canales de pago. Los bucaneros no existen en la red, sólo se dedican a explotar este tipo de tarjetas para canales de pago que los hardware crackers crean. Usualmente son personas sin ningún tipo de conocimiento de electrónica ni de informática, pero sí de negocios. Newbie: Traducción literal de novato. Es alguien que empieza a partir de una WEB basada en Hacking, inicialmente es un novato, no hace nada y aprende lentamente. Trashing: Esta conducta tiene la particularidad de haber sido considerada recientemente en relación con los delitos informáticos, apunta a la obtención de información secreta o privada que se logra por la revisión no autorizada. Sujeto activo en los delitos informáticos: Las personas que cometen los “delitos informáticos” son aquellas que poseen ciertas características que no presentan el denominador común de los delincuentes, esto es, los sujetos activos tienen habilidades para el manejo de los sistemas informáticos y generalmente por su situación laboral se encuentran en lugares estratégicos donde se maneja información de carácter sensible, o bien son hábiles en el uso de los sistemas informatizados, que faciliten la comisión de este tipo de delitos. Sujeto pasivo de los delitos informáticos: sujeto pasivo o víctima del delito es el ente sobre el cual recae la conducta de acción u omisión que realiza el sujeto activo, y en el caso de los “delitos informáticos” las víctimas pueden ser individuos, instituciones crediticias, gobiernos, etcétera que usan sistemas automatizados de información, generalmente conectados a otros.
129
II. Información sobre informática, cibernética, internet y seguridad informática. Cada uno de estos conceptos está íntimamente ligado al nuevo orden internacional, en el cual ni personas, ni empresas, ni Estados pueden sobrevivir sin entrar a este mundo de la tecnología. Por lo mismo, en el desarrollo y avance de la tecnología de hoy en día, la informática y la Internet se han convertido en elementos indispensables para realizar la mayor parte de las actividades cotidianas, y por consiguiente, su conocimiento resulta beneficioso, pero al mismo tiempo constituye una vía para delinquir. Es ahí donde entran los delitos informáticos. La informática es latecnología de la información y las comunicaciones, las cuales han logrado un alto grado de desarrollo tecnológico, el cual en algunos casos se constituye en desarrollo económico, desarrollo en la educación, en la salud, etc. El mismo se encuentra en un alto porcentaje da las poblaciones, sean estas particulares, jurídicas, y estatales, en la mayoría de las actividades del ser humano “Hoy en día conocer la tecnología y utilizarla ya no constituye ningún privilegio, por el contrario, es una necesidad. El uso de la tecnología es un factor determinante en los niveles de eficiencia y competitividad. La informática es el tratamiento racional, automático y adecuado de la información, por medio del computador, para lo cual se diseña y desarrollan estructuras y aplicaciones especiales. La informática es la disciplina que estudia el tratamiento automático de la información, utilizando dispositivos electrónicos y sistemas computacionales. También es definida como el procesamiento de la información en forma automática. También se puede entender el concepto de informática como aquella disciplina encargada del estudio de métodos, procesos, técnicas, desarrollos y su utilización en ordenadores, (computadores), con el fin de almacenar, procesar y transmitir información y datos en formato digital.” (Cardona, 1996)
130
“Actualmente es difícil concebir un área que no use, de alguna forma, apoyo de la informática. Una de las utilidades más importantes de la informática es facilitar información en forma oportuna y veraz, lo cual, puede facilitar entre otras cosas, la toma de decisiones a nivel gerencial como permitir el control de procesos críticos. La informática parte de un concepto básico, que es la información, término que fue desarrollado a partir de la década de los cuarenta por el matemático norteamericano Claude Shannon para referirse a todo aquello que está presente en un mensaje o señal cuando se establece un proceso de comunicación entre un emisor y un receptor. Así, cuando dos personas hablan, intercambian información. En consecuencia, la información puede encontrarse y enviarse en muchas formas, a condición de que quien la reciba pueda interpretarla. Procesar información implica el almacenamiento, la organización y muy importante, la transmisión de la misma; para ello, en la informática intervienen varias tecnologías en términos generales, pero podemos establecer que dos son las básicas: la computación y la comunicación; es decir, en lo que hoy conocemos como informática confluyen muchas de las técnicas y de las máquinas que el hombre ha desarrollado a lo largo de la historia.” (Cardona, 1996) La cibernética: la palabra cibernética derivada del griego kibernetes, apareció por primera vez con Platón, y en el Siglo XIX con André Marie Ampere para referirse a los modos de gobierno. En el Siglo XIX, André Marie y James Maxwell retomaron el sentido político de la palabra; pero la cibernética como se conoce hoy fue formalizada por Norbert Wiener en su obra Cibernética o el Control y Comunicación en Animales y Máquinas. La cibernética es la ciencia que se ocupa de los sistemas de control y de comunicación en las personas y en las máquinas, estudiando y aprovechando todos sus aspectos y mecanismos comunes. El nacimiento de la cibernética se estableció en el año 1942, en la época de un congreso sobre la inhibición cerebral celebrado en Nueva York, del
131
cual surgió la idea de la fecundidad de un intercambio de conocimiento entre fisiólogos y técnicos en mecanismos de control. Cinco años más tarde, uno de los principales fundadores de esta ciencia, Norbert Wiener, propuso el nombre de cibernética, derivado del griego, lo cual traducido puede significar piloto, timonel o regulador. Internet: “En cuanto a sus antecedentes, en el mes de julio de 1961, Leonard Kleinrock, publicó desde el MIT el primer documento sobre la teoría de conmutación de paquetes. Kleinrock convenció a Lawrence Roberts de la factibilidad teórica de las comunicaciones vía paquetes en lugar de circuitos, lo cual resultó ser un gran avance en el camino hacia el trabajo informático en red. El otro paso fundamental fue hacer dialogar a los ordenadores entre sí. Para explorar este terreno, en 1965 Roberts conectó una computadora TX2 en Massachussets, Estados Unidos de Norteamérica, con un Q-32 en California a través de una línea telefónica. En los Estados Unidos de Norteamérica, se estaba buscando una forma de mantener las comunicaciones vitales del país en el posible caso de una guerra nuclear. Este hecho marcó profundamente su evolución, ya que aún ahora los rasgos fundamentales del proyecto se hallan presentes en lo que se conoce como Internet evolucionando de una manera sorprendente. Internet tuvo un origen militar que puede rastrearse a 1969, cuando la agencia de proyectos de investigación avanzada, del departamento de defensa de los Estados Unidos conectó cuatro sistemas de cómputos geográficamente distantes en una red que se conoció como ARPANET. Si bien, la idea original estaba intrínsecamente ligada a la seguridad militar, su evolución e implementación tuvieron lugar alrededor del mundo académico. La misma red en experimentación sirvió para conectar a los científicos desarrollándola y ayudarlos a compartir opiniones, colaborar en el trabajo y aplicarla para fines prácticos.” (Fernández R., 1997) La primera red interconectada nace el 21 de Noviembre de 1969, cuando se crea el primer enlace entre las universidades de UCLA y
132
Stanford por medio de la línea telefónica conmutada, y gracias a los trabajos y estudios anteriores de varios científicos y organizaciones desde 1959. En 1979 se realizó la primera demostración pública de ARPANET, una nueva red de comunicaciones distribuida sobre la red telefónica conmutada. Internet es un conjunto descentralizado de redes de comunicación interconectadas, que utilizan la familia de protocolos TCP/IP, garantizando que las redes físicas heterogéneas que la componen funcionen como una red lógica única, de alcance mundial. Existen por tanto, muchos otros servicios y protocolos en internet, aparte de la Web: el envío de correo electrónico -SMTP-, la transmisión de archivos -FTP y P2P-, las conversaciones en línea -IRC , la mensajería instantánea y presencia, la transmisión de contenido y comunicación multimedia telefonía -VoLP-, televisión -IPTV-, los boletines electrónicos -NNTP-, el acceso remoto a otras máquinas -SSH y Telnet-, o los juegos en línea. (Fernández R., 1997) Internet ha llegado a gran parte de los hogares y de las empresas de los países; se ha venido extendiendo el acceso a Internet en casi todas las regiones del mundo, de modo que es relativamente sencillo encontrar por lo menos dos computadoras conectadas en regiones remotas, teniendo como preferencia este medio de comunicación sobre el teléfono móvil. Desde una perspectiva cultural del conocimiento, Internet ha sido una ventaja y una responsabilidad para la gente que está interesada en otras culturas, la red de redes proporciona una cantidad significativa de información y de una interactividad que sería inasequible de otra manera. “Para el acceso a Internet se cuenta con aproximadamente 5000 redes en todo el mundo y, más de 100 protocolos distintos basados en TCP/IP, que se configuran como el protocolo de la red. Los servicios disponibles en la red mundial de PC, han avanzado mucho gracias a las nuevas tecnologías de transmisión de alta velocidad, como DSL
133
y Wireles, se ha logrado unir a las personas con videoconferencia, ver imágenes por satélite; Observar el mundo por webcams, hacer llamadas telefónicas gratuitas, o disfrutar de un juego multijugador en 3D, un libro PDF, o álbumes y películas para descargar.” (Fernández R., 1997) Software: debido a que el software es tema importante para la comisión de los delitos informáticos, es preciso establecer las generalidades al respecto. El término software fue usado por primera vez en este sentido por John W. Tukey en 1957 en las ciencias de la computación y la ingeniería. El software es toda la información procesada por los sistemas informáticos: programas y datos. El concepto de leer diferentes secuencias de instrucciones desde la memoria de un dispositivo para controlar los cálculos fue introducido por Charles Babbage como parte de su máquina diferencial. Se puede definir el software como el conjunto de los programas de cómputo, procedimientos, reglas, documentación y datos asociados que forman parte de las operaciones de un sistema de computación que utiliza una persona de índole individual o jurídica para realizar procedimientos informáticos. Seguridad informática: Son las técnicas desarrolladas para proteger los equipos informáticos individuales y conectados en una red, frente a daños accidentales o intencionados. Estos daños incluyen el mal funcionamiento del hardware, la pérdida física de datos y el acceso a bases de datos por personas no autorizadas. El acceso a información confidencial puede evitarse destruyendo la información impresa, impidiendo que otras personas puedan observar la pantalla del ordenador, manteniendo la información y los ordenadores bajo llave o retirando de las mesas los documentos sensibles. Sin embargo, impedir los delitos informáticos exige también métodos más complejos para dar una mejor seguridad a las personas individuales así como también a las personas jurídicas en sus diferentes clasificaciones.
134
III. Los delitos informáticos y su regulación en el Código Penal guatemalteco. Es tal la relevancia de la informática en la actualidad y su conexión con los diferentes ámbitos del saber y de su inserción en múltiples actividades que realiza el ser humano, que se considera necesario la realización del presente análisis, vinculado al tema del derecho informático como una de las ciencias jurídicas constituida por un conjunto de principios, doctrinas y normas jurídicas que pretendan regular el conocimiento científico y técnico que posibilita el tratamiento automático de la información por medio de las computadoras, la regulación, administración y protección de los sistemas operativo informáticos y de los ordenadores, así como de los derechos y obligaciones que los usuarios de la red deben observar en la realización de sus actos informáticos y de las correspondientes sanciones que conlleva el incumplimiento de dichas normas obteniendo el lineamiento de la conducta humana dentro de la sociedad. El derecho informático, es una materia de actual concepción, cuyas normas se caracterizan por la innovación y adaptación de los cambios tecnológicos que se van suscitando en los sistemas operativos, las reglas y los sistemas de contratación informática; ya que en un país como Guatemala, que se ve rebasado por los cambios que imponen las sociedades desarrolladas, es urgente darle tratamiento, no sólo a la sustantividad de las normas penales, sino que también a las adjetivas, y en particular en lo que respecta el problema de una incipiente regulación en el Código Penal, de las conductas antijurídicas que conforman los delitos informáticos. Dentro de la gran variedad de delitos informáticos que existen, se pueden mencionar entre los más frecuentes los siguientes: manipulación de los datos de entrada, manipulación de los programas, manipulación
135
de los datos de salida, fraude efectuado por manipulación informática, sabotaje informático, virus, gusanos, bomba cronológica, acceso no autorizado a servicios y sistemas informáticos, piratas informáticos, reproducción no autorizada de programas informáticos, infracciones al copyright, intercepción de correo electrónico, pesca de claves secretas, estafas electrónicas, estratagemas, pornografía infantil. Estos son algunos de los delitos informáticos más frecuentes que se cometen, pero a pesar que en la legislación guatemalteca algunos se encuentran regulados, es como si no lo estuvieran, las personas se encuentran completa libertad y realizan éste tipo de actividades como normales. Dentro del contexto de la regulación jurídico penal, en Guatemala existe la Ley de Delitos Informáticos, iniciativa 4055. En la actualidad, Guatemala ocupa el quinto lugar en la lista de naciones de la región con mayor propagación de códigos maliciosos destinados al robo de información bancaria, según lo revela la compañía global de soluciones de software de seguridad Eset Latinoamérica. A pesar de que en el Código penal capítulo VII de Los Delitos contra el Derecho de Autor, la Propiedad Industrial, y Delitos Informáticos. Se adiciona el artículo 274 “A”. Destrucción de registros informáticos. Será sancionado con prisión de seis meses a cuatro años y multa de dos mil a diez mil Quetzales, quien destruya, borre o de cualquier modo inutilice, altere o dañe registros informáticos. Y así, sigue mencionando las sanciones a las que se hacen acreedores las personas que cometan delitos informáticos; se adiciona el art. 274 “B”… “H” Lamentablemente en Guatemala existen muchas leyes, es uno de los países que más leyes tiene, pero lamentablemente también es uno de los países en los cuales existe menos aplicabilidad a la ley, es por ello que las personas que cometen delitos tanto informáticos como otros tantos delitos no tienen miedo. Como bien señala el Dr. Gonzales Dubón en sus clases del seminario de seguridad de la información, “mientras el costo de delinquir sea más barato que el costo a respetar
136
las leyes, se seguirá delinquiendo.” Es precisamente este actuar, el motivo fundamental del análisis jurídico, para determinar la serie de acciones que se cometen con total impunidad relacionadas con el manejo, procesamiento y transmisión de información; acciones que en otras legislaciones se denominan delitos informáticos, con penas quizá mucho más altas que las que tiene el Código Penal guatemalteco para estos delitos.
A. Delitos informáticos En este apartado se estudiará lo referente al delito informático, el estudio de los temas relacionados. Se desarrollará el tema visto desde la perspectiva de la legislación comparada, toda vez que en el ordenamiento jurídico guatemalteco, a pesar que se encuentran tipificados la diversidad de delitos informáticos que existen y donde la sociedad necesita su aplicabilidad. La evolución tecnológica ha generado un importante número de conductas nocivas que aprovechando el poder de la información, buscan lucros ilegítimos y causan daños. El derecho que por esencia se muestra resistente al cambio, no ha reaccionado adecuadamente a las nuevas circunstancias, prueba de ello es que aún no se conocen casos que hayan causado algún impacto en juicios y condenas relacionadas con estos delitos. La evolución tecnológica ha generado un importante número de conductas nocivas que, aprovechando el poder de la información, buscan lucros ilegítimos y causan daños. Esta marcha de las aplicaciones de la informática no sólo tiene un lado ventajoso sino que plantea también problemas de significativa importancia para el funcionamiento y la seguridad de los sistemas informáticos registrados en las últimas décadas. En la actualidad la informática se ha implantado en casi todos los países, tanto en la organización y administración de empresas
137
privadas y administraciones públicas como en la investigación científica, junto a las incuestionables ventajas que presenta también tiene facetas negativas, como por ejemplo, lo que se conoce como criminalidad informática. La importancia reciente de los sistemas de datos, por su gran incidencia en la marcha de las empresas, tanto públicas como privadas, los ha transformado en un objeto cuyo ataque provoca un perjuicio enorme, que va mucho más allá del valor material de los objetos destruidos. A ello se une que estos ataques son relativamente fáciles de realizar con resultados altamente satisfactorios y al mismo tiempo procuran a los autores una probabilidad bastante alta de alcanzar los objetivos sin ser descubiertos. La humanidad no está frente al peligro de la informática sino frente a la posibilidad real de que individuos o grupos sin escrúpulos, con aspiraciones de obtener el poder que la información puede conferirles, la utilicen para satisfacer sus propios intereses, a expensas de las libertades individuales y en detrimento de las personas. Asimismo, la amenaza futura será directamente proporcional a los adelantos de las tecnologías informáticas. B. Definición y características de los delitos informáticos Es cualquier comportamiento antijurídico, no ético o no autorizado, relacionado con el proceso automático de datos y/o transmisión de datos. También es considerado como toda interrupción, uso indebido, modificación, o fabricación de datos ajenos que se encuentren en sistemas de computación, sin autorización expresa o implícita de su dueño y/o de quien ostente la propiedad intelectual, con el fin de obtener un provecho económico lo cual es el interés que la mayoría busca pero no descartemos otras actitudes ilícitas en que se tienen a las computadoras como instrumentos o fin, o las conductas típicas, antijurídicas y culpables. Los delitos informáticos son el comportamiento criminal en que la computadora está involucrada como material, objeto o mero fin en sí mismo. 138
C. Delitos ligados con los sistemas informáticos: Arrollo Beltrán presenta diversos tipos de delitos que pueden ser cometidos y que se encuentran ligados directamente a acciones efectuadas contra los propios sistemas, entre los cuales se mencionan solamente uno de ellos entre otros muchos más; a)Acceso no autorizado: uso ilegítimo del password y la entrada a un sistema informático sin la autorización del propietario. b) Infracciones al copyright de bases de datos, uso no autorizado de información almacenada en una base de datos. c) Intercepción de correo electrónico: lectura de un mensaje electrónico ajeno al que nosotros hemos creado. d) Estafas electrónicas: la proliferación de las compras telemáticas permite que aumenten también los casos de estafas. Se trataría en caso de una dinámica comitiva que cumpliría todos los requisitos del delito de estafa desarrollándose electrónicamente donde la mayoría de usuarios ignoran, ya que además del engaño y el ánimo de defraudar, existiría un engaño a la persona que compra. No obstante, seguiría existiendo una laguna legal en aquellos casos en los que la operación se hace engañando al ordenador. A través de Internet está en aumento. Durante los años recientes el número de condenas por transmisión o posesión de pornografía infantil ha aumentado. El problema se agrava al aparecer nuevas tecnologías, como la criptografía, que sirve para esconder pornografía y demás material ofensivo que se transmita o archive en cualquier momento del día inclusive dentro de un establecimiento educativo.
139
Conclusiones •
•
•
•
•
•
El derecho penal, establece reglas por medio del código penal, para la sanciones, condenas etc. para las personas que cometen delitos cualesquiera que estos sean. Cuando un delito no está tipificado claramente dentro de la legislación, ésta queda sujeta a muchas interpretaciones, las cuales muchas veces aprovechan las personas que cometen ilícitos, sobre todo los delitos informáticos. En Guatemala eso se da con frecuencia. Mientras siga siendo mucho más barato la comisión de delitos que él no cometerlos, las personas por naturaleza se va por lo que le resulte más económico. La tecnología, la informática, el Internet, los sistemas de datos de computo en general se han convertido en el objetivo de los delincuentes informáticos, que tienen las cualificaciones necesarias para cometer estos delitos y por el mismo conocimiento se aseguran de que no los pueden sorprender cometiendo dichos delitos. Para las personas que cometen delitos informáticos, según los nombres que recibe cada uno de ellos, muchas veces se sienten felices y orgullosos de poder violar los sistemas de seguridad y como lo señalan algunos estudiosos del tema, incluso dejan tarjeta de visita para asegurarse que se enteren que ellos fueron quienes violaron estos controles de seguridad de la información. Como última conclusión, en países como Guatemala en el cual no existe certeza jurídica casi para nada, sobre todo para los delincuentes, certeza a que van a ser enjuiciados y castigados con penas altas, seguirán violentando las leyes, considerando que las leyes por si solas no evitan la comisión de delitos, el castigo es el que puede de alguna manera ser un disuasivo para que el delincuente piense más el cometer delitos.
140
Bibliografía Cardona, Pep. (1996). Historia de la Informática. s/datos
Carrara, Francesco. (1997). Derecho Penal. Ed. Mexicana: México D.F.
Cuello Calón, Eugenio. (1971). Derecho Penal, Parte General y Parte Especial. Ed. Bosch: Barcelona.
Fernández R. (2008). Origen YEvolución Histórica.
Iglesias, Juan. (1999). Derecho Romano. Ed. Ariel, S.A.: Barcelona.
Jiménez de Asúa, Luís. (1997). Lecciones De Derecho Penal. Ed. Mexicana: México D.F.
López García, Elmer Yovany. (2011). Inclusión de los Delitos Informáticos que se cometen en Internet, dentro del Código Penal Guatemalteco. Tesis de grado presentada en la Universidad de San Carlos de Guatemala.
Ossorio, Manuel. (1996). Diccionario de Ciencias Jurídicas Políticas y Sociales. Ed. Heliasta: Buenos Aires.
Legislación Consultada Constitución Política de la República de Guatemala. Asamblea Nacional Constituyente, 1986. Ley del Organismo Judicial. Congreso de la República de Guatemala, Decreto número 2- 89, 1989. Código Penal. Congreso de la República de Guatemala, Decreto número 17-73, 1973. Código Procesal Penal. Congreso de la República de Guatemala, Decreto número 51-92, 1992.
141
“Los Actos Jurídicos Instrumentados Digitalmente” Selvin Boanerges García Velásquez Maestría en Desarrollo, Universidad del Valle de Guatemala
142
Los Actos Jurídicos Instrumentalizados Digitalmente La Ley para el Reconocimiento de las Comunicaciones y Firmas Electrónicas que entró en vigencia, el dieciséis de septiembre del año dos mil ocho en nuestro ordenamiento jurídico Guatemalteco, plantea regular dentro del marco legal aplicable todo tipo de comunicación electrónica, transacción o acto jurídico, público o privado, nacional o internacional. Asimismo, integra la promoción del comercio electrónico en todos sus aspectos el que requiere de una legislación cuyo fundamento sea, entre otros, la facilitación del comercio electrónico en el interior y más allá de las fronteras nacionales, la validación, fomento y estímulo de las operaciones efectuadas por medio de las nuevas tecnologías de la información sobre la base de la autonomía de la voluntad y el apoyo a las nuevas prácticas comerciales, tomando en cuenta en todo momento la neutralidad tecnológica. Por lo anterior planteado es importante abordar los actos jurídicos instrumentalizados digitalmente, con el objeto de conocer la responsabilidad de los sujetos dentro del contrato, este dentro de su término legal, definiéndolo literalmente en el Código Civil Guatemalteco, cuando dos o más personas convienen en crear, modificar o extinguir una obligación. En el presente ensayo se abordará, un antecedente, la modalidad de la contratación electrónica, el reconocimiento de la comunicación electrónica, los contratos electrónicos y los contratos informáticos, así como los desafíos de la era digital. El incremento en las transacciones comerciales, la integración de países a través de tratados de libre comercio a finales del siglo veinte aunado al avance tecnológico surgido paralelamente, sin lugar a dudas, tenían que motivar cambios legislativos que dieran certeza jurídica a aquellas transacciones realizadas por medios tecnológicos no previstos
143
en los antiguos códigos de comercio, donde era únicamente a través del papel y de los registros públicos donde se dejaba constancia de las obligaciones contraídas contractualmente. Sin embargo este tipo de documentos y trámites para ser válidos en diferentes jurisdicciones requerían de procedimientos engorrosos y muchas veces tardados que implicaban e implican todavía grandes gastos asociados lo que se ve reflejado en el nivel de precios finales de los productos intercambiados y en la competitividad cuando hablamos a nivel de países. Esos cambios legislativos deben motivarse por una serie de circunstancias mercantiles sin perder de vista que los actos jurídicos son actos humanos de carácter lícito, que, através de una manifestación de voluntad, crean, regulan, modifican o extinguen relaciones jurídicas. (Betti, s.f.; pág. 332) El elemento de la manifestación de voluntad es un elemento importantísimo en los actos jurídicos, principalmente en los que se instrumentalizan digitalmente ya que en éstos no se requiere de la presencia física de los actores para su consumación efectiva, sin embargo, esta manifestación devoluntad va dirigida a la autorregulación; en las relaciones privadas va dirigida a actuar objetivamente ya que dicha autorregulación será vinculante de intereses en las relaciones con otros individuos, la manifestación de voluntad no es un querer, no es un estado de ánimo es necesariamente el establecimiento de una relación normativa. (Torrez Vásquez, 1998; pág. 49)
144
No podemos dejar pasar por alto mencionar las características y los elementos necesarios y característicos de los actos jurídicos en la doctrina del derecho civil y poder así entender la interesante evolución que necesariamente deberá existir como resultado de la integración y los cambios geopolíticos que se han sucedido, y que seguramente seguirán sucediendo, sobretodo en cuanto al avance del proceso de integración centroamericana, estos elementos son: a) Es un acto humano b) Es un acto voluntario c) Es un acto lícito d) Produce efectos jurídicos
En la doctrina jurídica se han establecido varias divisiones en cuanto a los actos jurídicos entre los que cabe mencionar los siguientes: • Actos de derecho privado y actos de derecho público. • Actos unilaterales, bilaterales y multilaterales • Actos formales y no formales • Actos positivos y negativos • Actos patrimoniales y familiares • Actos gratuitos y onerosos • Actos típicos y atípicos (si están o no regulados en la ley)
Dicho todo lo anterior, como fundamento doctrinario de los actos jurídicos toca ahora ir definiendo la parte tecnológica que identifica o caracteriza a la instrumentalización por medios digitales de los actos jurídicos. Para ello es necesario conocer la definición que la Organización Mundial de Comercio utiliza para referirse al comercio electrónico, esto conlleva entender que para la realización del comercio electrónico y de la contratación electrónica es necesaria la instrumentalización digital de estos actos jurídicos que involucran un ámbito diferente de acción,
145
ya que estos se concretarán en lo que se conoce como ciberespacio. El ciberespacio comprende todo sistema de redes computacionales, ya sean propias o públicas. En el ciberespacio se presentan los dos medios más importantes en los que el comercio electrónico se desarrolla, el primero son las comunicaciones vía intercambio electrónico de datos –EDI- (por sus siglas en inglés) y el segundo que es lo que conocemos como Internet. Algunos autores han delimitado cuales son las características del comercio electrónico y aquí observamos la importancia que se le otorga a las operaciones realizadas digitalmente. Debemos también tener claro la definición de lo que es un “contrato electrónico” y sobre todo la forma en que la legislación guatemalteca lo enmarca en sus diferentes instrumentos legales, por lo tanto cabe decir que los contratos son actos jurídicos que son celebrados por dos o más partes para modificar, regular o extinguir una relación jurídica patrimonial tal como lo preceptúa el artículo 1517 del Decreto Ley 106, Código Civil guatemalteco donde se establece que hay contrato cuando dos o más personas convienen crear, modificar o extinguir una obligación. La diferencia sustancial con los contratos electrónicos es que éstos se realizan sin la presencia física simultánea de las partes, prestando su consentimiento por medio de un equipo electrónico de tratamiento y almacenaje de datos conectados por medio de cable, radio, medio óptico o cualquier otro medio. Cuando se refiere a las partes se trata de dos o más sujetos intervinientes en la contratación y que ambas o todas las partes se pongan de acuerdo y manifiesten la voluntad de celebrar la contratación. La Ley para el Reconocimiento de las Comunicaciones y Firmas Electrónicas, Decreto 47-2008 del Congreso de la República de Guatemala en su artículo 15 expresamente manifiesta que “no se
146
negará validez o fuerza obligatoria a un contrato por la sola razón de haberse utilizado para su formación una o más comunicaciones electrónicas” y en su artículo 16 expresa el “reconocimiento de las comunicaciones electrónicas por las partes” de tal manera que “en las relaciones entre un iniciador y el destinatario de una comunicación electrónica, no se negaran los efectos jurídicos, validez o fuerza obligatoria a una manifestación de voluntad u otra declaración por la sola razón de haberse hecho en forma de comunicación electrónica. En cuanto al consentimiento en los contratos electrónicos, existen distintos instrumentos internacionales que a lo largo de su desarrollo lo han tratado pero vale la pena destacar la Convención de Viena de 1998 sobre compra venta internacional de mercaderías que establece que el contrato se perfecciona cuando llega al oferente la notificación de la aceptación. En los contratos electrónicos, la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional, en la Ley Modelo para el Comercio Electrónico y, el Derecho Comparado en general, acepta que el contrato queda perfeccionado en el momento en que la aceptación ingresa al sistema informático del oferente. No es necesario que el oferente tenga conocimiento de la aceptación, basta que ingrese en su esfera de control. Se establece además, la obligación a cargo del oferente de emitir un “acuse de recibo” de la aceptación para dar seguridad a las transacciones comerciales. Una contratación electrónica se caracteriza por la ausencia de las partes en la perfección del negocio, aunque no en términos absolutos, debido a que el tiempo transcurrido entre la oferta y la aceptación pueden llegar a ser muy reducido lo que la hace más parecida a una contratación entre presentes. Por ello se puede llegar a decir que es entre presentes pero ausentes en tiempo real.
147
Por todo lo anterior se concluye que el contrato electrónico se perfecciona en el momento que el aceptante de la oferta reciba acuse de recibo de la aceptación por parte del oferente. También es importante entender que para que la contratación electrónica sea exitosa es necesario que se fundamente en los principios básicos de la contratación electrónica que son: a) Buena fe subjetiva, que es la contención con que obran las personas o la ciencia con que lo hacen. b) Buena fe objetiva, es aquella que juzga la conducta del individuo en base a las reglas admitidas acerca de lo que es recto y honesto. La diferencia radica en que la primera es una conducta que se impone al sujeto y la segunda es fruto de una creencia. La subjetiva traduce la atribución de derechos y la objetiva por la imposición de deberes. Este principio da lugar a los siguientes deberes de los contratantes: a) Deber de información b) Deber de claridad c) Deber de secreto d) Deber de exactitud e) Deber de investigación Otro principio que debe tomarse en cuenta para la contratación electrónica es el principio de autonomía privada que es una facultad concedida por el Estado a los particulares, que les confiere a los particulares la potestad normativa de autorregularse y reglamentar sus intereses jurídicos generando una relación obligacional entre las partes contratantes.
148
Los particulares ejercen su autonomía privada a través de dos libertades o derechos: a) Libertad de contratar: es aquella que tiene el particular para decidir autónomamente si se contrata o no y con quien contrata. El Código de comercio en su artículo 681 libertad de contratación, nadie puede ser obligado a contratar si no solo cuando el rehusarse a ello constituya un acto ilícito o abuso de derecho. b) Libertad contractual o de configuración interna: es aquella por lo cual las partes fijan el contenido de su contrato pudiendo ejercerla en ambas partes o solo una de ellas, en el caso de los contratos por adhesión.
La Constitución Política de la República de Guatemala establece en su artículo 43 Libertad de Industria, Comercio y Trabajo reconoce la libertad de industria, comercio y trabajo salvo las limitaciones que por motivos sociales o de interés nacional impongan las leyes. El Decreto Ley 106, Código Civil Guatemalteco en su artículo 1256 establece que cuando la ley no declare una forma específica para un negocio jurídico, los interesados pueden usar la que juzguen conveniente y en su artículo 1522 preceptúa que la oferta contendrá las condiciones del contrato y se hará en términos precisos y concretos. Hay que tener presente que la potestad que otorga la autonomía privada, no es un poder independiente, en cuanto a que el ordenamiento jurídico regula su ejercicio estableciendo limitaciones. Ya que es el Estado el que concede esta facultad de autonomía, es él, quien mediante el intervencionismo estatal lo afecta alterando o modificando los contratos privados y ajustándolos al ordenamiento jurídico vigente.
149
Todo lo anterior nos demuestra que pese a que nuestro país es signatario de varias convenciones internacionales y miembro de la Organización Mundial de Comercio hace falta establecer y propiciar una serie de instrumentos legislativos que nos permitan abarcar temas complejos como el crimen cibernético, la policía cibernética, registro público de las firmas digitales, etcétera. Todos estos cambios se irán dando necesariamente en cuanto las necesidades crezcan y será sin lugar a dudas un ejercicio interesante y generará conocimiento sobre todo en el área de derecho informático que según investigaciones a lo interno del Organismo Legislativo no cuenta con una agenda propia que impulse los temas accesorios del comercio electrónico.
Bibliografía Betti, Emilio. (s.f.). Teoría General del Negocio Jurídico. s/datos Torrez Vásquez Aníbal. (1998). Acto Jurídico. Lima, Perú.
150
“Los Sistemas de Pago Digitales” Garnica Guerrero de Bolaños, Norma Patricia
Maestría en Derecho Mercantil Universidad de San Carlos de Guatemala Maestría en Derecho Parlamentario Universidad De San Pablo de Guatemala
151
Contenido Introducción
153
I. Protección de la Información II. Los Sistemas de Pago III. Pasarelas de Pagos IV. Principales Sistemas de Pago
154 155 156 157
152
Introducción Los sistemas de pagos digitales es un tema de actualidad que a nivel mundial ya se están utilizando con entidades internas y externas como por ejemplo en usos actuales: contratos, licitaciones; archivos de pagos, afiliaciones y facturas; autorizaciones de transferencias; documentación de proyectos; planos de arquitecturas y diseños para construcción; y varios. Al interior de la Organización: usos actuales; actualización de información de nómina; consolidados diarios de compras; ventas, pedidos y transacciones; archivos de música; noticias digitalizadas; libros electrónicos; y varios. Con entidades financieras: usos actuales como pagos de nómina, pagos a proveedores y terceros; archivos con datos personales de tarjeta habientes, bases de datos de cuentas bancarias; y varios. Entre usuarios (empleados): usos actuales como informes gerenciales, políticas comerciales, estrategias de mercadeo y de negocio; contratos; cotizaciones; entregas de proyectos; balances financieros; y varios. Archivos de gran tamaño: carga y descarga de archivos de video; diseños, imágenes y fotografías en alta resolución y/o con derechos de autor; copias de seguridad. El Seminario Derecho Informático y Seguridad de la Información del Doctorado en Seguridad Estratégica de la Universidad de San Carlos de Guatemala se fundamenta en dos fenómenos: uno es el masivo uso de las TIC (tecnologías de la información y comunicaciones), que al incrementarse de manera espectacular en los últimos años, se ha convertido en un elemento indispensable para el funcionamiento de la sociedad actual. Y el otro es el humano, la capacidad de los técnicos para dar seguridad y gestión que permite automatizar y asegurar los procesos de transferencia de archivos mediante el uso de estándares de transporte y cifrado sin alterar las aplicaciones que generan o reciben estos archivos. 153
Este ensayo tiene el tema de los pagos digitales: cómo hay soluciones efectivas a las necesidades específicas de software corporativo que requieren las compañías de diferentes sectores económicos, basándose en las últimas tecnologías de una manera simple, ágil, y financieramente accesible para los negocios. ¿Soluciones seguras? ¿De alta calidad? Para hacer los procesos más fáciles y productivos, para la reducción de costos de operación y riesgo operativo en sectores tales como: Financiero, Retail, Industria y Comercio, Gobierno y Salud.
I. Protección de la Información Comodidad versus Riesgo: ¿Qué tipo de información está en riesgo de ser comprometida? Información Confidencial. Información Financiera. Información propiedad de sus clientes. Resultados Académicos, Resultados Clínicos, Números de identificación Personal (DPI) pasaporte, seguro social, y varios. Documentos de investigación en proceso. Estrategias y planes corporativos. ¿Qué Podemos Hacer? Pregúntese a sí mismo: ¿Realmente es necesario que transporte esta información sensible? Si la respuesta es no, entonces no copie este tipo de información ya que en Guatemala y, por ende, en países con los que Guatemala interactúa pagos digitales, la Informática Jurídica no garantiza el principio de consentimiento, no hay principio de calidad, y no hay principio de finalidad. Las bases de datos no están protegidas jurídicamente. Para información financiera, lo recomendable es usar instituciones financieras supervisadas por la Superintendencia de Bancos en Guatemala. (Junta Monetaria, 2011).
154
• • • •
• •
•
Qué debemos conocer para hacer pagos digitales: Aplicación de reglas sofisticadas de seguridad bidireccionales Gestión de llaveros y llaves para ser usadas en cifrado, firma y verificación de mensajes o campos individuales. Control de acceso a los servicios expuestos por la organización bidireccional basados en filtros de seguridad (calendarios, horario, direcciones, IP y varios) Generación Automática de documentación de los servicios en Formato PDF. Políticas de seguridad semánticas avanzadas que reflejan como son utilizados los servicios que prestan dador y receptor, y toda la organización. Verificación de análisis de impacto en el momento en que las políticas de seguridad son modificadas. Integración con gestores de identidad mediante la autenticación de sistemas de confianza. Reportes detallados de las actividades de los usuarios y uso de los servicios.
ii. Los Sistemas de Pago Definición: • Un sistema de pago electrónico realiza la transferencia del dinero entre comprador y vendedor en una compra-venta electrónica. • Firma Electrónica Avanzada, son datos consignados en una comunicación electrónica, adjuntados o lógicamente asociados, que pueden ser utilizados para identificar al firmante con relación a la comunicación electrónica e indicar que el firmante aprueba la información recogida en la comunicación electrónica.
155
iii. Pasarelas de Pagos •
Para la autorización de los pagos electrónicos se necesita de un proveedor para la autorización de pagos hacia negocios electrónicos, a este proveedor se le conoce como Pasarela de pagos (en inglés “gateway de pago“).
Cómo funcionan: • En el pago con tarjeta, la pasarela de pago valida la tarjeta y organiza
•
la transferencia del dinero de la cuenta del comprador a la cuenta del vendedor. El monedero electrónico, sin embargo, almacena el dinero del comprador en un formato electrónico y lo transfiere al sistema durante el pago. El sistema de pago valida el dinero y organiza la transferencia a la cuenta del vendedor. También existe la posibilidad de que el sistema de pago transfiera el dinero electrónico al monedero electrónico del vendedor actuando, en este caso, como
•
un intermediario entre ambos monederos electrónicos. El pago a través de la banca electrónica integrado con funcionalidades de firma electrónica avanzada enlaza un número de operación o venta realizada en el comercio o tienda virtual con la cuenta bancaria del cliente en el mismo site del banco. Esto, reduce el riesgo de fraude al no transmitir información financiera personal por la red.
156
IV. Principales Sistemas de Pago E-Gold. •
•
Es un sistema de pago virtual al cual pueden acceder personas de todo el mundo (a diferencia de otros sistemas que tienen restricciones para ciertos países). Trabaja con oro puro y no con dólares ni ninguna otra moneda de manera que dependiendo del valor del oro, nuestra cuenta puede ir bajando o subiendo.
Qué se necesita para la integración: • • • • • • • • • • • • • • • • • • •
Prestador de Servicios de Certificación Certificados Digitales Dispositivos Criptográficos Infraestructura de Datos y Telecomunicaciones Desarrollo de una aplicación para la integración de los procesos de firma electrónica avanzada Descripción del proceso El usuario solicita la compra de un producto Gestiona la compra Utiliza el dispositivo criptográfico Firma electrónicamente Garantiza la integridad de la información. Garantiza la seguridad de los datos Descripción del proceso El proveedor recibe la solicitud de compra. Genera una orden de envío Utiliza el dispositivo criptográfico Firma electrónicamente Garantiza la integridad del pedido de compra. Garantiza la seguridad de los datos del comprador.
157
MoneyBookers Da la oportunidad a cualquier negocio o consumidor con una dirección de email de enviar y recibir pagos online con seguridad y coste reducido en tiempo real. Es utilizado para enviar dinero vía email desde su tarjeta de crédito o cuenta bancaria para hacer compras online o recibir pagos vía email
Hoopay Es un método de pago electrónico que permite enviar y recibir dinero de forma instantánea con gran seguridad y a través de email. Algunos de sus principales beneficios son: •
Facilidad: Todo lo que necesita para enviar un pago es la dirección de email del receptor.
• •
Rapidez: Podrá enviar dinero instantáneamente. Internacionalidad: Es un producto sin fronteras, envíe y reciba desde y hacia todas las partes del mundo.
• •
Cuenta multidivisa: Guarda dinero en multitud de divisas. Seguridad: HooPay realiza todas las transacciones de forma segura mediante encriptación de 1024 bits. Sin necesidad de introducir tarjeta de crédito cada vez que se realice una compra. HooPay procesará los pagos por usted. Bajo coste: Tienen las comisiones más bajas del mercado.
•
PayPal • Propiedad de Ebay. • Perteneciente al sector del comercio electrónico por Internet que permite la transferencia de dinero entre usuarios que tengan correo electrónico, una alternativa al tradicional método en papel como los cheques o giros postales. • PayPaltambién procesa peticiones de pago en comercio electrónico y otros servicios webs, por los que cobra un porcentaje.
158
Sube utilidades • Se enfrenta agresivamente a nuevos sistemas móviles de pago como Apple Pay. PayPal procesa uno de cada US$6 que se pagan en línea. Cobra cuotas a unos US$150 millones que usan el servicio en línea para enviar dinero a otros usuarios o pagan bienes o servicios en más de 200 mercados.
159
“Seguridad de la Información” Godoy Lemus, Rodolfo Magister Artium en Estudios Estratégicos con especialidad en Seguridad y Defensa Universidad Mariano Gálvez Magíster Scientia en Tecnología y administración de Recursos Universidad Galileo de Guatemala
160
Contenido Introducción
162
I. Consideraciones Generales II. Concepción de la Seguridad de la Información III. Principios Básicos IV. El Manejo de Riegos dentro de la Seguridad en
162 163 164
la Información 168 V. Garantías, Ordenamiento Jurídico Guatemalteco 169
161
Introducción La Seguridad de la Información tiene como fin la protección de la información y de los sistemas de la información del acceso, uso, divulgación, interrupción o destrucción no autorizada. La seguridad es un concepto asociado a la certeza, falta de riesgo o contingencia; se puede entender como seguridad, un estado de cualquier sistema o tipo de información (informático o no) que nos indica que ese sistema o información está libre de peligro, daño o riesgo. Se entiende como peligro o daño todo aquello que pueda afectar a su funcionamiento directo o a los resultados que se obtienen.
I. Consideraciones Generales La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma. El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos. Para el hombre como individuo, la seguridad de la información tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura del mismo. El campo de la seguridad de la información ha crecido y evolucionado considerablemente a partir de la Segunda Guerra Mundial, convirtiéndose en una carrera acreditada a nivel mundial.
162
Este campo ofrece muchas áreas de especialización, incluidos la auditoría de sistemas de información, planificación de la continuidad del negocio, ciencia forense digital y administración de sistemas de gestión de seguridad, entre otros
II. Concepción de la Seguridad de la Información En la seguridad de la información es importante señalar que su manejo está basado en la tecnología y debemos de saber que puede ser confidencial: la información está centralizada y puede tener un alto valor. Puede ser divulgada, mal utilizada, ser robada, borrada o saboteada. Esto afecta su disponibilidad y la pone en riesgo. La información es poder, y según las posibilidades estratégicas que ofrece tener acceso a cierta información, ésta se clasifica como: • Crítica: es indispensable para la operación de la empresa. • Valiosa: es un activo de la empresa y muy valioso. • Sensible: debe de ser conocida por las personas autorizadas • Existen dos palabras muy importantes que son riesgo y seguridad: • Riesgo: es la materialización de vulnerabilidades identificadas, asociadas con su probabilidad de ocurrencia, amenazas expuestas, así como el impacto negativo que ocasione a las operaciones de negocio. • Seguridad: es una forma de protección contra los riesgos. • La seguridad de la información comprende diversos aspectos entre ellos la disponibilidad, comunicación, identificación de problemas, análisis de riesgos, la integridad, confidencialidad, recuperación de los riesgos.
163
Precisamente la reducción o eliminación de riesgos asociado a una cierta información es el objeto de la seguridad de la información y la seguridad informática.
III. Principios Básicos La seguridad de la información tiene como objeto los sistemas el acceso, uso, divulgación, interrupción o destrucción no autorizada de información. Los términos seguridad de la información, seguridad informática y garantía de la información son usados frecuentemente como sinónimos porque todos ellos persiguen una misma finalidad al proteger la confidencialidad, integridad y disponibilidad de la información. Sin embargo, no son exactamente lo mismo existiendo algunas diferencias sutiles. Estas diferencias radican principalmente en el enfoque, las metodologías utilizadas, y las zonas de concentración. Además, la seguridad de la información involucra la implementación de estrategias que cubran los procesos en donde la información es el activo primordial. Estas estrategias deben tener como punto primordial el establecimiento de políticas, controles de seguridad, tecnologías y procedimientos para detectar amenazas que puedan explotar vulnerabilidades y que pongan en riesgo dicho activo, es decir, que ayuden a proteger y salvaguardar tanto información como los sistemas que la almacenan y administran. La seguridad de la información incumbe a gobiernos, entidades militares, instituciones financieras, los hospitales y las empresas privadas con información confidencial sobre sus empleados, clientes, productos, investigación y su situación financiera. En caso de que la información confidencial de una empresa, sus clientes, sus decisiones, su estado financiero o nueva línea de
164
productos caigan en manos de un competidor; se vuelva pública de forma no autorizada, podría ser causa de la pérdida de credibilidad de los clientes, pérdida de negocios, demandas legales o incluso la quiebra de la misma. Por más de veinte años la Seguridad de la Información ha declarado que la confidencialidad, integridad y disponibilidad (conocida como la Tríada CIA, del inglés: “Confidentiality, Integrity, Availability”) son los principios básicos de la seguridad de la información. La correcta Gestión de la Seguridad de la Información busca establecer y mantener programas, controles y políticas, que tengan como finalidad conservar la confidencialidad, integridad y disponibilidad de la información, si alguna de estas características falla no estamos ante nada seguro. Es preciso anotar además, que la seguridad no es ningún hito, es más bien un proceso continuo que hay que gestionar conociendo siempre las vulnerabilidades y las amenazas que se ciñen sobre cualquier información, teniendo siempre en cuenta las causas de riesgo y la probabilidad de que ocurran, así como el impacto que puede tener. Una vez conocidos todos estos puntos, y nunca antes, deberán tomarse las medidas de seguridad oportunas.
A. Confidencialidad La confidencialidad es la propiedad que impide la divulgación de información a personas o sistemas no autorizados. A grandes rasgos, asegura el acceso a la información únicamente a aquellas personas que cuenten con la debida autorización. Por ejemplo, una transacción de tarjeta de crédito en Internet requiere que el número de tarjeta de crédito a ser transmitida desde el comprador al comerciante y el comerciante de a una red de procesamiento de transacciones. El sistema intenta hacer valer la confidencialidad mediante el cifrado del número de la tarjeta y los
165
datos que contiene la banda magnética durante la transmisión de los mismos. Si una parte no autorizada obtiene el número de la tarjeta en modo alguno, se ha producido una violación de la confidencialidad. La pérdida de la confidencialidad de la información puede adoptar muchas formas. Cuando alguien mira por encima de su hombro, mientras usted tiene información confidencial en la pantalla, cuando se publica información privada, cuando un laptop con información sensible sobre una empresa es robado, cuando se divulga información confidencial a través del teléfono, etc. Todos estos casos pueden constituir una violación de la confidencialidad.
B. Integridad Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. (No es igual a integridad referencial en bases de datos.) A groso modo, la integridad es el mantener con exactitud la información tal cual fue generada, sin ser manipulada o alterada por personas o procesos no autorizados. La violación de integridad se presenta cuando un empleado, programa o proceso (por accidente o con mala intención) modifica o borra los datos importantes que son parte de la información, así mismo hace que su contenido permanezca inalterado a menos que sea modificado por personal autorizado, y esta modificación sea registrada, asegurando su precisión y confiabilidad. La integridad de un mensaje se obtiene adjuntándole otro conjunto de datos de comprobación de la integridad: la firma digital es uno de los pilares fundamentales de la seguridad de la información.
166
C. Disponibilidad La disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. Groso modo, la disponibilidad es el acceso a la información y a los sistemas por personas autorizadas en el momento que así lo requieran. En el caso de los sistemas informáticos utilizados para almacenar y procesar la información, los controles de seguridad utilizados para protegerlo, y los canales de comunicación protegidos que se utilizan para acceder a ella deben estar funcionando correctamente. La alta disponibilidad sistemas objetivo debe estar disponible en todo momento, evitando interrupciones del servicio debido a cortes de energía, fallos de hardware, y actualizaciones del sistema. Garantizar la disponibilidad implica también la prevención de ataque de denegación de servicio. Para poder manejar con mayor facilidad la seguridad de la información, las empresas o negocios se pueden ayudar con un sistema de gestión que permita conocer, administrar y minimizar los posibles riesgos que atenten contra la seguridad de la información del negocio. La disponibilidad además de ser importante en el proceso de seguridad de la información, es además variada en el sentido de que existen varios mecanismos para cumplir con los niveles de servicio que se requiera. Tales mecanismos se implementan en infraestructura tecnológica, servidores de correo electrónico, de bases de datos, de web etc., mediante el uso de clúster o arreglos de discos, equipos en alta disponibilidad a nivel de red, servidores espejo, replicación de datos, redes de almacenamiento (SAN), enlaces redundantes, etc. La gama de posibilidades dependerá de lo que queremos proteger y el nivel de servicio que se quiera proporcionar.
167
D. Autenticación o Autentificación Es la propiedad que permite identificar el generador de la información. Por ejemplo al recibir un mensaje de alguien, estar seguro que es de ese alguien el que lo ha mandado, y no una tercera persona haciéndose pasar por la otra (suplantación de identidad). En un sistema informático se suele conseguir este factor con el uso de cuentas de usuario y contraseñas de acceso. Esta propiedad se puede considerar como un aspecto de la integridad -si está firmado por alguien, está realmente enviado por él mismo, y así figura en la literatura anglosajona.
IV. El Manejo deriegos dentro de la Seguridad en la Información Dentro de la seguridad en la información se lleva a cabo la clasificación de las alternativas para manejar los posibles riegos que un activo o bien puede tener dentro de los procesos en una empresa. Esta clasificación lleva el nombre de manejo de riegos. El manejo de riesgos, conlleva una estructura bien definida, con un control adecuado y su manejo, habiéndolos identificado, priorizado y analizado, a través de acciones factibles y efectivas. Para ello se cuenta con las siguientes técnicas de manejo del riesgo: • Evitar: es lograr cambios significativos por mejoramiento, rediseño o eliminación, en los procesos, siendo el resultado de adecuados controles y acciones realizadas. • Reducir: cuando el riesgo no puede evitarse por tener varias dificultades de tipo operacional, la alternativa puede ser su reducción hasta el nivel más bajo posible. Esta opción es la más económica y sencilla y se consigue optimizando los procedimientos y con la implementación de controles. 168
•
•
Retener: cuando se reducen los riegos, se podría retener los riesgos residuales. Dentro de los planes del manejo de riegos de la empresa debe plantear como manejar dichos riegos si ocurrieran. Transferir: es buscar un respaldo y compartir el riego con otros controles o entidades. Esta técnica se usa ya sea para eliminar un riego de un lugar y transferirlo a otro, o para minimizar el mismo, compartiéndolo con otras entidades.
V.Garantías,OrdenamientoJurídico Guatemalteco LEY DE ACCESO A LA INFORMACIÓN PÚBLICA CONSIDERANDOS 1. Supremacía de la Ley. 2. La CPRG, establece la publicidad de los actos e información pública, así como, el acceso a sus archivos con las excepciones previstas. 3. Objetivo de la ley es auditar y fiscalizar (socialmente), a las instituciones del Estado y otra que administren recursos del mismo. 4. Que las instituciones del Estado establezcan de ser necesario excepciones al acceso de la información (confidencial y reservado), para evitar el uso discrecional y arbitrario. 5. Garantizar el Derecho Humano de acceso a la información pública, su participación en el proceso de auditoria social y fiscalización ciudadana.
169
LEY DE ACCESO A LA INFORMACIÓN PÚBLICA TÍTULO PRIMERO CAPÍTULO PRIMERO DISPOSICIONES GENERALES. Artículo 1. Objeto de la Ley. La presente ley tiene por objeto: 1. Garantizar a toda persona interesada, sin discriminación alguna, el derecho a solicitar y a tener acceso a la información pública en posesión de las autoridades y sujetos obligados por la presente ley; 2. Garantizar a toda persona individual el derecho a conocer y proteger los datos personales de lo que de ella conste en archivos estatales, así como de las actualizaciones de los mismos;
CAPÍTULO PRIMERO DISPOSICIONES GENERALES Garantizar la transparencia de la administración pública y de 1. los sujetos obligados y el derecho de toda persona a tener acceso libre a la información pública; 2. Establecer como obligatorio el principio de máxima publicidad y transparencia en la administración pública. 3. Establecer las excepciones al acceso de la información. 4. Favorecer la rendición de cuentas. 5. Garantizar que toda persona tenga acceso a los actos de la administración pública.
DECRETO 57-2008 “LEY DE ACCESO A LA INFORMACIÓN PÚBLICA” Derecho de acceso a la información pública: El derecho que tiene toda persona para tener acceso a la información generada, administrada o en poder de los sujetos obligados descritos en la presente ley, en los términos y condiciones de la misma.
170
EXCEPCIONES (ORDENAMIENTO JURÍDICO GUATEMALTECO) LEY DE ACCESO A LA INFORMACIÓN PÚBLICA CAPÍTULO QUINTO INFORMACIÓN CONFIDENCIAL Y RESERVADA. Artículo 21. Límites del derecho de acceso a la información. El acceso a la información pública será limitado de acuerdo a lo establecido en la Constitución Política de la República de Guatemala, la que por disposición expresa de una ley sea considerada confidencial, la información clasificada como reservada de conformidad con la presente ley y las que de acuerdo a tratados o convenios internacionales ratificados por el Estado de Guatemala tengan cláusula de reserva.
Artículo 22. INFORMACIÓN CONFIDENCIAL. Para los efectos de esta ley se considera información confidencial la siguiente: La expresamente definida en el artículo veinticuatro de la Constitución Política de la República de Guatemala;
(No está considerado el artículo treinta constitucional) 1. La expresamente definida como confidencial en la Ley de Bancos y Grupos Financieros; 2. La información calificada como secreto profesional; 3. La que por disposición expresa de una ley sea considerada como confidencial; 4. Los datos sensibles o personales sensibles, que solo podrán ser conocidos por el titular del derecho; 5. La información de particulares recibida por el sujeto obligado bajo garantía de confidencia.
171
Artículo 23. INFORMACIÓN RESERVADA. Para los efectos de esta ley se considera información reservada la siguiente: La información relacionada con asuntos militares clasificados como de seguridad nacional; 1. La información relacionada a asuntos diplomáticos, clasificados como de seguridad nacional; 2. La información relacionada con la propiedad intelectual, propiedad industrial, patentes o marcas en poder de las autoridades; se estará a lo dispuesto por los convenios o tratados internacionales ratificados por la República de Guatemala y demás leyes de la 3.
4. 5.
6. 7.
8.
materia; Cuando la información que se difunda pueda causar un serio perjuicio o daño a las actividades de investigación, prevención o persecución de los delitos, la relacionada a los procesos de inteligencia del Estado o a la impartición de justicia. Los expedientes judiciales en tanto no hayan causado ejecutoria, de conformidad con las leyes especiales; La información cuya difusión antes de adoptarse la medida, decisión o resolución de que se trate pueda dañar la estabilidad económica, financiera o monetaria del país, así como aquella que guarde relación con aspectos de vigilancia e inspección por parte de la Superintendencia de Bancos; La información definida como reservada en la Ley de Protección Integral de la Niñez y la Adolescencia; Los análisis proporcionados al Presidente de la República orientados a proveer la defensa y la seguridad de la nación así como la conservación del orden público. El derecho a acceder a la Información pública en que se hubiese basado el análisis podrá ejercerse ante los órganos o entidades que la tengan en su poder; La que sea determinada como reservada por efecto de otra ley.
172
LEY DE ACCESO A LA INFORMACIÓN PÚBLICA TITULO QUINTO CAPÍTULO ÚNICO RESPONSABILIDAD Y SANCIONES Artículo 67. Revelación de información confidencial o reservada. El servidor, funcionario o empleado público que revelare o facilitare la revelación de información de la que tenga conocimiento por razón del cargo y que por disposición de ley o de la Constitución Política de la República de Guatemala sea confidencial o reservada, será sancionado con prisión de cinco a ocho años e inhabilitación especial por el doble de la pena impuesta y multa de cincuenta mil a cien mil Quetzales. GARANTÍAS Y EXCEPCIONES (Ordenamiento Jurídico Guatemalteco) Ley de acceso a la información pública SEGURIDAD NACIONAL: Son todos aquellos asuntos que son parte de la política del Estado para preservar la integridad física de la nación y de su territorio a fin de proteger todos los elementos que conforman el Estado de cualquier agresión producida por grupos extranjeros o nacionales beligerantes, y aquellos que se refieren a la sobrevivencia del Estado-Nación frente a otros Estados.
173
“Transmisión de Datos entre Países” González Estrada, Dayrin Waleswska Maestría en Comunicación Educativa Universidad Panamericana
174
Contenido Introducción
176
I. Transmisión de Datos entre Países II. Fibra Óptica III. Cables Submarinos de Fibra Óptica IV. Seguridad de Transmisión de Datos En Guatemala V. Seguridad de Transmisión de Datos en la Unión Europea
176 177 179 181
Conclusiones Bibliografía
184 184
175
182
Introducción En la actualidad vivimos en un mundo donde la comunicación es indispensable, el estar intercomunicados a cualquier hora del día y desde cualquier parte del mundo, se hizo realidad a finales del siglo XIX con el telégrafo, luego el teléfono y más tarde con el internet. La tecnología avanza cada día, y el tendido de cable de cobre y de fibra óptica, no se hizo esperar, tanto por tierra y mar. Cada uno de ellos con sus características, ventajas y desventajas se complementan entre sí y cumplen con la tarea que ahora se vuelve cotidiana de enlazar y comunicar al mundo del siglo XXI. Estos sistemas de telecomunicación han tenido un impresionante desarrollo en las últimas décadas y han influido enormemente en la globalización y en el desarrollo económico de los países. La transmisión de datos, constituye en la actualidad un apoyo de vital importancia para todos los países y empresas cuyo éxito depende del buen manejo y seguridad que estos brinden. Conoceremos como la tecnología avanza, su estructura, ventajas y desventajas para la sociedad, como los logros de la intercomunicación.
i. Transmisión de Datos entre Países El principio de la codificación de señales, se dio con el uso de espejos y la luz solar, desde siglos atrás con los antiguos griegos, y así comunicarse de un modo rudimentario. Luego en el año 1792 Claude Chappe diseño la telegrafía óptica, mediante el uso de un código, torres y espejos distribuidos en la carretera en una distancia de 200 km., logrando transmitir un mensaje en 16 minutos.
176
Más tarde el sueño de la humanidad de estar intercomunicados a cualquier hora del día y desde cualquier parte del mundo, se hizo realidad a finales del siglo XIX con el descubrimiento de la corriente eléctrica y el telégrafo eléctrico. La transmisión telegráfica fue inventa por el estadounidense Samuel Morse, el cual disponía de un puntero controlado electromagnéticamente que dibuja trazos en un cinta de papel que giraba sobre un cilindro, la combinación de puntos y rayas se puede traducir en letras mediante el uso de un código que Morse termino de perfeccionar en 1838, el cual se usó mundialmente como “Clave Morse”. En el año 1844 Morse envió desde el capitolio de Washington a Baltimore el primer mensaje telegráfico del mundo, luego vino el teléfono, más tarde el tendido de cable de cobre y fibra óptica, por tierra y mar; logrando así tener intercomunicados a los cinco continentes. Con ventajas y desventajas, es hoy en día el internet la manera más rápida de poder comunicarnos con el mundo. En el mundo moderno la información de datos, se ve la exactitud y rapidez del transporte de transmisión, como también la seguridad que hoy en día nos ofrecen ciertos servicios, sin dejar atrás como la tecnología moderna, mejora en todo los campos. Así conoceremos como los países desde el más recóndito lugar nos enlaza con cualquier parte del mundo.
ii. Fibra Óptica La comunicación avanza cada día más, y cuando escuchamos hablar de la fibra óptica quedamos sorprendidos por sus alcances y beneficios que nos presta esta nueva tecnología, que no solo transmite datos, imágenes y voz, también es un conductor de energía eléctrica y bastante usada en la telecomunicación. 177
En el año 1870, el físico irlandés John Tyndall descubrió que la luz podía viajar dentro de un material (agua) curvándose por reflexión interna, se mostraron varios proyectos donde el cristal era el medio eficaz de transmisión a larga distancia. Pero fue hasta el año 1950, que el físico Narinder Sing, basándose en estudios anteriores, empezó a realizar los primeros experimentos que condujeron a la invención de la fibra óptica. La fibra óptica5, que es empleado habitualmente en redes de datos y en la telecomunicación, por la cual se envían pulsos de luz que representan los datos a transmitir, creando un rebote de la superficie externa hacia el interior y así llegar a su destino, cumple con la tarea que ahora se vuelve cotidiana de enlazarnos y comunicarnos al mundo, en el siglo XXI.
En cada filamento de fibra óptica apreciar tres componentes: • • •
La fuente de luz: Led6 o laser El medio transmisor: fibra óptica El detector de luz: fotodiodo7
Sus ventajas son la transmisión de datos a alta velocidad, mejor ancha de banda, menos interferencia, mejor calidad de audio e imagen, más seguridad en la red y menos gasto de energía eléctrica, logrando así una comunicación a tiempo real en cualquier parte del mundo y enlazándonos a la velocidad de la luz. Con menos desventajas, pero no por ello menos importantes esta instalación que es especial y con altos costo, reparaciones difíciles, caminos homogéneos. 5 Es una delgada hebra, comparada con el grosor de un cabello humano, de un material transparente de vidrio o plástico, que conduce la luz. 6 Led: es un componente optoelectrónica pasivo y, más concretamente, un diodo que emite luz. 7 Fotodiodo: es un semiconductor con una unió de pin sensible a la incidencia de la luz visible o infrarrojo. 178
En tan solo pocos años la fibra óptica ha sido una de las tecnologías más avanzadas para transmitir información, el cual ha revolucionado en las telecomunicaciones en todos los aspectos alrededor del mundo, su conectividad global en tiempo real, ha sumergido al mundo el internet, telefonía, televisión, etc. Pero lo ha logrado con sus cables submarinos de fibra óptica, enlazando a los cinco continentes por sus océanos.
iii. Cables Submarinos de Fibra Óptica Los primeros cables submarinos8 que se instalaron fueron destinados a servicio de la telecomunicación, y fue en el año 1847 por el alemán Werner von Siemens, unían el Reino Unido y Francia a través del Canal de la Mancha. Las dificultades del tendido fueron considerables, los costos eran elevados, pero ofrecían un futuro próspero, para todo el planeta y no sólo para transmitir conversaciones telefónicas, sino para transmitir ingentes cantidades de información de cualquier naturaleza. Al principio fueron creados con el fin de la telecomunicación, conforme se mejoraban los conductores de fibra óptica se utilizaron para conductores de energía eléctrica y de último fue el descubrimiento más grande en el internet, porque constaba con una ancha de banda, que ofrecía mayor información en una misma unidad de tiempo. Los cables submarinos de fibra óptica, están sumergidos en los lechos marinos de nuestros océanos a una profundidad de 1,000 mts., bajo el mar, y son capaces de transmitir un total de 20 Gbps9 , el equivalente a 250,000 llamadas telefónicas, con una capacidad de 8 Cables submarinos: son de cobre o fibra óptica, sellados de un material impermeable a servicio de las telecomunicaciones e ingentes cantidades de datos digitales. 9
Gbps velocidad a la que uno se puede comunicar, equivale a 1000 megabits/seg.
179
aumentar el 1.6 deterabits10 por segundo, hoy en día tiene una velocidad de 9.4 Terabits por segundo, logrando realizar una comunicación en tiempo real. Los cables más extensos son de 28,000 km. y es el llamado FEA que atraviesa el Reino Unido, Japón, el Mediterráneo, Mar Rojo, Océano Índico y el Mar China. Seguido por el cable submarino SEAMEWE3 de 39,000 km que atraviesa Australia, Corea del Sur, Mediterráneo, Océano Indico y el Mar China. A principios de los años 80 se decidió que el próximo cable trasatlántico utilizaría fibras ópticas, y en el año 1989 se instaló el primer cable entre Europa y Estados Unidos (TAT-8) con una capacidad de 280 megabits cada tres segundos. En la década 1990-2000, se instalaron 350,000 kilómetros de cable óptico submarino en todo el mundo atravesaban los océanos pacífico y atlántico. El tendido de un cable submarino requiere de unos barcos especiales, los buques cableros, que conforme van navegando van abriendo un surco en el lecho marino y van depositando el cable uniéndolo con nodos11, donde se distribuye la información para llevar a su destino. Hoy en día, el fondo del mar está plagado de cables de comunicación que cursan la mayor parte de las comunicaciones que se producen en todo el mundo, tanto de voz como de datos. El 90% de tráfico de internet se los debemos a ellos y el 10% es mediante satélites.
10 11
Terabits. Unidad de información, 1 terabits=10 bits. Es un punto de conexión con varios elementos que confluyen en un mismo lugar.
180
iv. Seguridad de Transmisión de Datos en Guatemala En nuestro país como en el resto de Centroamérica, Suramérica y el Caribe están muy por debajo de los países desarrollados en la banda ancha por medio de cables submarinos de fibra óptica, que hoy en día ofrece las mejores ventajas en el tema de seguridad, ya que hay menos intrusismo por la facilidad de detectar el robo y la intervención en las transmisiones de datos. En Guatemala actualmente existe un vacío legislativo, que regule los delitos cibernéticos con normas que sean estrictas para regular este delito, que hoy únicamente existe algunos artículos en el Código Penal, que son Delitos contra Derecho de autor, Propiedad Industrial y Delitos Informáticos. En la Constitución de la República encontraremos los artículos 24 y 31 (Inviolabilidad de Correspondencia, Documentos y libros; acceso a archivo y servicios estatales), no siendo suficientes para ofrecer la seguridad en la transmisión de datos entre países. En relación con la zona contigua del mar adyacente al mar territorial el cual tiene una extensión de 12 millas marinas, dicha soberanía se extiende al espacio aéreo situado sobre el mar así como al lecho, el subsuelo del mar, los cuales los encontraremos en los siguientes artículos:
•
Constitución Política: artículo 142
“De la Soberanía y el Territorio: El Estado ejerce plena soberanía sobre: a) el territorio nacional integrado por su suelo, subsuelo, aguas interiores, el mar territorial en la extensión que fija la ley y el espacio aéreo que se extiende sobre los mismos; b) la zona contigua del mar adyacente al mar territorial, para el ejercicio de determinadas
181
actividades reconocidas por el derecho internacional; c) los recursos naturales y vivos del lecho y subsuelo marinos y los existentes en las aguas adyacentes a las costas fuera del mar territorial, que constituyan la zona económica exclusiva, en la extensión que fija la ley, conforme la práctica internacional”.
•
Artículo 25 Ley General de Telecomunicaciones:
“La instalación de redes lleva implícita la facultad de usar los bienes nacionales de uso común mediante la constitución de servidumbres o cualquier otro derecho pertinente para fines de instalación de redes de telecomunicaciones, sin perjuicio del cumplimiento de las normas técnicas regulatorias, así como las ordenanzas municipales y urbanísticas que correspondan”. Hoy en día Guatemala ocupa el 18 lugar de 26 países de América Latina, no participó en el Convenio de Budapest; colocando como un país no fiable para la transmisión de datos.
v. Seguridad de Transmisión de Datos en la Unión Europea En una sociedad moderna, la banda ancha es el ingrediente clave para el crecimiento económico y social en un país, la Unión Europea ha adoptado nuevas medidas de protección contra amenazas de intrusismo, terrorismo y delincuencia organizada, delincuencia transnacional. Sus reglamentos y sanciones están comprendidos en su constitución y en Convenios, donde han participado varios países y solamente es permitida la transmisión de información a otros países, si este garantiza el nivel de protección adecuada y segura para ambas partes. Entre los convenios y acuerdos encontraremos: 182
Convenio Ciberdelincuencia: El convenio sobre la Ciberdelincuencia es un tratado internacional suscrito en Budapest firmado el 23 de noviembre 2001, por los miembros del Consejo de Europa (COE) fue redactado por 43 países, junto con los EEUU, Japón, China, Canadá)Vigor 2007/ene. Los delitos Ciberdelincuencia son dos los más importantes y están enmarcados en los artículos:
Artículo 7: “Falsificación informática: cometer de forma deliberada o ilegitima supresión de datos informáticos que dé lugar a datos no auténticos.” Artículo 8: “Fraude informático: actos deliberados e ilegítimos que causen un perjuicio patrimonial a otra persona mediante cualquier introducción, alteración, supresión de datos.
Directiva CE 95/46: Directiva CE 95/46 del Parlamento Europeo y del Consejo, firmado 24/10/1995. (Protección de las personas físicas y a la libre circulación de datos). La Unión Europea ha logrado colocarse entre los primeros países de mayor seguridad de información de datos, tanto personales, mensajería, políticos, etc. Logrando la unión de más de 43 países en sus convenios, entre los cuales están, Estados Unidos y China; con solo fin combatir el terrorismo cibernético, protegiendo a todos sus usuarios. Convirtiendo en una buena opción a adoptar, para los países de América Latina, lo cual ofrecía más trabajo, millonarias inversiones, tecnología, desarrollo en el internet.
183
Conclusiones Los acuerdos y convenios en materia de seguridad en transmisión de datos, deben establecerse entre todos los países, para brindar así un mejor servicio y así la comunicación bilateral sea fiable en todo momento. Para hacer realidad la conectividad global, es necesario que la banda ancha de fibra óptica, se expanda más en todos países, logrando mayores inversiones en el país, y brindando a sus usuarios seguridad en la transmisión de datos.
Bibliografía Asamblea Nacional Constituyente. (1985). Constitución de la Política de Guatemala. Redes de Transmisión de datos. (s/d) Lemus, Jorge. (2011). Medios de transmisión. Obtenido de: http:// Edwin jorgelemus.blogspot.com/2011/06/medios-de-transmision.html Wikipedia. (s.f.). Medios de Transmisiones. Obtenido de: http://es.wikipedia.org/ wiki/medio de transmisiones_medios.C3.B3n.html Stalling, W. (s.f.). Comunicaciones y redes de computadoras. Prentice-Hall Ley de Telecomunicaciones de Guatemala. Obtenido de: www.sit.gob.gt/index. Código del Derecho Penal de Guatemala, Capítulo VII. php/gerencia-juridica/ley_general/
Hill, Jorge. (2001). Los cables submarinos entre España e Hispanoamérica. México D.F.
184
“Modalidades de protección de datos” Guízar Ruiz, Carlos Humberto Maestría en Tecnología y Administración de Recursos, UniversidadGalileo
185
Contenido Introducción
187
I. Modalidades de protección de datos II. El modelo canadiense de protección de la Información III. La protección de la Información en la Unión Europea
188 189 192 IV. Protección de datos en el Reino Unido de Gran Bretaña 194 V. Protección de datos en el Reino de España 195 VI. Situación en la República Argentina 195 VII. Situación en la República de Guatemala 199 Conclusión Bibliografía
200 201
186
Introducción La información relativa acerca de las modalidades de protección de datos es escasa en los países en vías de desarrollo, la mayoría en estos países únicamente preceptúan la protección de datos en sus respectivos textos constitucionales, en los cuales sólo aparecen algunos tipos de protección de datos personales, situación contraria en países desarrollados en los que existen legislaciones específicas en las que determinan visiblemente los objetivos, las normas y los principios para la forma de recolectar, utilizar, divulgar y proteger la información personal, además cuentan con instituciones del Estado y autoridades designadas para éstas Instituciones con el objeto de velar por la protección de los datos personales, realidad que proporciona seguridad a las personas. A continuación, se presentarán modalidades de protección de datos de algunos países desarrollados del conteniente Americano y del continente Europeo, con legislación en esta materia en la cual se garantiza la protección de datos a las personas de sus respectivos países, asimismo la situación de la República de Argentina, nacionalidad de la escritora del libro “Comercio electrónico y derecho” Andrea Viviana Sarra, y de la situación en la República de Guatemala que solamente tiene algunos preceptos constitucionales relativos la protección de datos personales.
187
I. Modalidades de protección de datos Los países desarrollados de América del Norte y la Unión Europea han estudiado las modalidades de protección de datos, para la revisión del marco jurídico actual con la meta de ajustarse a la economía global basada esencialmente en la creación, procesamiento e intercambio de información con la aplicación de las nuevas tecnologías relativas a la protección de los datos personales. Su objetivo es modernizar la legislación para adaptarla a la globalización y al uso de las nuevas tecnologías sin perjuicio de los derechos de los particulares, de este tema existen los conceptos siguientes: • •
a) Concepto de la protección de los datos personales La protección de datos personales se ubica dentro del campo de estudio del Derecho Informático, se trata de la garantía o la facultad de control de la propia información frente a su tratamiento automatizado o no, no sólo a aquella información albergada en sistemas computacionales, sino en cualquier soporte que permita su utilización: almacenamiento, organización y acceso. En algunos países la protección de datos encuentra reconocimiento constitucional, como derecho humano y en otros simplemente legales.
• •
b) Concepto de Protección de Datos de la Unión Europea Es un derecho fundamental de las personas físicas, que busca proteger su intimidad y su privacidad frente a las vulneraciones de tales derechos que puedan proceder de la recogida y almacenamiento de sus datos personales por empresas o entidades. Ordenamiento Jurídico debe reconocer para las personas una serie de derechos en relación con sus datos personales que las empresas deben respetar, e impone una serie de obligaciones formales y sustantivas que dichas empresas deben cumplir.
188
II. El modelo canadiensede protección de la Información Este modelo es muy interesante en virtud de que Canadá se encuentra en el proceso de adaptar su legislación a la economía global con aplicación de las nuevas tecnologías, la Asociación de Estándares Canadienses ha desarrollado el denominado Código Modelo para la Protección de la Información Personal, también llamado Estándar Nacional de Canadá. El objetivo de la enunciación de estos estándares es que mediante su implementación las instituciones puedan probar que han protegido la información personal de un modo razonable y consecuentemente aceptado. Además, de este modo pueden equilibrar apropiadamente su necesidad de información personal y el deseo de los individuos de mantener un cierto anonimato. De todas maneras, la adopción de las pautas propuestas por estos estándares es de carácter voluntario.En la norma canadiense se aborda la temática de la protección de la información desde dos ángulos diferentes: • Se regula la forma en que las Instituciones deberían recolectar, utilizar, divulgar y proteger la información personal. • Se establecen disposiciones respecto del derecho de los individuos a obtener acceso a la información que les concierne y en su caso, a corregir los datos erróneos. Los objetivos principales del estándar pueden resumirse en cuatro puntos fundamentales, a saber: a) Provisión de principios para gerenciamiento de la información personal. b) Especificación de los requerimientos mínimos para la adecuada protección de la información personal que poseen las instituciones. c) Difusión al público del modo en que la información personal debe ser protegida.
189
d) Provisión de estándares mediante los cuales la comunidad internacional pueda mesurar la protección brindada a la información personal.
Asimismo, el modelo canadiense contiene una serie de diez principios que constituyen su espíritu: a) Responsabilidad: Cada institución es responsable por la información personal que tiene bajo su control. b)Identificación de propósitos: La institución debe, previamente a su recolección, especificar la finalidad para la cual busaca la obtención de la información. c) Consentimiento: Las instituciones requieren el consentimiento de los individuos para la recolección, utilización y divulgación de la información. d) Límite a la recolección: La recolección de la información debe limitarse sólo a aquella necesaria para fines para los cuales se requiere. e)Límites a la utilización, divulgación y retención: La información personal no puede ser utilizada ni divulgada con fines distintos para los cuales fue recolectada. f) Exactitud: La información debe ser exacta, completa y actualizada para los fines para los cuales se utiliza. g) Salvaguardas: La información personal debe ser protegida por medios de seguridad suficientes, de acuerdo con el carácter de la información. h) Transparencia: Las instituciones deben facilitar toda la información relativa a sus políticas y prácticas de gerenciamiento de la información personal. i) Acceso: Mediante requerimiento, los interesados deben ser informados de la existencia, utilización y divulgación de la información personal que les concierne.
190
j) Exigencia de adecuación a los principios: Los interesados tienen derecho de exigir que la institución que utilice sus datos personales se adecue a éstos principios.
El requerimiento básico del modelo es que las instituciones que se adhieren a él deberán adoptar todos los principios mencionados como un todo. Asimismo, y en orden a hacer efectivos estos principios, las instituciones determinarán políticas y prácticas que incluyan:
• • •
•
La implementación de procedimientos para la protección de la información personal. El establecimiento de procedimientos adecuados para recibir y canalizar las quejas e inquietudes. La comunicación al personal de las políticas y prácticas de la institución con relación al tratamiento de la información personal, así como el entrenamiento respectivo. El diseño de folletería explicativa respecto de las políticas y procedimiento de la institución.
Otra de las especificaciones del código modelo canadiense, es el modo en que los interesados deberían dar su consentimiento en los casos en que fuera necesario. Alguno de los ejemplos mencionados en la norma son los siguientes: a) Inclusión de la firma del interesado al pie de formularios con información relativa al uso que se dará a la información, con el objeto de que el interesado preste su consentimiento tanto respecto de la recolección en sí misma como de los fines específicos. b) Dar el consentimiento verbalmente, cuando la información es recolectada.
191
Los métodos de protección personal previstos en el estándar canadiense se clasifican de la siguiente manera: a) Métodos físicos: Algunos de estos métodos de la protección de información son las cerraduras con llaves suficientemente seguras para los gabinetes de archivos o el acceso restringido a las oficinas. b) Métodos de organización: Entre los métodos que hacen a la organización para una efectiva protección de la información se encuentran los inventarios de seguridad o la restricción de acceso a determinadas personas. c) Métodos tecnológicos: De estos métodos pueden mencionarse la utilización de técnicas de encriptación y de claves personales de acceso (passwords)
III. La protección de la Información en la Unión Europea La Comisión Europea ha estudiado las modalidades del marco jurídico actual relativo a la protección de los datos personales en sus países miembros. Su objetivo es modernizar la legislación para adaptarla a la globalización y al uso de las nuevas tecnologías sin perjuicio de los derechos de los particulares. La protección de la información en los países que integran la Unión Europea se inició con la emisión de la directiva CE 95/46 del Parlamento y el Consejo Europeo de fecha 24 de Octubre de 1995 en la cual se dispone los lineamentos genéricos a los cales deben ajustarse los países de la Unión Europea, respecto de la protección
192
y libre movimiento de los datos personales. Establece también que cada país debe disponer, como mínimo, de una autoridad de control sobre la protección de la información y prescribe que dicha autoridad gozará del derecho de acceso a los datos para poder efectivizar el control; esta autoridad deberá poseer facultades de investigación y de obtención de la información necesaria para llevar adelante su misión, además deberá poder ejercer el control previo, con la emisión de dictámenes para asegurar una adecuada protección de los datos u ordenar su bloqueo, supresión o destrucción. En virtud de que la comunidad de la Unión Europea en la actualidad, es una región sin fronteras geográficas que han debido armonizar sus distintas legislaciones con el objeto de lograr un adecuado funcionamiento comunitario, sin resignar sus soberanías. Por esta razón se considera relevante el modo en que la Unión Europea, como bloque de naciones, encara el tratamiento del fenómeno tecnológico, puesto que lo hace desde una perspectiva global. Indudablemente, en el caso de esta comunidad la posibilidad del abordaje de la problemática de protección de datos y de la emisión de recomendaciones generales, se debe a que al constituir una comunidad organizada de carácter regional, existen determinados factores inherentes a la condición de comunidad organizada, que facilita y posibilita según sea el caso la aceptación de las recomendaciones vertidas. Puesto que la directiva CE95/46 ha emplazado a los países miembros de la Unión Europea a adecuar sus legislaciones a las recomendaciones vertidas en ella, mencionaremos, las previsiones relativas al control de protección de datos en las legislaciones del Reino Unido de Gran Bretaña y el reino de España.
193
IV. Protección de datos en el Reino Unido de Gran Bretaña En el Reino Unido de Gran Bretaña en Julio de 1998, se promulgó una ley relativa al tratamiento de datos personales que se ajusta a las recomendaciones y pautas delineadas por el Parlamento y Consejo europeos. Esta legislación deroga en su totalidad la ley anterior sobre protección de datos de 1984, se establecen nuevas previsiones para la regulación del procesamiento de la información relativa a los individuos y se incluyen, por supuesto, disposiciones relativas a la obtención, mantenimiento, utilización y divulgación. Asimismo, prevé que en caso de que el responsable del tratamiento de los datos, como consecuencia de una contravención a las disposiciones de la ley, haya ocasionado algún daño, la persona damnificada tiene derecho a una compensación por él, por parte del responsable del tratamiento de los datos. Según esta ley, la autoridad de aplicación para la protección de datos es la figura del Data Protection Commissioner, que no es considerado así como sus dependientes agente de la corona Británica, se mantiene en su cargo por un lapso no mayor de 5 años y solo puede ser removido a petición del monarca y en cumplimiento a una resolución adoptada por ambas cámaras del Parlamento Británico. Sus funciones son, principalmente, velar por la observancia de los principios y garantías de la ley de protección de datos, fundamentalmente mediante el control de las actividades de las personas físicas o jurídicas que procesan datos personales y tienen a su cargo la dirección del registro de responsables de procesamiento datos. Algunas otras facultades y obligaciones son las de divulgar públicamente los derechos que por ley le asisten a los interesados; atender quejas y consultas sobre la materia; elaborar códigos o normativas de buena práctica en el procesamiento de datos, a los que deben ajustarse los responsables de su tratamiento; evaluar los procedimientos utilizados en el tratamiento de datos; presentar un informe anual a cada una de las cámaras del parlamento respecto del ejercicio de sus funciones; entre otras. 194
V.
Protección de datos en el Reino de España
En el Reino de España se promulgó la ley orgánica 5/92 de regulación del tratamiento automatizado de datos de carácter personal, en la cual se prevé la creación de la Agencia de Protección de Datos bajo la figura de ente de derecho público con personalidad jurídica propia, que actúa con plena independencia de la administración pública. El director de la Agencia es electo por 4 años, de entre los miembros de un consejo consultivo compuesto por un diputado, un senador, un representante de la Administración centralizada designado por el gobierno, un representante de la Federación Española de Municipios y Provincias, un miembro de la Real Academia de Historia, un experto propuesto por el Consejo Superior de Universidades, un representante de usuarios y consumidores, un representante de las comunidades autónomas, y un representante de ficheros privados. Las funciones de la Agencia de Protección de Datos: a) Velar por el cumplimiento de la ley y controlar su aplicación. b) Proporcionar información a las personas acerca de sus derechos. c) Ordenar la cesación del procesamiento de datos personales cuando la actividad no se ajuste a derecho. d) Elaborar un informe anual de la actividad y remitirla al ministerio de justicia.
VI. Situación en la República Argentina En la República Argentina no existe legislación sobre protección de la información personal, pero si existe en el ordenamiento jurídico una serie de normas que, articuladas entre sí, otorgan cierta protección al respecto. Esta protección jurídica no es específica para la protección
195
de datos personales, sino que rige, en forma genérica el secreto y las zonas de reserva y el derecho a expresar libremente las ideas. Muchas de estas normas son de rango constitucional y entre ellas encontramos el artículo 19 de la Constitución nacional, que prescribe: “las acciones privadas de los hombres que de ningún modo ofendan al orden y a la moral pública, ni perjudiquen a un tercero, están solo reservados a Dios, y exentas de la autoridad de los magistrados”, y el artículo 18 que refuerza esta idea al disponer que “el domicilio es inviolable, como también la correspondencia epistolar y los papeles privados”. El artículo de ese mismo cuerpo legal establece que “todos los habitantes de la Nación gozan de los siguientes derechos con forme a las leyes que reglamenten su ejercicio; a saber de publicar sus ideas por la prensa sin censura previa; de profesar libremente su culto”, y el artículo 20 hace extensivo este último derecho a nacionales y extranjeros por igual. Por su parte el artículo 32 de la ley suprema prescribe: “El Congreso Federal no dictará leyes que restrinjan la libertad de imprenta”. A partir de la reforma constitucional de 1994, según el artículo 43 párrafo 1: “Toda persona puede interponer acción expedita y rápida de amparo, siempre que no exista otro medio judicial más idóneo, contra todo acto u omisión de autoridades públicas o de particulares, que en forma actual o inminente lesión, restrinja, altere o amenace, con arbitrariedad o ilegalidad manifiesta, derechos y garantías reconocidos por esta Constitución, un tratado o una ley. En el caso el juez podrá declarar la inconstitucionalidad de norma en que se funde el acto u omisión lesiva”. Y el párrafo 3 de este mismo artículo expresa: “Toda persona podrá interponer esta acción para tomar conocimiento de los datos a ella referidos y de su finalidad, que consten en registros o bancos de datos públicos, o los privados destinados a proveer informes y en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización de aquéllos. No podrá afectarse el secreto de las fuentes de información periodística”.
196
El precepto constitucional ha incorporado el Hábeas Data a dicho ordenamiento jurídico; ello constituye un intento de otorgar protección al individuo frente a la vulneración de sus libertades y garantías fundamentales, como consecuencia de la utilización indebida de sus datos personales. En realidad, esta medida no es suficiente, pues se requiere su reglamentación por medio de una legislación específica, como sucede a escala internacional. En la República de Argentina se ha buscado lograr un adecuado balance entre los derechos a la libertad de expresión y a la privacidad. En la Constitución argentina, además de estar contemplados ambos derechos por igual en los artículos 14, 18, 19, 20, 32, 43, en este último el criterio de armonizar mediante el otorgamiento al interesado, en caso de falsedad de los datos o discriminación, el derecho a exigir la rectificación, confidencialidad o actualización de la información, y en el refuerzo del deber de secreto profesional al disponer que “no podrá afectarse el secreto de las fuentes de información periodística”. El Código Civil argentino, tras la reforma introducida mediante la ley 21.173, en el artículo 1071 bis. se prescribe: “El que arbitrariamente se entrometiere en la vida ajena publicando retratos, difundiendo correspondencia, mortificando a otro en sus costumbres o sentimientos, o perturbando de cualquier modo su intimidad, y el hecho no fuere un delito penal, será obligado a cesar en tales actividades, si antes no hubiera cesado, y a pagar una indemnización que fijará equitativamente el juez, de acuerdo con las circunstancias; además, podrá éste, a pedido del agraviado ordenar la publicación de la sentencia en un diario o periódico del lugar, si esta medida fuese procedente para una adecuada reparación”. El Código Penal argentino, en los artículos del 150 al 157 y el 161, contiene previsiones en uno y otro sentido, mediante la penalización de la violación del domicilio y la violación de secretos, como la prevención del delito contra la libertad de prensa.
197
La Argentina es signataria de numerosos acuerdos internacionales en donde están previstos ambos derechos. En este sentido, es conveniente recordar que la forma de 1994 modificó el artículo 75 de la Constitución nacional, en donde se enumeran las atribuciones del Congreso de la Nación. El inciso 22 de la citada norma establece: “Los tratados y concordatos tienen jerarquía superior a las leyes. La Declaración Americana de los Derechos y Deberes del Hombre; la Declaración Universal de Derechos Humanos; la Convención Americana sobre Derechos Humanos; el Pacto Internacional de Derechos Económicos, Sociales y Culturales; el Pacto Internacional de Derechos Civiles y Políticos y su Protocolo Facultativo; la Convención sobre la Prevención y la Sanción del Delito de Genocidio; la Convención Internacional sobre la Eliminación de todas las Formas de Discriminación Racial; la Convención sobre la Eliminación de todas las Formas de Discriminación contra la Mujer; la Convención contra la Tortura y otros Tratos o Penas Crueles, Inhumanos o Degradantes; la Convención sobre los Derechos del Niño; en las condiciones de su vigencia, tienen jerarquía constitucional, no do derogan artículo alguno de la Primera Parte de esta Constitución y deben entenderse complementarios de los derechos y garantías por ella reconocidos”. Entre los derechos y garantías amparados por esos acuerdos internacionales encontramos, por ejemplo, el derecho a la vida privada y a la protección de la reputación; tal el caso de artículo 11 inciso 2, de la Convención Americana sobre Derechos Humanos, el artículo 12 de la Declaración Universal de los Derechos Humanos, y al artículo V de la Declaración Americana de los Derechos y Deberes del Hombre.
198
VII. Situación en la República de Guatemala En la República de Guatemala no existe ley específica de protección de datos, solamente está vigente la Ley de Acceso a la Información, la cual en su artículo 9 define a los datos personales de la manera siguiente: son los relativos a cualquier información concerniente a personas naturales identificadas e identificables. Alguna protección jurídica no específica para los datos personales, se preceptúa en forma genérica en la Constitución Política de la República de Guatemala, asítenemos que se regula en el artículo 24 que textualmente dice: “Inviolabilidad de correspondencia, documentos y libros. La correspondencia de toda persona, sus documentos y libros son inviolables. Sólo podrán revisarse o incautarse, en virtud de resolución firme dictada por juez competente y con las formalidades legales. Se garantiza el secreto de la correspondencia y de las comunicaciones telefónicas, radiofónicas, cablegráficas y otros productos de la tecnología moderna. Los libros, documentos y archivos que se relacionan con el pago de impuestos, tasas, arbitrios y contribuciones, podrán ser revisados por la autoridad competente de conformidad con la ley. Es punible revelar el monto de los impuestos pagados, utilidades, pérdidas, costos y cualquier otro dato referente a las contabilidades revisadas a personas individuales o jurídicas, con excepción de los balances generales, cuya publicación ordene la ley. Los documentos o informaciones obtenidas con violación de este artículo no producen fe ni hacen prueba en juicio”. Así también en el artículo 31 que literalmente dice: “Acceso a archivos y registros estatales. Toda persona tiene el derecho de conocer lo que de ella conste en archivos, fichas o cualquier otra forma de registros estatales, y la finalidad a que se dedica esta información, así como a corrección,
199
rectificación y actualización. Quedan prohibidos los registros y archivos de filiación política, excepto los propios de las autoridades electorales y de los partidos políticos.
Conclusión Las modalidades de protección de datos en los países desarrollados en los continentes americano y europeo, han avanzado para adaptarse a la globalización y al uso de las nuevas tecnologías sin perjuicio de los derechos de los particulares, adaptando el marco jurídico que los rige en lo relativo a la protección de los datos personales, sin restringir a las personas el acceso a los cambios tecnológicos del comercio electrónico e intercambio de información personal en medios electrónicos, de tal manera que los individuos están bien protegidos a la hora de recolectar, utilizar, divulgar y la información personal. En los países en vías de desarrollo de estos continentes, no existe una ley específica de protección de la información, únicamente la protección a la información de las personas que en algunos países se preceptúa en sus respectivas Constituciones Nacionales.
200
Bibliografía. Sarra, Andrea Viviana. (s.f.). Comercio electrónico y derecho. Argentina
Abramson, Nils, (1974). Teoría de la información y codificación. Paraninfo: Madrid.
Asamblea Nacional Constituyente. (1985). Constitución Política de la República de Guatemala.
Mowlana, Hamid. (1985). Global information and world communication: new frontiers in international relations. Longman: New York.
Mowlana, Hamid. (1985). International flow of information: a global report and analysis. Longman: New York.
Preneel, B., Govaerts, R., Vandewale, J. (1993). Information authentication: hash functions and digital signatures.
Preneel, B., Govaerts, R., Vandewale, J. (1993). Computer Security and Industrial
Cryptography: State of the Art and Evolution, “Lecture Notes in Computer Science”. Springler –Verlag.
Purser, Michael. (1993). Secure data networking. Artech House: Cambridge, Massachusetts.
Rustin, Randall. (1972). Data base system. Englewood Cliffs, Prentice Hall.
Zeleznikov, Jhon – Hunter, Dan. (1994). Building intelligent legal information system. Representation and reasoning in law. Kluwer Law & Taxation Publishers: Boston.
201
“La Protección Jurídica de la Información Personal en Guatemala” Lesvia Antonieta Hernández Maestría En Política y Comunicación Universidad Panamericana
202
Contenido I. La Protección Jurídica de la Información Personal en Guatemala II. La información personal y su protección III. Protección jurídica de la información IV. Situación de la protección jurídica en Guatemala V. Principios básicos para la regulación de datos VI. Consideraciones finales
203
204 205 212 213 215 216
I. La Protección Jurídica de la Información Personal en Guatemala Desde siempre la preocupación sobre el uso de la información o de los datos personales, ha existido, aunque en los últimos años, con los avances tecnológicos de las comunicaciones, las vulnerabilidades en el manejo de los datos personales se han incrementado, sin embargo, esto puede no ser advertido en su totalidad por la mayoría de personas. En la actualidad con el uso de las redes de información, el poder que otorgamos a desconocidos nos pone, como individuos, en situaciones de alta vulnerabilidad cuyas consecuencias en la mayoría de los casos pasan inadvertidos. Cuando hacemos uso de las redes y descargamos aplicaciones para nuestro computador o nuestro teléfono, otorgamos el derecho a que se utilicen nuestros datos personales. Para poder descargar una aplicación para el teléfono o una red social, le solicitan al usuario dar permiso para acceder a información del dispositivo e historial de las aplicaciones, su identidad, sus contactos, su calendario, su ubicación, sus mensajes, archivos de fotos y videos, a su cámara y micrófono, información de conexión Wi Fi, ID de dispositivo y datos de llamada. Ofrecer esta información deja al usuario altamente desprotegido en relación al uso que se le dará a esa información. De las cuestiones que pueden mencionarse son: 1. Es una condición sin opción: es decir, si el usuario no ofrece esa información no puede hacer uso de la aplicación. En el caso de alguien que opte por proteger su información, se traduciría en un ser totalmente apartado en un mundo globalizado. En ese sentido, ¿no debería estar regulado de alguna forma el hecho que no se puede invadir la privacidad de esta forma?
204
Algunas personas consideran que al dar permiso a la información personal se pierde por completo el derecho a la privacidad, sin embargo, aquí la cuestión de fondo y que debe ser objeto de análisis es la forma de la solicitud de la información.
Como una segunda cuestión, debe señalarse que no existe una identificación de quién está pidiendo la información y en tercera instancia, no existe una claridad en relación al uso que se le dará a la información. Así como tampoco, en ese ámbito de incertidumbre, existe un compromiso por parte de quien solicita el acceso a la información sobre los usos que se le dará a ésta. En ese sentido, la obtención de la información se produce en un ámbito impreciso y el usuario está en franca desventaja. Podría decirse que la obtención de información se realiza bajo un mecanismo de coacción, y por tanto al no existir otra opción para el usuario, su entrega no es un acto voluntario en sí. Debe señalarse en este punto que uno de los criterios que a nivel internacional se siguen en la elaboración de leyes de protección de datos personales, es precisamente el normar que la obtención de la información se registre en un marco de total claridad, tanto en la línea de los usos que se le dará a los datos obtenidos, como del tiempo de archivo de éstos y, de la información pertinente y las razones por las que se pide esa información.
II.
La información personal y su protección
Aun cuando se habla de proteger la información, la idea inicial que viene a la mente es sobre los usos antiguos que los gobiernos le daban a los datos personales y las formas de obtención de esa información.
205
Puede decirse entonces que la primera idea que se genera al hablar sobre el uso de la información, está referida a la sustracción indebida o a la obtención por métodos indebidos de esa información. En un primer momento, es importante entrar a determinar qué es lo que se entiende por información personal. Según la Ley de Acceso a la Información Pública, define como “Datos personales: Los relativos a cualquier información concerniente a personas naturales identificadas o identificables” y como “Datos sensibles o datos personales sensibles: Aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o actividad, tales como los hábitos personales, de origen racial, el origen étnico, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos, preferencia o vida sexual, situación moral y familiar u otras cuestiones íntimas de similar naturaleza”. En la tesis La Regulación del Derecho a la Intimidad en el Derecho Constitucional Guatemalteco, (González Rivera, 2007) indica que “la hiperinflación informativa tiene como consecuencia la amenaza real a la intimidad. Ya que los nuevos medios de información y comunicación van a permitir y están permitiendo un fácil, rápido y abundante acceso a la información de todo género, serán igualmente la causa potencial para una intromisión, no deseable en la intimidad individual; es necesario preguntar si estamos en camino de pasar a convertirnos en ciudadanos transparentes, a modo de escaparates de uno de los aspectos más apreciados de nuestra personalidad. Continúa, “En la actual sociedad post-industrial de la información por todas partes se pide transparencia absoluta, información sin límites, abolición de lo oculto. En nombre de la libertad para la transparencia, toda intimidad queda visualizada, el poder, en una sociedad así se cifra en el control del conocimiento y de la información. La transparencia es el principio según el cual nuestra intimidad nuestro secreto, salta hecho
206
pedazos hacia la periferia. Informar, es: en esencia un desvelamiento, un sacar a la luz lo oculto, con la colaboración del afectado o sin ella”. (González Rivera, 2007) Según el diccionario de la Real Academia Española la intimidad es la “zona espiritual y reservada de una persona”, por lo tanto es una necesidad básica del individuo y como tal, el Derecho debe reconocerla y protegerla. La privacidad es reconocida como un derecho fundamental. Es el derecho que se otorga de preservar y sobre todo de proteger de intromisiones y divulgaciones inconsultas o con fines desconocidos de la información que hace referencia a sus creencias religiosas, filosóficas, ideológicas, preferencias sexuales, cuestiones financieras, de salud o uso de imagen. En el marco del derecho internacional, los primeros reconocimientos a la privacidad de las personas se encuentran supeditados a la amenaza que en ese momento representaba la intromisión de los gobiernos, ello derivado la ausencia de respeto a las garantías y a los derechos fundamentales y por las constantes violaciones a estos derechos. La Declaración Americana de los Derechos y Deberes del Hombre, Aprobada en la Novena Conferencia Internacional Americana Bogotá, Colombia, 1948 Artículo V. dice: “Toda persona tiene derecho a la protección de la Ley contra los ataques abusivos a su honra, a su reputación y a su vida privada y familiar”. En el Convenio para la Protección de los Derechos Humanos y de las Libertades Fundamentales, aprobado en Roma en 1950, en su artículo 8, estipula: 1. Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de su correspondencia.; 2. No podrá haber injerencia de la autoridad pública en el ejercicio de este derecho sino en tanto en cuanto esta injerencia esté prevista por la ley y constituya una medida que, en una sociedad democrática, sea necesaria para la
207
seguridad nacional, la seguridad pública, el bienestar económico del país, la defensa del orden y la prevención de las infracciones penales, la protección de la salud o de la moral, o la protección de los derechos y las libertades de los demás. Hasta este momento se observan dos cuestiones fundamentales en la protección jurídica del derecho a la privacidad: 1. La creencia sobre la existencia de una amenaza real por parte del Estado, específicamente de los gobiernos y, 2. Se observa la constante en relación a la invasión o intromisión al ámbito privado. Esta realidad, se modifica levemente en otros convenios internacionales en los que aunque se sigue considerando únicamente la idea de la intromisión y el ataque a la privacidad, ya no se señala directamente la posibilidad que el único responsable de esos ataques sean los Estados.
El artículo 12 de la Declaración Universal de Derechos Humanos de las Naciones Unidas dice: “Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia ni de ataques a su honra o su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques”. El artículo 17 del Pacto Internacional de Derechos Civiles y Políticos adoptado en 1966 por la Asamblea General de Naciones Unidas dice: “Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio, su correspondencia, ni de ataques ilegales a su honra y reputación”.
208
El artículo 11 de la Convención Americana sobre Derechos Humanos de 1969, dice: 1. “Toda persona tiene derecho al respeto de su honor y al reconocimiento de su dignidad”. 2. “Nadie puede ser objeto de injerencias arbitrarias o abusivas en su vida privada, en la de su familia, en su domicilio o en su correspondencia, ni de ataques ilegales a su honra o reputación”.
En tanto, ya con las modificaciones que trajo para el mundo el inicio de la sociedad post-industrial de la información, empieza a normarse en esta línea. El artículo 1o del Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal del Consejo de Europa, presentado a ratificación el 27 de enero de 1984, dice: “El fin del presente convenio es garantizar, en el territorio de cada Parte, a cualquier persona física sean cuales fueren su nacionalidad o su residencia, el respeto de sus derechos y libertades fundamentales, concretamente su derecho a la vida privada, con respecto al tratamiento automatizado de los datos de carácter personal.” A partir del reconocimiento, específicamente en Europa, de los peligros y riesgos que consigo trae el desarrollo de esta sociedad pos industrial de la información, empieza a considerarse como un derecho que debe ser reconocido en el marco legal nacional. De esa cuenta, Holanda en el artículo 10 de su Constitución dispone la obligación de legislar para la protección de “la esfera de vida personal en relación con la acumulación y suministro de datos personales” y sobre “la responsabilidad de las personas con ocasión del examen de los datos por ellas almacenados y del uso y aprovechamiento que hicieren de tales datos”.
209
En tanto, en la Constitución española en el artículo 18, garantiza el derecho a la intimidad personal y a la propia imagen, garantiza el secreto de las comunicaciones y estipula que la ley limitará el uso de la informática para garantizar el honor, la intimidad personal y familiar. Otro de los países que se une a esta iniciativa es Portugal, en donde se reconoce el derecho de mantener para sí mismo la reserva de la intimidad de su vida familiar. Uno de los puntos importante que se legisla sobre este tema es que se prohíbe el acceso a archivos con datos personales, a interconexiones y a flujos de información transnacionales, salvo casos excepcionales. Las regulaciones en este sentido reconocen una nueva amenaza, la comercialización de la información y la obtención por personas o empresas particulares, ya no por los gobiernos, de información que pertenece al ámbito privado de los individuos.
A nivel latinoamericano también empiezan a registrarse algunos esfuerzos en esta materia. En Uruguay existe la Ley N° 18.3312 (aprobada el 11 de agosto de 2008) sobre Protección de Datos Personales y Acción de Habeas Data. Fue creada también la Unidad Reguladora y de Control de Datos Personales (URCDP). Uruguay ha sido reconocido como país adecuado en materia de datos personales por la Unión Europea, y también ha sido el primer país en América Latina en ser invitado a adherir al Convenio 108 del Consejo de Europa. En Argentina, se cuenta con la Ley de Protección de Datos Personales bajo la cual fue creada la Dirección Nacional de Protección de Datos Personales -DNPDP- como órgano de control de los datos personales.
210
En Perú, se aprobó en 2011 la Ley 29733, Ley de Protección de Datos Personales. Dicha normativa establece que el Ministerio de Justicia y Derechos Humanos, a través de la Dirección General de Protección de Datos Personales, es la Autoridad Nacional de Protección de Datos Personales. En México, se aprobó en 2010 la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. En su artículo 15 establece en relación a la obtención de datos: “El responsable tendrá la obligación de informar a los titulares de los datos, la información que se recaba de ellos y con qué fines, a través del aviso de privacidad”. Y en su artículo 16 regula: “El aviso de privacidad deberá contener, al menos, la siguiente información: I. La identidad y domicilio del responsable que los recaba; II. Las finalidades del tratamiento de datos; III. Las opciones y medios que el responsable ofrezca a los titulares para limitar el uso o divulgación de los datos; IV. Los medios para ejercer los derechos de acceso, rectificación, cancelación u oposición, de conformidad con lo dispuesto en esta Ley; V. En su caso, las transferencias de datos que se efectúen, y VI. El procedimiento y medio por el cual el responsable comunicará a los titulares de cambios al aviso de privacidad, de conformidad con lo previsto en esta Ley. En el caso de datos personales sensibles, el aviso de privacidad deberá señalar expresamente que se trata de este tipo de datos”. De los países de Centroamérica, en Nicaragua se aprobó en 2012 la Ley 787 de Protección de los Datos personales, que sigue los lineamientos del modelo europeo de protección de datos. De los aspectos que se aborda en la normativa se encuentran: 1. Que la obtención de información se haga a través de medios lícitos, 2. Que para la transferencia y cesión de datos, el individuo debe ser
211
notificado sobre la finalidad de la cesión y el cesionario debe ser plenamente identificado; 3. Se prohíbe la cesión o transferencia de datos si los niveles de seguridad y protección no son garantizados; 4. Que al transferir o ceder datos, estos no sean trasladados a terceras personas. La normativa establece también la creación de la Dirección de Protección de Datos Personales.
III. Protección jurídica de la información Hablar de protección jurídica nos refiere al principio de la seguridad que el Estado debe otorgar en relación a la certeza de derecho, la cual, según Guilherme Leite Goncalves (2006, pág. 283), está íntimamente vinculada con la capacidad del Derecho de generar la seguridad para que el individuo se oriente en su actuar futuro. Esta certeza, según Leite, además de posibilitar la previsión sobre los propios actos, también posibilita la previsión sobre los actos del otro. En ese sentido, hablar de la protección jurídica de la información personal, nos remite a la capacidad instalada que debe tener todo Estado en cuanto a garantizar y generar a sus ciudadanos seguridad en cuanto al uso de su información. En ese sentido, debe observarse también, quién o quiénes son los que pueden utilizar esa información y a qué tipo de información nos referimos. Así, se hace necesario que las regulaciones de los Estados y también las regulaciones y los marcos y convenios internacionales, avancen en el sentido de garantizar a los individuos seguridad en la protección de la información de acuerdo a los nuevos desafíos que el desarrollo de las sociedades actuales presenta. La regulación que en principio protegía la intimidad o la inviolabilidad desde el enfoque del peligro de la intromisión o la obtención de forma
212
ilegal de la información por parte de los gobiernos con fines de control y persecución, principalmente con fines ideológicos, se modifique y consideren, como lo están haciendo ya en algunos países, la divulgación y utilización de información que sólo debe ser utilizada y difundida por la propia persona. De alguna forma el desafío actual se ubica en la protección del individuo a que su esfera privada se mantenga de esa forma y que su vida no sea expuesta de tal forma que preste a la manipulación y exposición poco ética.
IV. Situación de la protección jurídica en Guatemala En Guatemala no se encuentra reconocido y normado el derecho a la privacidad como tal. En la Constitución Política de la República, en su artículo 24, se reconoce el derecho a la inviolabilidad de correspondencia, documentos y libros en el cual se garantiza el secreto a la correspondencia, telecomunicaciones privadas, libros, comunicaciones telefónicas, radiofónicas, cablegráficas y otros productos de la tecnología moderna. En abril del 2014, la Comisión Presidencial de Derechos Humanos – COPREDEH-, a solicitud del requerimiento de información de la Oficina del Alto Comisionado para los Derechos Humanos sobre la protección y promoción del derecho a la privacidad en el contexto de vigilancia doméstica y extraterritorial y/o la intercepción de comunicaciones digitales, así como la recolección de datos personales, según Resolución 68/167, titulada “El Derecho a la privacidad en la era digital” aprobada el 18 de diciembre del 2013, por la Asamblea General de las Naciones Unidas, presenta un informe en el cual, sobre la consulta de: ¿Qué
213
medidas se han tomado a nivel nacional con el fin de asegurar que se respete y proteja el derecho a la privacidad, incluso en el contexto de las comunicaciones digitales? En el informe se responde que la Constitución garantiza el derecho a la inviolabilidad (Art. 24) y que también en este texto se establece el derecho a la dignidad humana. En cuanto a la protección de los datos personales en los tiempos actuales, el informe refiere que en el Código Penal en el artículo 274 se encuentra regulado: la violación de correspondencia y papeles privados; sustracción, desvío o protección de correspondencia; Intercepción o protección de comunicaciones; publicidad indebida; revelación de secreto profesional y registros prohibidos. Sobre la distribución de los datos personales, el informe refiere que en la Ley de Libre Acceso a la Información Pública, se establece la protección de estos derechos. Esta regulación está contenida en el Capítulo Sexto. Habeas Data; sin embargo, se refiere al cuidado y obtención de datos personales por parte del Estado, por lo que la regulación de la obtención, protección y almacenamiento de datos por parte de empresas privadas, no está regulada en el país. Existen dos esfuerzos en la línea de normar lo que se denomina “delitos informáticos”, cuyo precedente se encuentra ya normado en el Código Penal artículo 274. Acá se trata de proteger la propiedad de la información a través de la alteración y robo. En relación a la protección de la información personal, se presentó la Iniciativa de Ley de Protección de datos personales número 4090, en el 2009, sin embargo a la fecha este proyecto no ha prosperado.
214
V.
Principios básicos para la regulación de datos
La regulación de datos personales, surge por el desarrollo de las nuevas sociedades y la dependencia de los individuos, en base a ello, a mantenerse comunicados. Sus principios se remontan y de hecho, es donde se ha registrado el mayor avance, a la comunidad europea. De esa cuenta en el Convenio No. 108, del Consejo de Europa, del 28 de enero de 1981, para la Protección de las Personas con respecto al Tratamiento automatizado de datos de carácter personal, en su artículo 5. Se encuentran los principios que deben regir las regulaciones en esta materia. Los datos de carácter personal que sean objeto de un tratamiento automatizado: a) se obtendrán y tratarán leal y legítimamente; b) se registrarán para finalidades determinadas y legítimas, y no se utilizarán de una forma incompatible con dichas finalidades; c) serán adecuados, pertinentes y no excesivos en relación con las finalidades para las cuales se hayan registrado; d) serán exactos y si fuera necesario puestos al día; e) se conservarán bajo una forma que permita la identificación de las personas concernidas durante un período de tiempo que no exceda del necesario para las finalidades para las cuales se hayan registrado. Aunque en estos lineamientos no se observa una regulación en torno a la cesión de datos y transferencia a terceros, en las normativas aprobadas posteriormente, ya se observan regulaciones al respecto.
215
VI. Consideraciones finales Si bien la acción de los gobiernos continúa siendo una amenaza para la privacidad y la información personal, con la evolución de las sociedades, los ámbitos de riesgo se han modificado y ello ha provocado que, bajo el marco de la obligación que los Estados tienen de brindar seguridad a sus ciudadanos, se hayan modificado o ampliado las regulaciones en esta materia. En el país si bien está reconocido el derecho a la inviolabilidad, este se refiere a la no intromisión u obtención por medios ilegales, específicamente a la obtención de datos a través de medios violentos. Así también, se encuentran tipificados como delitos algunos hechos relacionados con el robo de información, sin embargo, la legislación en el país aún no avanza en el sentido de la protección al individuo en cuanto a los usos que se hacen de la información que se obtiene bajo su consentimiento, pero sin la debida regulación de los usos y fines para los que fue obtenida. En cuanto a la tipificación de delitos por la forma de obtención de la información, debe reconocerse que aunque está normado que el uso ilegal, entiéndase que no haya sido autorizada por juez competente, de escuchas telefónicas, constituye un delito, en el país se continúan registrando casos de este tipo. Uno de los más recientes involucra a una diputada al Congreso por el partido oficial. En este caso se pueden, de manera inicial identificar dos ilícitos: la obtención ilegal y la publicidad indebida, ambos contemplados en el código penal guatemalteco, sin embargo, la divulgación del hecho no generó una persecución de oficio o por lo menos, una orden de no divulgación a la medios de comunicación que se vieron involucrados.
216
Tanto el Gobierno guatemalteco como el Congreso de la República, y en un nivel subsiguiente los partidos políticos y los líderes sociales, tienen como materia pendiente avanzar en la regulación de la protección jurídica de la información de datos personales. Sobretodo, en lo relacionado de ofrecer certeza a los ciudadanos en relación a dos situaciones: 1. No debe existir obligatoriedad a cambio de servicio ninguno de otorgar uso ilimitado de toda la información almacenada en los aparatos electrónicos de uso personal y 2. El ciudadano guatemalteco debe ser protegido en cuanto a la cesión y transferencia de datos. En este aspecto es importante también señalar que los sectores más vulnerables son el de juventud y niñez, en ese sentido, la urgencia de normar sobre este tema, debe generar reacción de diversos sectores y para ello, también debe propiciarse la discusión y la apropiación de la problemática como tal, ya que a la fecha, el reconocimiento general que existe es el de la protección de robos, ataques e intromisiones.
A manera de reflexión, desde el ámbito personal, todo aquel que esté expuesto al uso de las nuevas comunicaciones, debe tratar de interiorizar en relación a los usos que los interesados, a través de la obtención de información por brindar acceso a aplicaciones informáticas, hacen de las fotos, datos de contactos, datos de ubicación, vídeos, cámaras y micrófonos instalados en los dispositivos móviles, entre otros y por lo tanto, a los riesgos a los que él, sus familiares y amigos podrían estar expuestos, si este uso de los datos personales continúa sin controles debidos.
217
“Habeas Data” Mena, Alfredo Bladimir
Maestría en Políticas Públicas Universidad Rafael Landívar, Maestría en Alta Gerencia Universidad Autónoma de Santo Domingo, República Dominicana
218
Contenido Introducción
220
I. Desarrollo del tema II. Habeas Data en Guatemala
221 225
Conclusiones Bibliografía
228 229
219
Introducción En la medida que los avances científicos y tecnológicos se asientan con mayor firmeza en nuestra sociedad, son mucho más complejas las implicaciones que día con día se vislumbran en el panorama político, social, económico y sin dejar atrás las manifestaciones jurídicas que irreversiblemente tiende a cambiar su antigua estructura fundada en los albores de su historia, para darle paso a lo que hoy se conoce con mayor resonancia como, “revolución Informática” cuya manifestación tiene injerencia en todas las actividades hasta hoy desarrolladas por el hombre; es por eso que en la medida que vamos buscando tener un mejor aprovechamiento de los usos casi insólitos que nos provee la tecnología, y que nos brinda aparte de un sin fin de comodidades, una anhelada sensación de seguridad, que resulta en una mayor concesión de nuestras libertades, tales como la privacidad y la intimidad que en buena medida ceden ante un mejor y mayor manejo del control social. “El derecho a la intimidad protege la parte más íntima de una persona, esto es la esfera personal que define que es y que no es privado. Dicho en otras palabras hablar de intimidad es hablar de sentimientos, de creencias políticas o religiosas o de preferencias sexuales, cuya difusión puede producir ciertas reservas al individuo. Se trata en definitiva de aquellos datos que bajo ninguna circunstancia proporcionaría un individuo de manera libre y consciente.” (Filosofía del Derecho, s.f., pág. 314) El hábeas data nace con el objeto de preservar derechos que, como consecuencia de constantes avances tecnológicos, están siendo violados a través de mecanismos que hasta la época del nacimiento de ésta nueva institución no podían ser garantizados.
220
I. Desarrollo del tema El derecho a la protección de datos y sus garantías, entre ellas el habeas data, nace como consecuencia del sostenido avance de las tecnologías y particularmente de la informática. Estas nuevas formas tecnológicas llevaron a que los antiguos archivos manuales y mecánicos sean condenados a una especie en extinción, especialmente por las crecientes ventajas de las sofisticadas bases de datos, capaces de realizar en cuestión de segundos y sin esfuerzo importante, entrecruzamiento, procesamiento e impresión de datos a gran magnitud. Estos avances, como es obvio generan importantes beneficios para toda la humanidad en diversos aspectos, pero también generan lesiones y daños a los derechos de las personas, especialmente en el campo al derecho a la intimidad. Hábeas data significa conserva o guarda tus datos, El hábeas data es un mecanismo que se aplica como garantía constitucional del derecho a la información, intimidad y protección de los datos personales. Se aplica para controlar, corregir o eliminar los datos. El hábeas data además garantiza la protección de la información personal una vez ingresada a los archivos y bancos de datos. Cada individuo puede acceder a su información sobre sí mismo o sus bienes para modificarlos o velar por su adecuada utilización. El Estado debe conocer lo mínimo necesario sobre quienes lo conforman, por ello los datos sensibles, es decir íntimos, no pueden recopilarse así como: afiliación política, creencia religiosa, militancia gremial etc. con el objeto de que la persona esté garantizada de no sufrir discriminación o abusos. El hábeas data es una garantía novedosa dentro del sistema jurídico, tanto a nivel internacional como interno; el mismo nace como imperativo frente a los problemas que se generan como consecuencia
221
de los constantes avances tecnológicos. El hábeas data persigue una serie de finalidades, las cuales serán individualizadas una vez determinados los objetivos buscados por el solicitante.
Entre las finalidades inmediatas de la acción se hallan: A. Acceder a datos personales y patrimoniales. Este derecho se ejerce en aquellas situaciones en que los bancos de datos o archivos se niegan a proporcionar a las personas interesadas los datos que tienen derechos a conocer. B. Conocer la finalidad o uso que se haga de los datos. En caso que se proporcionen los datos, pero no se quiera dar información acerca de la utilización de los mismos. C. Buscar la supresión, rectificación, confidencialidad o actualización de los datos. Si los datos obrantes en los archivos o registros fueran falsos, erróneos o antiguos se podrá solicitar la supresión, rectificación o actualización de los mismos, según fuera el caso. Ahora, si ellos versaran sobre datos sensibles que requieran ser mantenidos en secreto o fuera del alcance de personas ajenas, se pedirá que se mantenga la confidencialidad de los mismos. En lo que respecta a las finalidades mediatas, se pueden señalar: A. Protección integral de los datos personales. En términos generales, la acción de hábeas data busca el resguardo de todos aquellos datos que se encuentren almacenados en los bancos o archivos, sin distinción alguna; algunas veces, de los llamados datos sensibles, ya que versan sobre información vinculada a la esfera más íntima de la persona, y por ende capaz de producir perjuicios muy difíciles de reparar.
222
B. Contención de excesos del Poder Informático. Los constantes avances de tecnológicos que se van dando con el transcurso del tiempo, han dado a luz al llamado Poder Informático, como lo califica Néstor P. Sagües, dicho poder presenta serias dificultades de control y limitación, por lo que el hábeas data busca de alguna manera, aunque en lo más mínimo, contener los excesos o desviaciones.
El hábeas data tutela, primordialmente, el derecho a la intimidad; esa zona más reservada y enigmática de toda persona o grupo, que en muchas ocasiones, a lo largo de la historia, fue invadida y castigada arbitrariamente. La intimidad constituye el talón de Aquiles de toda persona, punto que si se llega a atacar puede llevar a la destrucción personal y familiar. Tradicionalmente, el almacenamiento de datos se realizaba de manera manual o a través de medios de fácil control. Hoy, con los constantes avances tecnológicos y el advenimiento del procesamiento electrónico de datos, su vigilancia y limitación se tornan más difíciles. Los datos se van adquiriendo, almacenando, transfiriendo o modificando de manera continua en fracción de segundos, e incluso pueden llegar a traspasar las fronteras, sin que su titular tenga conocimiento de ello. Los datos, pueden llegar a crear el perfil de la persona, de manera tal que las entidades que las posean pueden alcanzar el íntegro conocimiento lo más secreto de una vida personal o familiar. Los datos personales evidencian aspectos o circunstancias personales que podrían ser gravemente amedrentados, pues los mismos no permanecen en secreto sino que, en la mayoría de los casos, son difundidos públicamente. Por otra parte, se debe tener en cuenta, que esta actividad podría generar consecuencias indirectas, capaces de afectar otros ámbitos de la vida personal, como ser el patrimonial, social, etc. 223
El derecho a la intimidad tiene relación con el ejercicio de otros derechos y libertades del ciudadano en un Estado de Derecho. Es por ello, que si se dejará sin control alguno, se estaría permitiendo la violación de otros derechos conexos con él, y de ésta manera se estaría dejando totalmente desprovisto de protección al individuo, tornándose caótica vida social. Entonces, se podría decir, que el hábeas data tutela un amplio marco de bienes jurídicos, que van desde el derecho a la intimidad, incluyendo el honor personal y familiar, el derecho a la propia imagen, concluyendo con la identidad informática.
Constituciones que Reconocen este Derecho • • • • • • • • • • • • • •
Argentina Bolivia Brasil Colombia Ecuador España Guatemala Panamá México Paraguay Perú República Dominicana Uruguay Venezuela
224
II.
Habeas Data en Guatemala
Hábeas data está reconocido en la Ley de Acceso a la Información Pública. (Decreto número 57-2008, del Congreso de la República)
CAPÍTULO SEXTO HABEAS DATA Artículo 30. Hábeas data. Los sujetos obligados serán responsables de los datos personales y, en relación con éstos, deberán: 1. Adoptar los procedimientos adecuados para recibir y responder las solicitudes de acceso y corrección de datos que sean presentados por los titulares de los mismos o sus representantes legales, así como capacitar a los servidores públicos y dar a conocer información sobre sus políticas en relación con la protección de tales datos; 2. Administrar datos personales sólo cuando éstos sean adecuados, pertinentes y no excesivos, en relación con los propósitos para los cuales se hayan obtenido; 3. Poner a disposición de la persona individual, a partir del momento en el cual se recaben datos personales, el documento en el que se establezcan los propósitos para su tratamiento; 4. Procurar que los datos personales sean exactos y actualizados; 5. Adoptar las medidas necesarias que garanticen la seguridad, y en su caso confidencia o reserva de los datos personales y eviten su alteración, pérdida, transmisión y acceso no autorizado. Los sujetos activos no podrán usar la información obtenida para fines comerciales, salvo autorización expresa del titular de la información.
225
Artículo 31. Consentimiento expreso. Los sujetos obligados no podrán difundir, distribuir o comercializar los datos personales contenidos en los sistemas de información desarrollados en el ejercicio de sus funciones, salvo que hubiere mediado el consentimiento expreso por escrito de los individuos a que hiciere referencia la información. El Estado vigilará que en caso de que se otorgue el consentimiento expreso, no se incurra en ningún momento en vicio de la voluntad en perjuicio del gobernado, explicándole claramente las consecuencias de sus actos. Queda expresamente prohibida la comercialización por cualquier medio de datos sensibles o datos personales sensibles. Artículo 32. Excepción del consentimiento. No se requerirá el consentimiento del titular de la información para proporcionar los datos personales en los siguientes casos: 1. Los necesarios por razones estadísticas, científicas o de interés general previstas en ley, previo procedimiento por el cual no puedan asociarse los datos personales con el individuo a quien se refieran; 2. Cuando se transmitan entre sujetos obligados o entre dependencias y entidades del Estado, siempre y cuando los datos se utilicen para el ejercicio de facultades propias de los mismos; 3. Cuando exista una orden judicial; 4. Los establecidos en esta ley; 5. Los contenidos en los registros públicos; 6. En los demás casos que establezcan las leyes. En ningún caso se podrán crear bancos de datos o archivos con datos sensibles o datos personales sensibles, salvo que sean utilizados para el servicio y atención propia de la institución.
226
Artículo 33. Acceso a los datos personales. Sin perjuicio de lo que dispongan otras leyes, sólo los titulares de la información o sus representantes legales podrán solicitarla, previa acreditación, que se les proporcione los datos personales que estén contenidos en sus archivos o sistema de información. Ésta Información debe ser entregada por el sujeto obligado, dentro de los diez días hábiles siguientes contados a partir de la presentación de la solicitud, en formato comprensible para el solicitante, o bien de la misma forma debe comunicarle por escrito que el sistema de datos personales no contiene los referidos al solicitante. Artículo 34. Tratamiento de los datos personales. Los titulares o sus representantes legales podrán solicitar, previa acreditación, que modifiquen sus datos personales contenidos en cualquier sistema de información. Con tal propósito, el interesado debe entregar una solicitud de modificaciones, en la que señale el sistema de datos personales, indique las modificaciones que desea realizar y aporte la documentación que motive su petición. El sujeto obligado debe entregar al solicitante, en un plazo no mayor de treinta días hábiles desde la presentación de la solicitud, una resolución que haga constar las modificaciones o bien, le informe de manera fundamentada, las razones por las cuales no procedieron las mismas. Artículo 35. Denegación expresa. Contra la negativa de entregar o corregir datos personales, procederá la interposición del recurso de revisión previsto en esta ley.
227
Conclusiones Cualquier constitución que acoja la ley de Habeas Data, les garantiza a sus ciudadanos el derecho de conocer la información que se tenga sobre ellos mismos, tanto positiva como negativa. Es un derecho necesario que pretende evitar los abusos y darle una oportunidad a los titulares de la información, a defenderse en caso de verse injustamente afectados por registros negativos. En informática, un dato es un conjunto ordenado de ceros y unos combinados. Por lo tanto, un texto puede, fácilmente, ser manipulado mediante operaciones matemáticas, circunstancia que obliga a su encriptación y reitera la importancia de su regulación para proteger el derecho de intimidad. A pesar que el habeas data es constitucional, parece, a primera vista, muy claro y sencillo, pero la realidad es que existe desconocimiento del mismo. Esa situación parece ser lógica, ya que se trata de una garantía nueva y por ende, esa misma situación, la torna como una especie de enigma que merece ser dilucidada. Nuestra Constitución no contiene ningún artículo que mencione dicho derecho, si está especificado en la Ley de Información Pública específicamente en el Capítulo V, artículos del 30 al 35, y esto se puede tornar insuficiente, ya que no concibió circunstancias que son fundamentales para que tramitación de la acción se torne aplicable. El análisis normativo ofrece su aporte para conocer detalladamente como se regula el hábeas data en el ámbito nacional y extranjero. Por otra parte, es interesante conocer la génesis y el desarrollo de la acción, para así poder percibir los problemas que se avizoran y, de cierto modo, tratar de preverlos creando mecanismos capaces de hacerlo.
228
Bibliografía Raúl Chanamé Orbe. (2003). Tesis “Habeas Data y el Derecho Fundamental a la Intimidad de la Persona”. Lima, Perú.
Flores, Rubén. (2004). El Hábeas Data en Uruguay y Argentina. Dapkevicius: Montevideo.
Sorin, Sergio. (2000). El habeas data en argentina “invasión a la privacidad”. Bs.As., Argentina.
Gozaini, Osvaldo Alfredo. (2001). La Defensa de la Intimidad y de los Datos Personales a través del Hábeas Data. Editorial Ediar: Argentina.
Camargo, Pedro Pablo. (2009). El Hábeas Data Derecho a la Intimidad. Editorial Leyer: Bogotá.
Zuñiga Urbina, Francisco. (1997). Derecho a la intimidad y Hábeas data (Del recurso de protección al Hábeas Data). En Revista de la Facultad de Derecho de la Pontificia Universidad Católica del Perú. (51).
Montaya Díaz, Andrés. (2009). Marco Jurisprudencial y Legal del Hábeas Data en Colombia. Tesis presentada en la Universidad de Antioquia.
Cifuentes Muñoz, Eduardo. (1997). El Hábeas Data en Colombia. En Revista de la Facultad de Derecho de la Pontificia Universidad Católica del Perú. (51).
229
“La Constitución Política y la Protección de la Información” Quilo Jáuregui, Jorge Melvin Maestría en Criminología Universidad San Carlos de Guatemala
230
Contenido I. Constitución II. Funciones III. Antecedentes IV. Protección a la información
232 233 233 238
Bibliografía
240
231
I. Constitución La Constitución se conceptualiza como la ley fundamental de un Estado que define el régimen básico de los derechos y libertades de la ciudadanía y los poderes e instituciones de la organización política. También se entiende como el conjunto de reglas fundamentales que organizan la sociedad política, garantizando la libertad y estableciendo la autoridad. En Guatemala la Constitución Política de la República, es la actual ley fundamental en donde están determinados los derechos de los habitantes de la nación, la forma de su gobierno y la organización de los poderes públicos, desde de 1986 es la actual ley fundamental de Guatemala, fue promulgada el 31 de mayo de 1985, por la Asamblea Nacional Constituyente. Tiene 281 artículos y 22 disposiciones transitorias, sus principales innovaciones son el establecimiento de la Corte de Constitucionalidad y el cargo de Procurador de los Derechos Humanos. En 1993 se le introdujeron algunas reformas referentes al antejuicio de los diputados. En 1998, la consulta popular rechazó las reformas constitucionales que el Congreso de la República de Guatemala había aprobado para reestructurar el Estado de Guatemala y facilitar el cumplimiento de los Acuerdos de Paz. La Constitución se encuentra en la cúspide o parte más alta del sistema jerárquico de las leyes, por lo que se le denomina Carta Magna o ley de leyes. Por lo tanto serán nulas ipso jure las leyes y disposiciones gubernativas o de cualquier otro orden que disminuyan, restrinjan o tergiversen los derechos que la Constitución garantiza; ninguna ley podrá contrariar sus disposiciones. Los tribunales de justicia en toda resolución o sentencia observarán obligadamente el principio de que la Constitución prevalece sobre cualquier ley o tratado.
232
II. Funciones La Constitución, ley fundamental del Estado, que cumple con las funciones: • Establecer la estructura del gobierno, creando los órganos por medio de los cuales el Estado manifiesta su actuación. • Atribuye las facultades de gobierno a los órganos. • Determina cuáles son los derechos fundamentales. • Tiene la supremacía constitucional. Para modificar la constitución se puede hacer de dos formas: por Asamblea Nacional Constituyente o por medio del voto popular.
La Constitución Política de la República de Guatemala está dividida en tres partes: • Parte dogmática: contiene todos los derechos humanos, también llamados fundamentales. Los derechos fundamentales están establecidos en la Constitución para que tengan más seguridad, y no puedan ser violados por ningún tratado, y así poderles dar una protección especial. Los derechos fundamentales son: derechos individuales, derechos sociales y derechos cívicos políticos. • Parte orgánica: contiene la forma en que el Estado se va a ordenar. • Parte procesal constitucional: su objetivo es hacer que se cumpla lo que establece la constitución.
III. Antecedentes Se puede mencionar al ilustre filósofo Aristóteles, cuando enfatizó la transformación de la sociedad política, contra Filipo de Macedonia, porque afianzó la libertad democrática en su obra “Las Constituciones de Atenas”, quien reaccionó ordenando su muerte, ya que vislumbró
233
que la democracia terminaría por derrotar al totalitarismo. Se caracterizó por ser un movimiento filosófico y científico basado en la experimentación, con una concepción revolucionaria, denominado por la ciencia del mundo exterior y la cosmología, creó un concepto de la sociedad, de la realidad y del hombre totalmente diferente. Aristóteles aludió técnicamente a una tipología de la Constitución, pero nunca formuló una teoría sistematizada acerca de ella, nunca tuvo la intención de codificar de manera científica un estudio consistente sobre la Constitución. Sin embargo, Aristóteles tuvo una visión de la Constitución en los siguientes aspectos:
•
• •
Se puede estudiar a la Constitución como una realidad, desde esta óptica es el acontecer de la vida de la comunidad, es la vida misma de la sociedad y el Estado, la existencia de una comunidad armonizada u organizada políticamente; La Constitución es una organización, en ese sentido se refiere a la forma de organizar las maneras políticas de la realidad; Se puede estudiar a la Constitución como lege ferenda, es decir, todo gobernante debe analizar cuál es la mejor Constitución para un Estado, las mejores formas, en virtud de las cuales, se organiza mejor el Estado para la realización de sus fines, para realizar los fines de la comunidad.
Aristóteles, al hacer el análisis de las tipologías políticas, llega a una conclusión: ni la monarquía, ni las oligarquías, ni las democracias son idóneas, sino que las mejores constituciones son aquellas que son mixtas, o sea aquellas que tienen combinados elementos aristocráticos, monárquicos y democráticos.
234
Ahora para Kelsen la Constitución posee dos sentidos: • lógico-jurídico • jurídico-positivo
En sentido lógico-jurídico, es la norma fundamental o hipótesis básica, la cual no es creada conforme a un procedimiento jurídico por lo tanto, no es una norma positiva, debido a que nadie la ha regulado y a que no es producto de una estructura jurídica, sólo es un presupuesto básico. Precisamente, a partir de esa hipótesis se va a conformar el orden jurídico, cuyo contenido está subordinado a la norma fundamental, sobre la cual radica la validez de las normas que constituyen el sistema jurídico. En el sentido jurídico-positivo, es un supuesto que le otorga validez al sistema jurídico en su conjunto, y en norma fundamental descansa todo el sistema jurídico. Esto quiere decir, que la Constitución ya no es un supuesto, es una concepción de otra naturaleza, es una norma puesta, no supuesta. Nace como un grado inmediatamente inferior al de la Constitución en su sentido lógico-jurídico. Además no solo se puede apreciar con lo anterior sino también se puede contemplada en otros dos sentidos tales como: • •
Material Formal
En sentido material, está constituida por los preceptos que regulan la creación de normas jurídicas generales y, especialmente, la creación de leyes. Además de la regulación de la norma que crea otras normas jurídicas, así como los procedimientos de creación del orden jurídico; también contempla a los órganos superiores del Estado y sus competencias, además contemplan las relaciones de los hombres con el propio poder estatal y los derechos fundamentales del hombre, implica, el contenido de una Constitución tiene tres contenidos:
235
• • •
El proceso de creación de las normas jurídicas generales Las normas referentes a los órganos del Estado y sus competencias Las relaciones de los hombres con el control estatal
En sentido formal, es un cierto documento solemne, un conjunto de normas jurídicas que sólo pueden ser modificadas mediante la observancia de prescripciones especiales, cuyo objeto es dificultar la modificación de tales normas, o sea pues, es un documento legal supremo. Hay una distinción entre las leyes ordinarias y las leyes constitucionales; es decir, existen normas para su creación y modificación mediante un procedimiento especial, distintos a los abocados para reformar leyes ordinarias o leyes secundarias. Fernando Lassalle define a la Constitución como el resultado de la suma de los factores reales de poder. Así, lo que debe plasmarse en un régimen constitucional son las aspiraciones de las fuerzas sociales y políticas de un Estado. Para Lassalle una Constitución no sería tal, si no refleja la realidad política de un Estado, con ello, nos quiere señalar que una Constitución refleja la realidad. Todo régimen posee una serie de hojas de papel en el que se inscriben los principios fundamentales que rigen el funcionamiento del Estado, en torno a los cuales se une su población; ese documento legal supremo que estructura y señala el funcionamiento del Estado, en torno a los cuales se une su población; ese documento legal supremo que estructura y señala el funcionamiento de la vida del Estado, sólo sería una hoja de papel, si no corresponde con la realidad. Ahora para Lassalle establece dos tipos de Constituciones:
• •
Constitución real Constitución formal
236
La Constitución real, es efectiva porque corresponde a la expresión de los factores reales de poder. La Constitución formal, no existe una Constitución que en rigor sea perfectamente real, lo ideal es que mantengan vigencia sus principios esenciales.
Karl Loeweinstein, uno de los grandes realistas del estudio del Derecho Constitucional en la época contemporánea, plantea que en toda sociedad existe una Constitución real u ontológica. Una Constitución ontológica es el ser de cada sociedad, es la cultura social real, son las formas de conducta reconocidas, son los principios políticos en los que se basa toda comunidad, y que se formaliza en una Constitución escrita. Maurice Hauriou señala que la Constitución es un conjunto de reglas en materia de gobierno y de la vida de la comunidad. La Constitución de un Estado, es un conjunto de reglas que son relativas al gobierno y a la vida de la comunidad estatal. Jorge Carpizo realiza una clara descripción de la Constitución, de las teorías, posturas y corrientes que ha habido en torno a ella. Además de esta gran contribución, también analiza el concepto desde diversos ángulos, y nos dice que la palabra Constitución, como tal, es una palabra que tiene diversos significados, es una palabra multívoca. Así, cuando existe cierto orden que permite que se efectúen hechos entre gobernantes y gobernados hay una Constitución. Según el autor, se puede contemplar a la Constitución desde diversos ángulos, desde el ángulo económico, sociológico, político, histórico y jurídico, y desde el punto de vista jurídico, vemos la vida normada de un país, y que el Derecho Constitucional será la estructura del funcionamiento del Estado. Una Constitución es un juego dialéctico entre el ser y el deber ser, la Constitución de un país es dinámica, es un duelo permanente
237
entre el ser y el deber ser, un duelo permanente entre la norma y la realidad. La norma puede ir más allá de la realidad, forzar a ésta para lograr que se adecue a ella, pero con un límite: que no trate de violentar esa realidad en nada que infrinja la dignidad, la libertad y la igualdad humana.
IV. Protección a la información Hay una famosa frase que dice: Quién tiene la información tiene el poder. Sin embargo, esta frase en un mundo globalizado como el de hoy, ya no es tan cierta, pues no basta con tener información, hay que saberla utilizar y ahí está el verdadero “poder”. La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma. El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos. Para el hombre como individuo, la seguridad de la información tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura del mismo. El campo de la seguridad de la información ha crecido y evolucionado considerablemente a partir de la Segunda Guerra Mundial, convirtiéndose en una carrera acreditada a nivel mundial. Este campo ofrece muchas áreas de especialización, incluidos la auditoría de sistemas de información, planificación de la continuidad
238
del negocio, ciencia forense digital y administración de sistemas de gestión de seguridad, entre otros. En la seguridad de la información es importante señalar que su manejo está basado en la tecnología y debemos de saber que puede ser confidencial: la información está centralizada y puede tener un alto valor. Puede ser divulgada, mal utilizada, ser robada, borrada o saboteada. Esto afecta su disponibilidad y la pone en riesgo. La información es poder, y según las posibilidades estratégicas que ofrece tener acceso a cierta información, ésta se clasifica como: • Crítica: es indispensable para la operación de la empresa. • Valiosa: es un activo de la empresa y muy valioso. • Sensible: debe de ser conocida por las personas autorizadas Existen dos palabras muy importantes que son riesgo y seguridad: • Riesgo: es la materialización de vulnerabilidades identificadas, asociadas con su probabilidad de ocurrencia, amenazas expuestas, así como el impacto negativo que ocasione a las operaciones de negocio. • Seguridad: es una forma de protección contra los riesgos.
La seguridad de la información comprende diversos aspectos entre ellos la disponibilidad, comunicación, identificación de problemas, análisis de riesgos, la integridad, confidencialidad, recuperación de los riesgos.
239
Bibliografía Sánchez Bringas, Enrique. (1999). Derecho Constitucional. Editorial Porrúa: México D. F.
Quiroz Acosta, Enrique. (1999). Lecciones de Derecho Constitucional. Editorial Porrúa: México D. F.
Carpizo, Jorge. (1999). Estudios Constitucionales. Editorial Porrúa: México D.F. Enciclopedia Encarta 2000. Microsoft Corporation
240
“Reconocimiento de las Comunicaciones y Firmas Electrónicas” Reyes Córdova, Erick German Magister Scientia MCL en Sistemas de Información, Base de Datos Universidad Francisco Marroquín
241
Contenido Introducción
243
I. La Firma y los Sellos II. Ley Modelo de Comercio Electrónico III. Ley Modelo de Firmas Electrónicas
244 249 251
IV. Convención de la ONU Sobre el uso de Comunicaciones Electrónicas en Contratos Internacionales V. Ley de Reconocimiento de las Comunicaciones y
252
firmas Electrónicas.
253
Conclusiones Recomendaciones Bibliografía
255 256 257
242
Introducción El presente ensayo es una mirada retrospectiva a las diferentes formar utilizadas por la humanidad para poder identificar y autenticar el contenido de los documentos utilizados para varios fines, especialmente el comercio y el derecho registral. Se hace una reseña de la escritura, los contratos privados, los documentos oficiales, las firmas y los sellos hasta concluir con los 3 Instrumentos Jurídicos promovidos por la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional CNUDMI. Se hace un análisis sobre cómo nació a la vida jurídica el Decreto número 47-2008 que contiene las disposiciones legales relativas al Reconocimiento de las comunicaciones y firmas electrónicas. La normativa que establece dicho Decreto, pretende la equivalencia funcional de las comunicaciones y firmas electrónicas. Es a la iniciativa privada a la que más interesa este tipo de legislación, pues con las normas uniformes utilizadas en el comercio internacional, tiene la capacidad de competir en igualdad de condiciones, con otras empresas, a nivel mundial. También es necesario recordar que la legislación en referencia, busca el uso del Gobierno electrónico en sus distintas modalidades. Una de las cosas que el Organismo Judicial ha impulsado, es la notificación electrónica de las resoluciones; al igual que la Superintendencia de Administración Tributaria, desde hace varios lustros, ha implementado el pago electrónico de impuestos, especialmente para las personas jurídicas (empresas). En suma, la implementación y constante mejora de las normas uniformes y las leyes modelo promovidas por la Organización de Naciones Unidas, es ampliamente beneficioso para el crecimiento económico del país y consecuentemente para mejorar el nivel de vida social de todos los guatemaltecos.
243
I. La Firma y los Sellos Las firmas y los sellos tienen como todas las cosas en este mundo, orígenes interesantes; que es bueno recordarlos para darles el dimensionamiento adecuado y el valor a esas cosas de la vida cotidiana que pasan inadvertidas hasta que las investigamos.
Sumeria Sumeria es la civilización que dio al mundo el Código de Hammurabi. Un escrito legal documentado y claro que es ampliamente considerado como el conjunto de leyes formalizado más antiguo. Por lo tanto, es muy probable que algunos de los primeros ejemplos de firmas como parte del intercambio y el comercio también provengan de esta civilización. En el siglo 50 A.C. emergió la escritura cuneiforme, se cree que es la primera forma de escritura en la historia. En los tiempos posteriores, dicha escritura fue legalizada como un método completamente autorizado para realizar transacciones de negocios. En los acuerdos formales, la escritura se hacía sobre tablas de arcilla que al endurecerse preservaban lo escrito como un contrato vinculante. (Power, s.f.)
Prácticas de firmas en el Antiguo Egipto El Antiguo Egipto es ampliamente reconocido como uno de los primero precursores de la civilización moderna. Mientras que Sumeria y otros imperios establecían el fundamento para el futuro con códigos legales básicos y la primera escritura; los egipcios combinaban la agricultura, el gobierno, códigos legales complejos, la religión y modelos económicos de forma tal que fueron un punto de inflexión en la historia. La cultura de los escribas jugó un rol principal en este proceso.
244
Como sociedad, Egipto valoró la información y la historia a tal grado que elevó a los escribas a una posición alta, documentando todos los actos de gobierno y la riqueza lograda. Este primer ejemplo de empleados y expertos en documentos tuvo un gran impacto en la economía, haciendo posible que la gente, registrara formalmente documentos de comercio, órdenes militares y otros registros principales en papiro. Sin embargo, la escritura se volvió tan común que se necesitaron métodos para verificar la autoridad de un documento, lo cual ocasionó el desarrollo de un sistema de firmas que todavía hoy es usado. En el siglo XVA.C. Algunos egipcios tenían anillos que servían como sellos, pues tenían grabados símbolos que los identificaban y eran utilizados en conjunto con cera derretida, para sellar documentos y verificar su autenticidad. La práctica de usar anillos con sellos como autorización oficial duro muchos siglos y era extensamente utilizada hasta principios de 1800, cuando los políticos, militares y la economía usaban un sello de cera con un signo personal antes de enviar documentos sensibles a través de mensajeros. En este caso el sello no es una firma, sino una forma de verificar la firma.
Las firmas en Roma En el siglo VA.C. los comerciantes en Roma empezaron a abandonar los sellos complejos como firmas y los reemplazaron con oraciones al final de los documentos. Estas oraciones identificarían personalmente al autor, convirtiéndose en un ejemplo inicial de las firmas tal y como existen hoy. La era de los sellos no estaba completamente terminada, ya que los sellos de cera mantuvieron su popularidad durante siglos como una autorización secundaria en la parte superior de una firma.
245
Las firmas en el siglo XVII en Inglaterra La era dorada del reinado de Elizabeth en Inglaterra trajo prosperidad, innovación y un cambio cultural a través del Imperio Británico. Todos estos cambios culminaron con un número de avances tanto durante el reinado de Elizabeth, como en los períodos posteriores. Es en esa época, en 1677, que en Inglaterra las firmas fueron legalizadas en la Ley para la Prevención de Fraudes y Daños. Dicha Ley fue diseñada para proteger a los hombres de negocios de varias amenazas al formalizar diferentes tipos de documentación; incluía un mandato de que todas las partes involucradas en ciertos tipos de transacciones proporcionaran un memorándum firmado verificando su rol en el arreglo.
Firmas, rúbricas y sellos en el mundo Hispano De la obra de Don Antonio Alverá Degras, Compendio de Paleografía Española, reproduzco algunas partes para ilustración del lector. “De las principales partes que constituyen la Paleografía, una de ella es la que trata de las firmas, rúbricas, etc. es la más delicada, por decirlo así, porque en este punto tiene que hallarse el paleógrafo profundamente instruido, no solamente en la manera y orden de las firmas y rúbricas, sino del modo de saber distinguir las verdaderas de las falsas o dudosas, ¡Materia sumamente difícil y delicada! En todo instrumento a lo primero que debe atenderse es a las firmas y fechas en que fueron escritas, porque las firmas son para las partes contratantes el testimonio o requisito indispensable para la validez de los contratos. Estos signos de asentimiento, desde el siglo VI no fueron más que cruces precedidas de la forma: sígnum T, etc. Las firmas han sido muy raras hasta el siglo XII, en que el uso de los sellos se hizo casi general. Las firmas en los documentos originales no siempre han sido hechas de propia mano, porque en lo antiguo los Reyes y Obispos con estampar únicamente las armas o signos que en los anillos llevaban, bastaba para que fuesen válidos los instrumentos; pero a fines del siglo XIII el uso de
246
las firmas se hizo general. Entiéndase por firma el nombre y apellido o título con rúbrica, que se pone de propia mano al fin de los instrumentos, bien sean públicos o privados. Media firma es únicamente el apellido con rúbrica; y rúbrica (señal propia y distintiva de los instrumentos), es un signo que después de haber escrito el nombre y apellido o el título, se pone al fin rasgueando con velocidad y soltura. La palabra rúbrica viene de robra. Cuando á una cosa se la quiere dar más fuerza y vigor se llama corroborar; y cuando se le da fuerza, valor y firmeza, roborar. La carta o escritura en que se autoriza alguna venta, donación, etc., se llama robra, y revalidar lo ya aprobado es confirmar. Signar es hacer la figura de la cruz en señal de asentamiento. También se encuentran algunas veces cruces de San Andrés enlazadas y trenzadas como de ante-rúbrica. Llámense sellos a los moldes o tipos que servían para producir figuras e inscripciones que atestiguan la autenticidad de los documentos, y contrasellos a las figuras impresas en el reverso de los sellos. Las palabras latinas annus, bulla, sigillium, son con las que generalmente se designaban los sellos antiguos. El gran sello servía para los documentos solemnes, y el pequeño para los instrumentos privados A la palabra sigillium acompaña casi siempre un epíteto que indica si es sello grande, pequeño o secreto. El gran sello servía para los documentos solemnes, y el pequeño para los instrumentos privados. Desde el siglo VIII hasta el XII la ignorancia fue causa de que hoy se encuentren muchos documentos sin sellos, ni firmas; pero desde el siglo XII hasta el XIV el uso de los sellos fue considerado como circunstancia indispensable para la autenticidad de los documentos. Desde el siglo XV las firmas reemplazaron a los sellos, multiplicándose hasta el infinito las precauciones para evitar la falsificación de los sellos. El medio más generalmente adoptado para impedir estas falsificaciones, fue el uso de los sellos pendientes, los cuales se ataban a los documentos, quedando pendientes de dos cordones o tiras del mismo pergamino. La cera fue la materia que más comúnmente se usó para los sellos. Hasta el siglo XII. Felipe Augusto fue el primero que
247
usó los sellos de cera verde, que entonces estaban reservados para los edictos, privilegios y cartas de nobleza. Los metales reemplazaron después a la cera en los sellos. Dícese que Carlo Magno fue el primero que uso bullas de oro. Una de estas bullas de oro, pendiente de un diploma enviado por el Emperador de Constantinopla al Emperador Enrique III, bastó para que de ella se hiciese un cáliz. Los sellos de plata y bronce son muy raros. Los de plomo son por el contrario muy comunes a causa del poco precio de este metal, y de su docilidad para recibir la impresión. Las inscripciones de los sellos son varias, según las épocas á que pertenecen. La escritura latina capital, fue la generalmente usada hasta el siglo XII, y hállense algunos sellos con caracteres griegos. Las inscripciones de los antiguos sellos, son breves y concisas. Los sellos de cera del siglo XI no tienen leyenda más que por un lado. Los Reyes merovíngicos empezaron a usar en los sellos la fórmula que hasta hoy ha llegado a nuestras monedas de F. de T. Rex Francorum, ó Hispaniarum Dei gratia. Las cruces de diversas formas precedieron a las leyendas hasta el siglo XIV. La fórmula real de los sellos de F. de T. Dei gratia Hispaniarum Rex, es anterior al siglo XII. Las inscripciones en lengua vulgar no aparecen en los documentos castellanos hasta la primera mitad del siglo XII. Las figuras de los sellos están representadas comúnmente en busto y con el manto real prendido sobre el hombro derecho. Los Reyes, de frente y de cuerpo entero, antes del siglo IX, en cuya época se introdujo el uso de representar a los Príncipes soberanos sentados en el trono, como los Emperadores de Constantinopla, o bien a caballo. Los sellos ecuestres, indican siempre la más alta nobleza. El perro, el halcón y el ciervo son símbolos del derecho propio de caza. Una flor cualquiera en la mano de una figura representada en un sello, es símbolo común á todas las gentes de iglesia. La imagen figurada sobre los sellos ha sido por mucho tiempo acompañada de adornos, vestiduras y atributos más o menos ricos, más o menos variados. Además de la enseñanza que prestan los sellos
248
para el estudio de los trajes antiguos, pueden servirnos para encontrar por ellos el retrato o impronta de las piedras grabadas antiguas e inéditas, porque las piedras grabadas se emplearon muchas veces para los sellos de Príncipes y particulares.” (Alverá Degrás, 1857)
Como se evidencia, históricamente las firmas han servido desde mucho tiempo atrás, para identificar y autenticar las transacciones comerciales. Sin embargo, desde hace muchos años las personas jurídicas individuales o particulares también tienen asociada una firma con su identidad. Para emitir cheques, vales, recibos, validar facturas, planillas de pago salarial, formularios para pago de impuestos, escrituras, actas, documentos de identidad personal, pasaportes, tarjetas de débito y de crédito, etc.
II.
Ley Modelo de Comercio Electrónico
Promulgada en 1996 y modificada en 1998, su objetivo es asistir a los países en establecer una legislación la cual permita y facilite el comercio electrónico y el gobierno electrónico; increíblemente no hace ninguna referencia a Internet. La Ley tiene el propósito de permitir y facilitar que el comercio se lleve a cabo a través del uso de medios electrónicos, al dotar a los legisladores nacionales con un conjunto de normas aceptadas a nivel internacional que buscan eliminar las barreras legales e incrementar la previsibilidad jurídica para el comercio electrónico. En particular, busca superar las barreras que surgen a partir de las disposiciones legales que no pueden modificarse de manera contractual, al ofrecer un trato equivalente para la información electrónica y la que está basada en papel. Tal trato equivalente es
249
esencial para permitir el uso de las comunicaciones sin soporte de papel, lo que fomenta la eficacia del comercio internacional. El enfoque analítico subyacente de la Ley es la “equivalencia funcional”. Este enfoque evalúa los propósitos y funciones subyacentes de los requerimientos legales tradicionales basados en papel y evalúa en que extensión las transacciones electrónicas pueden cumplir con dichos propósitos y funciones. Donde las transacciones electrónicas pueden satisfacer los propósitos y funciones, la Ley requiere que se les otorgue igual estatus. En efecto, pone las comunicaciones electrónicas a la par con los modos de comunicación tradicionales basados en papel. Por lo tanto, en lugar de reescribir la ley, se busca extender el alcance de las definiciones legales de “documentos”, “firmas” y “originales” para abarcar sus contrapartes electrónicas. Provisiona que la información no se le debe negar su efecto legal solo porque está en forma electrónica o está firmada electrónica. También trata con la transmisión y recepción de mensajes y contratos para el transporte de mercancías, sin embargo, no trata los aspectos jurisdiccionales o conflicto de leyes. La Ley consta de dos partes: La Parte I abarca el comercio electrónico en general; la Parte II abarca el comercio electrónico en áreas específicas, en este caso, el transporte de mercancías. Además de formular los conceptos jurídicos de la no discriminación, la neutralidad tecnológica y la equivalencia funcional, establece normas para la formación y la validez de los contratos que se celebran por medios electrónicos, para la atribución de mensajes de datos, para el acuso de recibo, para determinar el lugar y el momento del envío y la recepción de los mensajes de datos. El Convenio sobre las Comunicaciones Electrónicas enmendó ciertas disposiciones de la Ley a la luz de la práctica de comercio 250
electrónico reciente. Además, la parte II que trata sobre el comercio electrónico en relación con el transporte de mercancías, fue complementada con otros textos legislativos, incluyendo el Convenio de las Naciones Unidas sobre el Contrato de Transporte Internacional de Mercancías Total o Parcialmente Marítimo (las “Reglas de Rotterdam”) y puede ser sujeto a trabajos adicionales de la CNUDMI en el futuro.
III. Ley Modelo de firmas Electrónicas La Ley fue aprobada el 12 de diciembre de 2001, en la 85ª sesión plenaria. Consta de 2 partes: la primera parte trata sobre: ámbito de aplicación; definiciones; igualdad de tratamiento de las tecnologías para la firma; interpretación; modificación mediante acuerdo; cumplimiento de lo dispuesto en el artículo 6; proceder del firmante; proceder del prestador de servicios de certificación; fiabilidad; proceder de la parte que confía en el certificado; reconocimiento de certificados extranjeros y de firmas electrónicas extranjeras. La segunda parte es la Guía para la incorporación de la ley modelo de la CNUDMI para las firmas electrónicas al derecho interno. Contiene una serie de recomendaciones y procedimientos para agregar a las disposiciones legales de cada país, lo relativo a la primera parte. Lo relevante de la ley en mención, es que determina ampliamente todo lo relacionado con la equivalencia de las firmas y comunicaciones electrónicas, orientada al comercio internacional y al gobierno electrónico; y en menor medida, a personas individuales.
251
IV. Convención de la ONU Sobre el uso de Comunicaciones Electrónicas en Contratos Internacionales La Convención se basa en la convicción de que el comercio internacional basado en igualdad y mutuo provecho es un elemento importante para el fomento de las relaciones de amistad entre los Estados. También considera que una mayor utilización de comunicaciones electrónicas mejora la eficiencia de las actividades y vínculos comerciales; que los problemas creados por la incertidumbre en cuanto al valor jurídico de las comunicaciones electrónicas en los contratos internacionales constituyen un obstáculo para el comercio internacional. Si se adoptan normas uniformes para eliminar los obstáculos actuales, se aumenta la certidumbre jurídica y se moderniza el comercio internacional, se tiene el cuidado de que las normas uniformes respeten el derecho de las partes a escoger medios y tecnologías apropiados, teniendo en cuenta los principios de neutralidad tecnológica y equivalencia funcional. El documento respectivo, contiene la esfera de aplicación, disposiciones generales, utilización de comunicaciones electrónicas en los contratos internacionales (en detalle) y las disposiciones finales. También como parte de la Convención, existe una Nota explicativa de la Secretaría del CNUDMI donde se desarrolla detalladamente cada uno de los aspectos contemplados en la Convención.
252
V.
Ley de Reconocimiento de las Comunicaciones y firmas Electrónicas
El Decreto número 47-2008, del Congreso de la República de Guatemala, promulgado el 19 de agosto de 2008; es producto de la Iniciativa de Ley 3515, presentada por el representante Mariano Rayo Muñoz, el 24 de julio de 2006. El 8 de marzo de 2007, fue emitido el Dictamen número 02-2007, por la Sala de la Comisión de Economía y Comercio Exterior. Los antecedentes considerados por la Comisión fueron: 1) Que Guatemala en ese momento, no contaba con una legislación directamente relacionada con el Comercio Electrónico, con la seguridad jurídica y técnica en la transmisión de mensajes electrónicos con la validez y eficacia de los documentos electrónicos y de igual manera las firmas electrónicas. 2) Acuerdos Gubernativos o Ministeriales relacionados con Bancasat y el pago electrónico de impuestos de igual manera, servicios privados. El objetivo de la normativa de carácter general es otorgar la certeza jurídica necesaria para los usuarios públicos y privados de los medios electrónicos, aplicable para cualquier sector comercial, industrial o de servicios. Otros aspectos considerados por los legisladores fueron: a) El contexto de la “sociedad de la información” y la “era de la información”. b) El dinamismo de los negocios que cada vez más utilizan documentos y firmas electrónicas para el comercio, la industria y los servicios. c) El nivel competitivo mundial donde la gestión empresarial desarrolla sus actividades. d) Las disposiciones legales internacionales de la Organización de Naciones Unidas, que son normas uniformes que se aplican en todo el globo. También se pretende solucionar: 1) La no validez jurídica al uso de las comunicaciones electrónicas como medio para manifestar la voluntad. 2) La no aceptación de los datos almacenados en soportes
253
informáticos como prueba en los litigios. 3) La exigencia normativa y práctica de que los documentos estuviesen firmados o consignados en papel. La confianza y la seguridad en el uso de medios electrónicos se tomaron en cuenta los aspectos siguientes Identidad: tener la seguridad de que se está realizando el negocio con la persona deseada; Confidencialidad: tener la seguridad de que sólo las partes involucradas en el negocio, puedan tener acceso a la negociación; Integridad: contar con la seguridad de que los documentos motivo de la negociación son los originales (no han sido alterados, manipulados o falsificados); No repudio: de la utilización de los mensajes de datos como otra forma válida de manifestar la voluntad (contratos) y como otro medio de prueba. Finalmente, se busca darle a las comunicaciones y firmas electrónicas los mismos términos de protección civil, mercantil y penal que a la firma manuscrita y a los documentos asentados en soporte papel. La ley se divide en 3 partes: 1) Del comercio electrónico en general; Disposiciones Generales; Aplicación de los requisitos jurídicos a las comunicaciones electrónicas; Comunicaciones electrónicas y formación de contratos a través de medios electrónicos. 2) Comercio Electrónico en Materias Específicas; Transporte de Mercancías. 3) Disposiciones Complementarias al Comercio Electrónico; Firma Electrónica Avanzada y Prestadores de Servicios de Certificación; Registro de Prestadores de Servicios de Certificación y Disposiciones varias.
254
Conclusiones •
•
•
•
•
•
•
La ONU ha impulsado desde el año 1996, tres instrumentos importantes sobre comercio electrónico: a) Ley Modelo de Comercio Electrónico; b) Ley Modelo de Firmas Electrónicas y c) Convención sobre el uso de Comunicaciones Electrónicas en Contratos Internacionales con el propósito de fomentar el comercio internacional utilizando Tecnologías de Información y Comunicación. Las empresas privadas guatemaltecas requieren de legislación nacional dinámica, que les permita competir en igualdad de circunstancias con otras empresas del mundo, especialmente porque el comercio es cada vez más electrónico y menos en soporte de papeles. Aunque no se trató mucho en el Decreto número 47-2008, una de los objetivos de los Instrumentos Jurídicos Internacionales es el Gobierno Electrónico en sus diferentes modalidades: Gobierno a Ciudadano (G2C); Gobierno a Empresa (G2B); Gobierno ha Empleado (G2E) y Gobierno a Gobierno (G2G). El principal obstáculo para la Firma Electrónica y la Firma Electrónica Avanzada en el Sector Gubernamental, lo constituyen el Decreto 57 92, Ley de Contrataciones del Estado y su respectivo Reglamento, Acuerdo Gubernativo número 1056-92. Se hace necesaria la adecuación de las Disposiciones Legales Nacionales para hacer efectivo, el reconocimiento de las Comunicaciones, Firmas y Documentos Electrónicos. Otro aspecto que es muy importante tomar en consideración, es la venta de licencias por parte de las Entidades Certificadoras, lo cual tiene un enfoque totalmente lucrativo y no facilitador de las transacciones electrónicas. Se debe respetar siempre la opción que tiene la persona de escoger la alternativa (documento electrónico o documento en papel) que más le convenga o con la cual se sienta más cómodo.
255
•
•
El reemplazo de documentos, comunicaciones y firmas por medios electrónicos, tiene mayor seguridad, velocidad de transmisión y capacidad de reproducción. La ONU promueve el uso de comunicaciones, documentos y firmas electrónicas porque son “amigables” con el ambiente y reducen el consumo de papel y otros recursos importantes.
Recomendaciones •
•
•
•
• •
Que se analice con mayor detenimiento el contenido de los 3 Instrumentos Jurídicos de la ONU, para que la legislación nacional se adecúe lo más posible a dichos Instrumentos. Que el sector privado guatemalteco (industria, comercio, servicios y banca) periódicamente haga propuestas para mejorar la legislación nacional y adaptarla a la innovación y competitividad características del comercio internacional. Que a nivel nacional se promueva el uso del Gobierno Electrónico, no como una iniciativa política partidista, sino como política nacional y que sea un ente híbrido (gobierno-sociedad) el que administre los recursos y las iniciativas. Que se hagan las adecuaciones necesarias en las Leyes y Reglamentos Nacionales para que el reconocimiento de las comunicaciones, documentos y firmas electrónicos sea eficaz. Que el Gobierno de Guatemala tenga su propia Entidad Certificadora, con lo cual se ahorraría el pago de licencias para el Sector Público. Aunque se debe promover la modernización de los contratos, comunicaciones escritas y firmas, es necesario hacerlo a través de implementar y no implantar procesos que vayan cambiando la cultura tradicional de los usuarios y clientes de los sistemas de comercio nacional.
256
Bibliografía Alverá Dégras, Antonio. (1857). Compendio de Paleografía Española. Madrid.
Convención de las Naciones Unidas sobre la utilización de las Comunicaciones Electrónicas en los Contratos Internacionales. CNUDMI. ONU. Nueva York, EE. UU., 2007.
Fomento de la confianza en el comercio electrónico: cuestiones jurídicas de la utilización internacional de métodos de autenticación y firma electrónica. CNUDMI. ONU. Viena, Austria, 2009.
Ley Modelo de la CNUDMI sobre Comercio Electrónico con la Guía para su incorporación al derecho interno. CNUDMI. ONU. Nueva York, EE. UU. 1999.
Ley Modelo de la CNUDMI sobre Firmas Electrónicas con la Guía para su incorporación al derecho interno. CNUDMI. ONU. Nueva York, EE. UU. 2002.
Power, Mary Ellen. (s.f.). How signatures have changed ancient times. Obtenido de: http://www.silanis.com/blog/how-signatures-have-changed-ancient-times/.
257
“La ley Contra el crimen organizado“ Reyes Córdova, Mario René Maestría en Docencia Superior Universidad Mariano Gálvez de Guatemala
258
Contenido Introducción
260
I. Origen del Crimen Organizado II. Características del Crimen Organizado III. Legislación Internacional sobre el Crimen Organizado IV. Legislación Nacional
261 264 265 271
Conclusiones Recomendaciones Bibliografía
278 279 280
259
Introducción La presente investigación tiene como objetivo principal el análisis crítico de la Ley Contra la Delincuencia Organizada, para poder arribar a conclusiones y hacer algunas recomendaciones al respecto. Inicialmente se describe el origen del crimen organizado, ya sea a través de las tríadas o mafias chinas, la cosa nostra o mafia siciliana, las familias mafiosas ítalo-americanas, la yakuza, la mafia rusa, cárteles colombianos, etc. Sin embargo, el fenómeno social delictivo común a Guatemala, El Salvador y Honduras son las maras (Mara Salvatrucha y Mara 18), debido a la crueldad y saña con que actúan dichas organizaciones criminales, es a los miembros de dichas pandillas a quienes más se les ha aplicado la Ley en referencia. Las Instituciones encargadas de cumplir y velar por el cumplimiento de la ley, proveer seguridad a la ciudadanía e impartir justicia, tienen en la Ley Contra la Delincuencia Organizada un valioso instrumento para la investigación y persecución penal de los delitos cometidos por las grandes amenazas que se ciernen en contra de Guatemala, personificadas por el crimen organizado, el narcotráfico, las maras y la corrupción. Sin embargo, su implementación por parte de los operadores de justicia, requiere de cuidado especial, para poder respetar los derechos garantizados en la Constitución Política de la República de Guatemala y obtener los resultados deseados, amén de tomar en consideración que el crimen organizado tiene la característica de ser transnacional; por tal motivo, es imperativa la comunicación, colaboración y coordinación con los demás países, a nivel regional, hemisférico y mundial para combatir a dichas lacras sociales que se han convertido en un inmenso lastre que no permite que haya desarrollo
260
socio-económico.
I.
Origen del Crimen Organizado
Las tríadas o mafias chinas tienen sus raíces en las sociedades secretas surgidas en ese país a principios del siglo XVII como oposición a la dinastía Qing, que había invadido el territorio y derrotado a la dinastía Ming. Cuenta la tradición que los defensores de los Ming juraron seguir luchando en la sombra y se organizaron bajo durísimos códigos de obediencia y lealtad que ponían la causa común por delante de todo, incluso de la propia vida. Con el paso de los siglos, los nobles propósitos iniciales degenerarían, como ocurrió en muchas otras organizaciones, hacia burdas mafias criminales. No obstante, conservan ciertas tradiciones y estructuras sociales antiguas, como el respeto por los ancianos. En algunas ciudades como Hong Kong, las tríadas siguen teniendo una importancia considerable. (Booth, M., 2001; pág. 17) La Mafia nació en la región de Sicilia, Italia, alrededor de 1864, identificada por Niccoló Turrisi Colonna, en donde se autodenominó Cosa Nostra. En su origen era una confederación dedicada a la protección y el ejercicio autónomo de la ley (justicia vigilante) y, más adelante, al crimen organizado. Sus miembros se denominaban a sí mismos «mafiosos», es decir, ‘hombres de honor’. Los miembros de los distintos clanes mafiosos emplean una serie de «códigos de honor», inviolables, de los cuales el más conocido es la omertá o ley del silencio. (Dickle, J., 2005; pág. 35) El término “crimen organizado” empezó a utilizarse regularmente entre los miembros de la Comisión del Crimen de Chicago, una organización cívica que fue creada en 1919 por comerciantes, banqueros y abogados para promover cambios en el sistema de justicia penal para poder luchar de mejor forma contra el problema del crimen. (Wagne, James W. et al., 2006) En sus declaraciones,
261
la Comisión del Crimen de Chicago, cuando hablaba del “crimen organizado” se refería no a las organizaciones criminales, sino en un sentido mucho más amplio a la manera ordenada en la cual “la clase criminal” (estimada en 10,000 criminales en Chicago) presuntamente podrían considerar “el crimen como un negocio”. La discusión se centraba alrededor de las condiciones que permitían a los criminales obtener un ingreso permanente proveniente del crimen, particularmente crímenes contra la propiedad. A los ojos de la Comisión del Crimen, el gobierno municipal tendría que ser culpado por la incompetencia, la ineficiencia y la corrupción, mientras que el público era criticado por la indiferencia o incluso por la abierta simpatía hacia los criminales. Esta caracterización del crimen organizado como parte integral de la sociedad, aparentemente reflejaba la perspectiva de la clase media protestante en Chicago, como una ciudad que, después de años de crecimiento y cambio cultural, se estaba ahogando en el crimen, la corrupción y el decaimiento moral. En Estados Unidos de América, también hubo mafias o crimen organizado en las ciudades de Nueva York, Chicago, Boston, Filadelfia, Providence, Las Vegas, Nueva Orleans y Miami. La mafia americana o ítalo-americana llevó sus operaciones hasta Cuba, donde pretendían tener casinos y otras actividades criminales, igual que en Las Vegas, Nevada. Dentro de la mafia italiana se conoce: La Cosa Nostra en Sicilia, la Camorra en Nápoles, ‘Ndrangheta en Calabria, la Sacra Corona Unita en Apulia y la Banda Della Magliana en Roma. Dentro de la Mafia ítalo americana se conoce: Familia Bonanno (Nueva York); Familia Colombo (Nueva York); Familia Genovese (Nueva York); Familia Gambino (Nueva York); Familia Lucchese (Nueva York) y Chicago Outfit (Chicago). También se conoce a la Mafia Córcega. Dentro de la Mafia rusa a Medvedkovskaya y Orekhovskaya. También hay Mafia israelí; Crimen organizado en Corea; Cárteles colombianos, la Yakuza japonesa, los Cárteles mexicanos, los Zetas, Los BACRIM en Colombia y por 262
supuesto, la Mara Salvatrucha y la Mara 18. La Mara Salvatrucha (MS-13) se originó en Los Ángeles, California, EE.UU. en la década de los 80s. Durante este periodo, miles de salvadoreños huyeron de la guerra civil en su país. Al final de los 80s, algunos estimados indican que más de 300,000 salvadoreños se habían establecido en Los Ángeles. Una hipótesis sobre la formación de la pandilla, asegura que los inmigrantes salvadoreños, durante este periodo se organizaron y formaron la MS-13. Los primeros integrantes de esta organización criminal eran exguerrilleros y exsoldados quienes con su experiencia en combate contribuyeron a la notoriedad de ser una de las más brutales y violentas pandillas en las calles de Los Ángeles. La banda desarrollo la reputación de emplear métodos inusuales de violencia, incluyendo el uso de machetes en sus ataques. (Franco, C., 2008) La Mara 18 (M-18) originalmente fue formada por migrantes mexicanos en los 60s en el vecindario de Rampart de Los Ángeles, California, donde se le unieron otras pandillas de mexicanos. La banda creció al expandir su membresía a otras nacionalidades y razas; fue una de las primeras pandillas multirraciales y multiétnicas en Los Ángeles. En Guatemala, el concepto delincuencia organizada se aplica a bandas criminales organizadas; sin embargo, al analizar a los grupos de narcotraficantes y a las maras se evidencia que comparten características similares. Otro tipo de organización criminal que ha surgido con descaro y cinismo son los grupos de políticos que han cooptado al Gobierno y que han creado verdaderas redes criminales en diferentes Instituciones con el único fin del enriquecimiento ilícito a través de buscar rentas en dichas Instituciones y que utilizan la
263
corrupción, la intimidación y el tráfico de influencias como herramientas.
II.
Características del Crimen Organizado
Según Agustín Celis Sánchez (2009) las características del crimen organizado son:
1. Carece de ideología propia. 2. Posee una estructura jerárquica, a la vez organizada y flexible, concebida para perdurar en el tiempo. 3. Es restrictivo y exigente en la selección de sus miembros. 4. Destaca por la profesionalidad con la que ejecuta sus acciones. 5. Obtiene sus beneficios de actividades ilegales que desarrolla a nivel internacional, pero utiliza los negocios legales como fachadas o tapaderas para la consecución de sus propósitos ilícitos. 6. Se vale de la violencia y de la intimidación para sus fines, pero también para hacer respetar las reglas internas entre sus familiares, allegados o asociados. 7. Despliega redes de influencia en la sociedad, estableciendo vínculos perdurables con personajes de las esferas políticas, administrativas, económicas y financieras, así como en los medios de comunicación de masas y en los espectáculos públicos. 8. Tienden a dividir las tareas como un medio de reforzar su propia estructura organizativa, de tal manera que cada una de las subdivisiones internas carezcan de una visión global de la organización. 9. Por medio de la obediencia o la lealtad buscan una especie de consenso social que dé lugar a adhesiones espontáneas, implicaciones de carácter voluntario o a amplias complicidades que desarrollen, allí donde actúa, una mentalidad tendente a desconfiar
264
de los poderes institucionales. 10.Es un poder en la sombra. La suprema ideología de las organizaciones criminales es la acumulación de poder y riqueza sin límites. En este sentido constituyen un universo ilegal paralelo al de las instituciones oficiales de los distintos Estados, a los que saquean de modo sistemático, interviniendo en la economía, asfixiando a la sociedad civil y corrompiendo a la clase política.
La Delincuencia Organizada guatemalteca cumple con todas estas características y es alentada por la corrupción ya que no hay rendición de cuentas ni transparencia en la administración pública, razón por la cual, la infiltración de redes criminales en las Instituciones Públicas, cada vez es mayor. Lamentablemente la aportación de Guatemala al crimen organizado son las redes criminales de origen político partidista que pretenden situar a sus integrantes en diferentes puestos del Gobierno para crear redes de empleados y funcionarios que, amparados en la administración pública, realizan toda clase de negocios ilícitos dentro de un contexto aparentemente legal.
III. Legislación Internacional sobre el Crimen Organizado Las Naciones Unidas han celebrado periódicamente Congresos sobre la prevención del crimen y la justicia penal. El primero en 1955 en Ginebra, Suiza, donde se acordaron las Reglas mínimas para el tratamiento de prisioneros. En 1960, se realizó el Segundo Congreso en Londres, Inglaterra, que se enfocó en la prevención de la delincuencia juvenil, el trabajo en prisión, la libertad condicional y la criminalidad resultante del cambio social y el desarrollo económico.
265
En 1965, en Estocolmo, Suecia se llevó a cabo el Tercer Congreso, enfocado en la asistencia técnica en el campo de la prevención y justicia penal; y la investigación criminológica para la prevención del crimen y la capacitación vocacional. En 1970, en Kioto, Japón en el Cuarto Congreso se discutieron las políticas de defensa social en relación a la planificación del desarrollo, la participación del público en la prevención del crimen y la organización de la investigación para el desarrollo de una política en defensa social. En el Quinto Congreso realizado en Ginebra, Suiza en 1975, se discutió el concepto del crimen como un negocio (incluyendo el crimen organizado). Se aprobó la Declaración de la Protección de todas las personas de ser objeto de tortura y otrostratamientos o castigos crueles, inhumanos o degradantes, que subsecuentemente se desarrolló en la Comisión sobre Derechos Humanos. En 1980, en Caracas, Venezuela, se llevó a cabo el Sexto Congreso, el cual reconoció que los programas de prevención del crimen, deben estar basados en las circunstancias sociales, culturales, políticas y económicas de los países y formar parte del proceso de planificación del desarrollo. En 1985, el Séptimo Congreso realizado en Milán, Italia, aprobó el Plan de Acción de Milán y las Reglas mínimas para la administración de la justicia juvenil, la Declaración de los principios básicos de justicia para la victimas del crimen y el abuso de poder; los principios básicos de la independencia judicial; recomendaciones sobre el tratamiento de prisioneros extranjeros y el primer modelo del tratado bilateral (El Acuerdo modelo de transferencia de prisioneros extranjeros. En 1990, en la Habana, Cuba, durante el Octavo Congreso, se aprobó el modelo de tratados de extradición, asistencia mutua en asuntos criminales, transferencia de procesos en asuntos criminales, transferencia de supervisión de criminales condicionalmente sentenciados o condicionalmente liberados; Las Reglas mínimas de
266
medidas para no custodiados; las Guías para la prevención de la delincuencia juvenil, las Guías para la protección de jóvenes privados de libertad; los principios básicos para el uso de la fuerza y de armas de fuego por parte de oficiales de la ley; Las Guías sobre el rol de persecución penal y los principios básicos para el rol de abogados. El Noveno Congreso en el Cairo, Egipto en 1995, se enfocó en la cooperación internacional y la asistencia técnica-práctica para fortalecer el imperio de la ley en contra del crimen transnacional y organizado; el rol de la ley penal en la protección del ambiente; la justicia penal y los sistemas de policía y las estratégicas de prevención del crimen en las áreas urbanas y la criminalidad juvenil y violenta. El Décimo Congreso, realizado en Viena, Austria en el 2000, entregó la Declaración sobre el Crimen y Justicia: Cumpliendo con los retos del Siglo veintiuno para la Asamblea General del Milenio. El Décimo primero Congreso llevado a cabo en Bangkok, Tailandia, en 2005, se enfocó en las medidas efectivas para combatir el crimen transnacional: la cooperación internacional contra el terrorismo y los vínculos entre el terrorismo y otras actividades criminales. La Agenda del Décimo segundo Congreso realizado en Brasil, en 2010, se enfocó en los niños, la juventud y el crimen, el tráfico de migrantes y personas, lavado de dinero y cibercrimen. Como puede evidenciarse la preocupación de las Naciones Unidas sobre el crimen y la justicia penal ha si constante durante más de 59 años. La criminalidad es algo muy preocupante en el triángulo norte de Centro América integrado por Guatemala, El Salvador y Honduras. Particularmente en Guatemala, no se habían contemplado en el marco jurídico los métodos especiales de investigación, para poder hacer frente a la delincuencia organizada, el narcotráfico, las maras y la corrupción cuyo actuar criminal afecta considerablemente las actividades cotidianas de la población. La Convención contra la Delincuencia Organizada Transnacional
267
es un tratado multilateral patrocinado por Naciones Unidas en contra del crimen organizado transnacional, fue adoptado en diciembre del año 2000. Su propósito es promover la cooperación para prevenir y combatir más eficazmente la delincuencia organizada transnacional. En vista de que hay varias definiciones de crimen organizado, la Convención definió las siguientes: a) Por “grupo delictivo organizado” se entenderá un grupo estructurado de tres o más personas que exista durante cierto tiempo y que actúe concertadamente con el propósito de cometer uno o más delitos graves o delitos tipificados con arreglo a la presente Convención con miras a obtener, directa o indirectamente, un beneficio económico u otro beneficio de orden material; b) Por “delito grave” se entenderá la conducta que constituya un delito punible con una privación de libertad máxima de al menos cuatro años o con una pena más grave; c) Por “grupo estructurado” se entenderá un grupo no formado fortuitamente para la comisión inmediata de un delito y en el que no necesariamente se haya asignado a sus miembros funciones formalmente definidas ni haya continuidad en la condición de miembro o exista una estructura desarrollada; d) Por “bienes” se entenderá los activos de cualquier tipo, corporales o incorporales, muebles o inmuebles, tangibles o intangibles, y los documentos o instrumentos legales que acrediten la propiedad u otros derechos sobre dichos activos; e) Por “producto del delito” se entenderá los bienes de cualquier índole derivados u obtenidos directa o indirectamente de la comisión de un delito; f) Por “embargo preventivo” o “incautación” se entenderá la prohibición temporal de transferir, convertir, enajenar o mover bienes, o la custodia o el control temporales de bienes por mandamiento expedido por un tribunal u otra autoridad competente; g) Por “decomiso” se entenderá la privación con carácter definitivo de bienes por decisión de un tribunal o de otra autoridad competente; h) Por “delito determinante” se entenderá todo delito del que se derive
268
un producto que pueda pasar a constituir materia de un delito definido en el artículo 6 de la presente Convención; i) Por “entrega vigilada” se entenderá la técnica consistente en dejar que remesas ilícitas o sospechosas salgan del territorio de uno o más Estados, lo atraviesen o entren en él, con el conocimiento y bajo la supervisión de sus autoridades competentes, con el fin de investigar delitos e identificar a las personas involucradas en la comisión de éstos;j) Por “organización regional de integración económica” se entenderá una organización constituida por Estados soberanos de una región determinada, a la que sus Estados miembros han transferido competencia en las cuestiones regidas por la presente Convención y que ha sido debidamente facultada, de conformidad con sus procedimientos internos, para firmar, ratificar, aceptar o aprobar la Convención o adherirse a ella; las referencias a los “Estados Parte” con arreglo a la presente Convención se aplicarán a esas organizaciones dentro de los límites de su competencia. Dentro del ámbito de aplicación, el delito será de carácter transnacional si: a) Se comete en más de un Estado; b) Se comete dentro de un solo Estado, pero una parte sustancial de su preparación, planificación, dirección o control se realiza en otro Estado; c) Se comete dentro de un solo Estado, pero entraña la participación de un grupo delictivo organizado que realiza actividades delictivas en más de un Estado; o d) Se comete en un solo Estado, pero tiene efectos sustanciales en otro Estado.
Penalización de la corrupción Cada Estado Parte adoptará las medidas legislativas y de otra índole que sean necesarias para tipificar como delito, cuando se cometan intencionalmente: a) La promesa, el ofrecimiento o la concesión a un funcionario público, directa o indirectamente, de un beneficio indebido que redunde en su propio provecho o en el de otra persona o entidad, con el fin de que dicho funcionario actúe o se abstenga de actuar en el
269
cumplimiento de sus funciones oficiales; b) La solicitud o aceptación por un funcionario público, directa o indirectamente, de un beneficio indebido que redunde en su propio provecho o en el de otra persona o entidad, con el fin de que dicho funcionario actúe o se abstenga de actuar en el cumplimiento de sus funciones oficiales.
Medidas contra la corrupción Además de las medidas previstas en el artículo 8 de la Convención, cada Estado Parte, en la medida en que proceda y sea compatible con su ordenamiento jurídico, adoptará medidas eficaces de carácter legislativo, administrativo o de otra índole para promover la integridad y para prevenir, detectar y castigar la corrupción de funcionarios públicos. Cada Estado Parte adoptará medidas encaminadas a garantizar la intervención eficaz de sus autoridades con miras a prevenir, detectar y castigar la corrupción de funcionarios públicos, incluso dotando a dichas autoridades de suficiente independencia para disuadir del ejercicio de cualquier influencia indebida en su actuación.
Decomiso e incautación Los Estados Parte adoptarán, en la medida en que lo permita su ordenamiento jurídico interno, las medidas que sean necesarias para autorizar el decomiso: a) Del producto de los delitos comprendidos en la presente Convención o de bienes cuyo valor corresponda al de dicho producto; b) De los bienes, equipo u otros instrumentos utilizados o destinados a ser utilizados en la comisión de los delitos comprendidos en la Convención. La Convención de Palermo, contempla 3 Protocolos: Protocolo para Prevenir, Reprimir y Sancionar la Trata de Personas, Especialmente Mujeres y Niños; Protocolo contra el Contrabando de Migrantes por
270
Tierra, Mar y Aire y el Protocolo contra la fabricación y el tráfico ilícito de armas de fuego. En Guatemala, existen diferentes leyes que aplican los contenidos de los protocolos, aunque no en su extensión total.
IV. Legislación Nacional Decreto número 21-2006, Ley contra la Delincuencia Organizada Aprobada por el Congreso de la República el 19 de Julio de 2006, derivada de la Iniciativa número 3488, presentada por los Representantes Carlos Waldemar Barillas Herrera, José Leopoldo Cruz Clavería, Jaime Antonio Martínez Lohayza y compañeros, el 31 de Mayo de 2006. El Dictamen del 15 de junio de 2006, emitido por la Comisión de Gobernación del Congreso, fue favorable; por lo que el pleno conoció dicha iniciativa el día 22 de junio de 2006.
La legislación en referencia tiene como objeto, naturaleza y ámbito de aplicación: “establecer las conductas delictivas atribuibles a los integrantes y/o participantes de las organizaciones criminales; el establecimiento y regulación de los métodos especiales de investigación y persecución penal así como todas aquellas medidas con el fin de prevenir, combatir, desarticular y erradicar la delincuencia organizada de conformidad y con lo dispuesto en la Constitución Política de la República, los tratados internacionales suscritos y ratificados por
271
Guatemala, y leyes ordinarias.” En la referida Ley, se adoptan las definiciones de la Convención de Palermo. La Ley contempla los delitos contenidos en las Leyes siguientes:
Ley Contra la Narcoactividad: tránsito internacional; siembra y cultivo; fabricación o transformación; comercio, tráfico y almacenamiento ilícito; promoción y fomento; facilitación de medios; alteración; expendio ilícito; receta o suministro; transacciones e inversiones ilícitas; facilitación de medios; asociaciones delictivas; procuración de impunidad o evasión; Ley contra el Lavado de Dinero u otros Activos: lavado de dinero u otros activos; Ley de Migración: ingreso ilegal de personas, tránsito ilegal de personas, transporte de ilegales;
Ley para Prevenir y Reprimir el Financiamiento del Terrorismo: financiamiento del terrorismo y trasiego de dinero;
Código Penal: e.1) Peculado, malversación, concusión, fraude, colusión y prevaricato; e.2) Evasión, cooperación en la evasión, evasión culposa; e.3) Asesinato, plagio o secuestro, hurto agravado, robo agravado, estafa, trata de personas; e.4) Terrorismo; e.5) Intermediación financiera, quiebra fraudulenta, fabricación de moneda falsa, alteración de moneda, introducción de moneda falsa o alterada;
272
Ley Contra la Defraudación y el Contrabando Aduaneros: contrabando aduanero y de la defraudación aduanera. En el Capítulo Tercero de la Ley, se tipifican los nuevos delitos siguientes: Conspiración. Asociación ilícita. Asociación ilegal de gente armada. Entrenamiento para actividades ilícitas. Uso ilegal de uniformes o insignias. Comercialización de vehículos y similares robados en el extranjero o en el territorio nacional. Obstrucción de justicia. Exacciones intimidatorias. Obstrucción extorsiva de tránsito.
Se contempla la imputabilidad a personas jurídicas y se imponen considerables multas a los responsables y a la persona jurídica y se publica en los medios de comunicación social. Agravantes Especiales y Pena Accesoria Se consideran las funciones de liderazgo dentro del grupo delictivo. La calidad de funcionario o empleado público. Si se utiliza a menores de edad y si hay relaciones de poder. Las Reglas Generales que se aplican son: Plazos. Deber de colaborar. Confidencialidad. Auditorías. Alcances de la investigación. Reserva de las actuaciones. Pruebas anticipadas de testimonios. Autorización de métodos especiales de investigación.
Métodos Especiales de Investigación Una de las novedades de la Ley, son los métodos especiales de investigación, los cuales se describen a continuación:
1. Operaciones encubiertas Se definen quienes son los Agentes encubiertos, sus facultades,
273
en qué consiste el Análisis de organización criminal. La Información inmediata y los procedimientos para la autorización, los requisitos que debe contener la solicitud de operación encubierta, la resolución, la comprobación de la información, la exención de responsabilidad y sanciones para el agente encubierto. Aspectos muy importantes como la intervención de la defensa y el control de la operación, así como, el control administrativo, el cual se asigna al Ministro de Gobernación. 2. Entregas vigiladas Se entenderá por entrega vigilada el método de investigación que permite el transporte y tránsito de remesas ilícitas o sospechosas, así como de drogas o estupefacientes y otras sustancias, materiales u objetos prohibidos o de ilícito comercio, que ingresen, circulen o salgan del país, bajo la estricta vigilancia o seguimiento de autoridades previstas en la Ley. El método se utilizará con el fin de descubrir las vías de tránsito, el modo de entrada y salida del país, el sistema de distribución y comercialización, la obtención de elementos probatorios, la identificación y procesamiento de los organizadores, transportadores, compradores, protectores y demás partícipes de las actividades ilegales. Pueden presentarse entregas vigiladas durante las operaciones encubiertas. Se forma un equipo especial de la PNC bajo la supervisión del Ministerio Público. Se determinan los requisitos para la solicitud, la competencia para la autorización; la resolución; el procedimiento para denegar la medida; quien dirige la operación; la comprobación de la información; el informe operacional; el procedimiento para documentos provenientes del extranjero; la cadena de custodia; el cese tanto de las entregas vigiladas como de las operaciones encubiertas. 3. Interceptaciones Telefónicas y otros Medios de Comunicación Interceptaciones. Consistenen interceptar, grabar y reproducir, conautorizaciónjudicial, 274
comunicaciones orales, escritas, telefónicas, radiotelefónicas, informáticas y similares que utilicen el espectro electromagnético, así como cualesquiera de otra naturaleza que en el futuro existan. Al igual que con los otros métodos, se determina la competencia para la solicitud; los requisitos de la solicitud de autorización; la necesidad e idoneidad de la medida; la competencia para la autorización; la autorización de la interceptación; el procedimiento para denegar la medida; las terminales de consulta; el control judicial de las interceptaciones; la duración de la medida; los informes sobre las interceptaciones; la transcripción de las grabaciones; el registro, conservación y archivo de la decisión judicial; la destrucción de archivos; la solicitud de prórroga; la forma de hacer constar el resultado de la interceptación; la cadena de custodia de las interceptaciones;
Responsabilidad de funcionarios o empleados públicos. Se establecen penas de prisión de seis a ocho años, así como la destitución e inhabilitación para desempeñar otro empleo, cargo o comisión pública, por el mismo plazo que la pena de prisión impuesta.
Medidas Precautorias Cuando se persiga penalmente a personas pertenecientes a grupos delictivos organizados, adicionalmente a lo establecido en el Código Procesal Penal, podrán utilizarse las siguientes medidas: 1. Arraigo. 2. Secuestro y embargo de bienes. 3. Inmovilización de cuentas bancarias y bienes inmuebles. 4. Secuestro de libros y registros contables. 5. Suspensión de las patentes y permisos que hayan sido debidamente extendidas y que hubieren sido utilizadas de cualquier forma para la comisión del hecho ilícito. 6. Medidas cautelares de bienes susceptibles
275
de comiso: a. Incautación. b. Ocupación. Disposiciones Generales de las Medidas Precautorias Se determinan las relacionadas con la Solicitud; Resolución; Ejecución de la medida y Remisión de información. Se establece el procedimiento para la declaración de extinción del derecho de propiedad, sobre bienes producto de actividades ilícitas cometidas por grupos delictivos organizados. Colaboradores En relación a los colaboradores, establece el derecho penal premial; y todas las medidas operativas y administrativas para el tema (ámbito de colaboración eficaz; beneficios por la colaboración eficaz; beneficios para otros cómplices; parámetros para otorgar beneficios; condiciones del beneficio otorgado; celebración de acuerdo con los beneficiados; diligencias previas a la celebración del acuerdo; elaboración y contenido del acta del acuerdo de colaboración; denegación del acuerdo; inicio de la persecución penal; resolución judicial sobre el acuerdo de colaboración y las obligaciones a imponer al colaborador eficaz). Medidas de Protección Se aplican a quienes en calidad de colaboradores intervengan en las investigaciones o procesos penales objeto de la Ley. Incluyen: 1. Protección policial en su residencia o su perímetro, así como la de sus familiares que puedan verse en riesgo o peligro, esta medida puede abarcar el cambio de residencia y ocultación de su paradero; 2. Preservar su lugar de residencia y la de sus familiares; 3. Previo a la primera declaración del imputado, preservar u ocultar la identidad del beneficiario y demás datos personales; 4. Después de la sentencia y siempre que exista riesgo o peligro para la vida, integridad física o libertad del beneficiado o la de sus familiares, se podrá facilitar su salida del país con una condición migratoria que
276
les permita ocuparse laboralmente. Impugnaciones En materia de impugnaciones, son aplicables a Ley, los recursos contenidos en el libro tercero del Código Procesal Penal. Con relación al Recurso de apelación, no obstante lo dispuesto en el artículo 404 del Código Procesal Penal, para los efectos de la Ley son apelables los autos que denieguen o autoricen: a) Interceptaciones de comunicaciones; b) Medidas precautorias; c) Así como el auto que aprueba o no el acuerdo de colaboración eficaz. Asimismo, para el planteamiento del recurso de apelación establecido en la presente Ley, son aplicables las normas establecidas en los artículos del Código Procesal Penal que regulan dicho recurso.
277
Conclusiones •
•
•
•
•
Indudablemente la Ley contra la Delincuencia Organizada es una herramienta que ha demostrado ser muy útil en la persecución del crimen organizado en sus diferentes manifestaciones. La novedad de la Ley son los Métodos de Investigación Especial, el más utilizado por el Ministerio Público han sido las interceptaciones telefónicas y otros medios de comunicación. Hace falta implementar las operaciones encubiertas para poder utilizar los otros dos métodos de investigación especial, es decir los agentes encubiertos y las entregas vigiladas, en conjunto con las interceptaciones telefónicas. El Ministerio Público, en los casos donde ha actuado con celeridad, ha logrado junto con el Instituto Nacional de Ciencias Forenses (INACIF), obtener las evidencias que contribuyen a una sentencia absolutoria. Hace falta una integración administrativa y operativa utilizando tecnología avanzada tanto con las autoridades policiales como judiciales de El Salvador, Honduras y México para poder diseñar y ejecutar estrategias conjuntas en la lucha contra el crimen organizado, el narcotráfico, las maras y la corrupción.
278
Recomendaciones •
•
•
•
Que se apliquen los procedimientos establecidos en la Ley contra la Delincuencia Organizada y su Reglamento respetando el debido proceso y las garantías contenidas en la Constitución Política de la República de Guatemala. La utilización de Agentes Encubiertos es muy delicado, porque si bien están exentos de la responsabilidad civil, no lo están de la responsabilidad penal (y así debe ser). Sin embargo, el problema con el crimen organizado y las maras, es que sus ritos de iniciación necesariamente incluyen realizar un hecho delictivo grave (homicidio, secuestro, etc.) antes de incorporar a un nuevo delincuente en su organización criminal. Las operaciones encubiertas con la participación de todas las Instituciones (Policía Nacional Civil, Ministerio Público, INACIF y Organismo Judicial) deben incrementarse y utilizar tecnología avanzada que permita la recopilación de medios probatorios científicos e indubitables. La comunicación, cooperación y coordinación con los países vecinos (El Salvador, Honduras y México) es imprescindible para poder combatir el crimen transnacional y debe basarse en el uso de tecnología avanzada en forma proactiva y no reactiva; utilizando la información proveniente de las Instituciones de Inteligencia civil de los 4 países en referencia.
279
Bibliografía Dickle John.
(2005). Cosa Nostra. A history of the Sicilian Mafia. Palgrave
Macmillan: New York. Booth, Martin. (2001). The Dragon Syndicates. The Global Phenomenon of the Triads. Carroll & Graf Publishers: New York.
Wagne James W., Curran Kirby Kate, Eghigian Mars, Petrenko Joseph. (2006). The Gang Book. Chicago Crime Commission. Chicago.
Franco, Celinda. (2008). Congressional Research Service. The MS-13 and 18th Street Gangs: Emerging Transnational Gang Threats?. Domestic Social Policy Division.
Celis Sánchez, Agustín. (2009). Historia del Crimen Organizado. Editorial Libsa: Madrid.
280
“El Secreto Bancario” Reyes Palencia, Franco Vinicio Magister Altos Estudios Estratégicos, Universidad Mariano Gálvez Magister En Política y Comunicación, Universidad Panamericana
281
Contenido Introducción
283
I. Secreto Bancario II. Ley III. Grupos a Favor y en Contra
285 286 287
Conclusiones Bibliografía
289 290
282
Introducción Casi todos los proyectos, ideas, aventuras empresariales han necesitado del financiamiento de alguien más, de un banco, de un inversionista, de un grupo de inversionistas. La historia de los bancos es tan antigua como la misma civilización humana. Los bancos nacen con la necesidad de realizar operaciones simples de cambio y crédito a niveles personales, y poco a poco se convirtieron en organizaciones más complejas. Así es como, a partir del siglo IV A.C. en varias ciudades griegas se constituyen bancos públicos, administrados por funcionarios especialmente destinados a esta labor. Estas instituciones, además de su rol propiamente bancario (ligado a operaciones de cambio y crédito), recaudaban impuestos y acuñaban moneda. Por su parte, en el mundo romano, en sus primeros tiempos de pueblo de agricultores, se recurre al “mutuum”, esto es, al crédito mutual. Más tarde, adoptan el modelo griego de bancos privados y públicos. En la época de Justiniano, emperador de Bizancio, en el siglo VI, se reglamentan con precisión los usos y costumbres del mundo romano en materia bancaria y se fija la tasa de interés en un 6% al año, con algunas excepciones, considerando el riesgo de las operaciones. Los préstamos marítimos, por ejemplo, pueden alcanzar al 12% al año y los acordados a las iglesias no pueden superar el 3%. Los bancos como instituciones financieras desempeñan un rol clave en el sistema económico, la estructura que componen permite la transferencia de dinero entre los ahorradores e inversores y los prestatarios. Un banco acepta depósitos para luego canalizar estos recursos y darlos en préstamo en el mercado de capitales hacia las distintas actividades económicas, Así los bancos son la tan necesaria conexión entre los individuos con déficit de capital e individuos con excedente de capital.
283
En muchos casos las empresas no se hallan en condiciones de financiar por sí mismas su desarrollo, o simplemente de hacer frente a las exigencias puntuales de liquidez con el cash-flow que generan, inclusive en condiciones normales tampoco sería conveniente que financiaran la totalidad de sus activos fijos y circulantes exclusivamente con fondos propios y con la financiación obtenida de sus proveedores. Los bancos cuando conceden prestamos afrontan un riesgo crediticio (riesgo de no recuperar el crédito) y riesgo de liquidez (vencimiento de los pasivos), riesgos de tipos de interés, fluctuaciones del tipo de cambio entre otros. Al hacer esto los bancos solucionan en problema de la no coincidencia con respecto a las inversiones (rentabilidad, riesgo y liquidez). Los bancos también fomentan el ahorro y mantienen la estabilidad monetaria. Los bancos ayudan a alcanzar la eficiencia económica, esencial para el desarrollo económico, de hecho existe una importante correlación ente el nivel de crédito bancario y el desarrollo de una economía, los países que tienen una baja penetración del sistema bancario por lo general son países en desarrollo mientras que las economías más desarrolladas cuentan con una alta presencia del sector bancario en sus actividades económicas. El acceso al crédito es de vital importancia para el dinamismo de la economía pues gracias a estos recursos es que es posible la creación de nuevos proyectos de inversión que llevan al mejoramiento de la productividad y competitividad de las empresas. Por esto es que con el acceso a los servicios financieros se puede lograr unas mejores condiciones en términos de oportunidades y bienestar de la población. Dentro del sistema financiero actual, la función de los bancos es muy importante, desde hace ya varios años tanto en otros países como en el nuestro, han surgido polémicas sobre el papel que los bancos deben de tomar como entidades de depósitos de capitales con respecto al
284
tema del secreto bancario. Si como banco están obligados a revelar información con respecto a los depósitos que tienen en sus cuentas y los titulares de dichas cuentas.
I. Secreto Bancario El secreto bancario es aquella facultad que posee una entidad financiera, frente las administraciones públicas, de no revelar los datos bancarios e información privada de sus clientes. El secreto bancario consiste en la protección que los bancos e instituciones financieras deben otorgar a la información relativa a los depósitos y captaciones de cualquier naturaleza, que reciban de sus clientes. Se entiende que esta información es parte de la privacidad de los clientes del sistema financiero. Si no existiera esta norma, cualquier persona podría solicitar en un banco, por ejemplo, información sobre los movimientos de las cuentas de una persona. Algunos gobiernos consideran el secreto bancario como uno de los instrumentos principales del mercado negro y del crimen organizado. Por contra, otros gobiernos lo equiparan al secreto médico, e instan al Estado a respetar absolutamente esa esfera privada En Guatemala, el secreto bancario esta normado en la “ley Bancos y Grupos Financieros” en el artículo 63.
285
de
II. Ley CAPITULO II CONFIDENCIALIDAD DE OPERACIONES ARTICULO 63. Confidencialidad de operaciones. Salvo las obligaciones y deberes establecidos por la normativa sobre lavado de dinero u otros activos, los directores, gerentes, representantes legales, funcionarios y empleados de los bancos, no podrán proporcionar información, bajo cualquier modalidad, a ninguna persona, individual o jurídica, pública o privada, que tienda a revelar el carácter confidencial de la identidad de los depositantes de los bancos, instituciones un grupo financiero, así como las financieras y empresas de informaciones proporcionadas por los particulares a estas entidades. Se exceptúa de la limitación a que se refiere el párrafo anterior, la información que los bancos deban proporcionar a la Junta Monetaria, al Banco de Guatemala y a la Superintendencia de Bancos, así como la información que se intercambie entre bancos e instituciones financieras. Los miembros de la Junta Monetaria y las autoridades, funcionarios y empleados del Banco de Guatemala y de la Superintendencia de Bancos no podrán revelar la información a que se refiere el presente artículo, salvo que medie orden de juez competente. La infracción a lo indicado en el presente artículo será considerada como falta grave, y motivará la inmediata remoción de los que incurran en ella, sin perjuicio de las responsabilidades civiles y penales que de tal hecho se deriven.
286
III. Grupos a Favor y en Contra Los ministros de finanzas del grupo de países ricos y emergentes del G20 alcanzaron un acuerdo en su reunión en Washington 20/04/13 sobre una medida, que aunque en apariencia técnica, podría tener consecuencias inéditas. En su comunicado final, exhortaron a la comunidad internacional a adoptar “el intercambio automático de información”
bancaria, con miras a hacerlo un estándar internacional en la lucha contra la evasión fiscal. Esto significaría que los países serían automáticamente informados si uno de sus residentes deposita dinero en el extranjero, un giro radical a lo que sucede bajo el sistema actual. En la actualidad, si dos países cuentan con un acuerdo fiscal común, se necesitan los datos detallados como el nombre de la persona, la empresa o la institución bancaria, para solicitar información sobre los sospechosos de evasión fiscal. El Comité Monetario y Financiero Internacional, instancia política del FMI, respaldó en un comunicado los esfuerzos contra la evasión fiscal, al afirmar que esta lucha es “crucial para contribuir a reforzar la resistencia presupuestaria del conjunto de los Estados miembro” del Fondo. “La única manera de atacar eficientemente la evasión fiscal es tener un mecanismo mundial que permita evitar depender de estos acuerdos entre países”, dijo Eric Lecompte, directivo de la red estadounidense Jubilee USA, quien aboga por la eliminación de la deuda. Las organizaciones no gubernamentales han exigido un intercambio de información automático desde hace años, y en los últimos tiempos los países ricos, fuertemente endeudados, han comenzado a hablar contra la evasión fiscal de los particulares, que algunas ONG cifran hasta en 25,5 billones de dólares.
287
Actualmente, hay un interés por parte del gobierno, específicamente del ministerio de Finanzas y la SAT, para implementar una ley que le dé apertura al secreto bancario pero con fines tributarios, para poder verificar si las declaraciones juradas en cuanto a los depósitos y los pagos del impuesto ISR son acordes a lo declarado. Según funcionarios del ministerio de finanzas, Guatemala no ha avanzado en la labor para cumplir con todas las exigencias de la Organización para la Cooperación y el Desarrollo Económico (OCDE), pues uno de los puntos pendientes es la apertura del secreto bancario para los aspectos tributarios y corre el riesgo de permanecer en la lista gris de países no transparentes. La ley del secreto bancario también recibe el rechazo del sector empresarial. Andrés Castillo, presidente del Comité Coordinador de Asociaciones Agrícolas, Comerciales, Industriales y Financieras (CACIF), expuso que la OCDE no pide una ley para levantar el secreto bancario, sino una ley contra el lavado de dinero, la cual el país ya posee, lo que será reforzado con los 12 convenios que se solicitan y, además, existe la ley de extinción de dominio, agregó. “El tema del secreto bancario se ha tratado de vender como que es un requisito de la OCDE, lo cual es totalmente falso, y lo que nosotros consideramos que están haciendo es buscar ese levantamiento bancario para el tema tributario, en torno al cual estamos totalmente en desacuerdo”, expuso el empresario. El desacuerdo, según Castillo, se debe a que consideran indispensable el proceso por medio de orden de juez y no a discreción de funcionarios, ya que “han existido funcionarios públicos y exsuperintendentes de administración tributaria procesados y por eso se vuelve un tema de seguridad”. De los puntos de la OCDE el país avanzó en eliminar en forma gradual las acciones al portador de sociedades anónimas y empezó a firmar convenios de intercambio de información.
288
Conclusiones La liberación del Secreto Bancario con fines de mejorar la tributación puede tener las siguientes ventajas: • • • •
Fortalecer la tributación al tener certeza del cobro del ISR. La distribución de la carga fiscal entre los contribuyentes será más equitativa. Se reduce el riesgo que Guatemala aparezca en la lista gris de la OCDE. Se obtiene otra medida de mitigación del riesgo de lavado de dinero u otros activos y financiamiento del terrorismo en el sistema financiero.
También puede tener las siguientes desventajas: • Puede crear desconfianza en los cuentahabientes del sistema financiero, creando inestabilidad. • • •
Mal uso de la información de los cuenta habientes. La información de las cuentas personales, puede ser usada como herramienta de persecución política. Puede dar lugar a recursos de inconstitucionalidad si la normativa transgrede los principios constitucionales.
289
Bibliografía Superintendencia de Bancos e Instituciones Financieras SBIF (s.f.) Obtenido de: http://www.bancafacil.cl/bancafacil
Decreto Número 19-2002, del Congreso de la República de Guatemala, Ley Contra la Delincuencia Organizada.
Prensa Libre. (2012). Minfin pide ley de secreto bancario. Obtenido de: http://www. prensalibre.com/economia/Minfin-pide-ley-secreto-bancario_0_805119487.html
Prensa Libre. (2013). G20 da nuevo paso en contra del secreto bancario. Obtenido de: http://www.prensalibre.com/economia/G20-secreto_bancarioimpulso-evasion_fiscal_0_904709676.html
290
“La Política Pública y el Principio de Transparencia” Sierra Romero, Carlos René
291
Contenido I. Estado y política pública II. El concepto de política pública III. El Principio de Transparencia IIV.La Política Pública y el Principio de Transparencia
293 295 298 302
Conclusión Bibliografía
306 307
292
I. Estado y política pública Para el análisis del tópico de la “política pública” haremos uso del trabajo de André-Noël Roth Deubel (2013, págs. 17-28), ya que entre la literatura contemporánea sobre este tema, el autor desataca por su claridad y capacidad explicativa. A continuación se exponen algunas partes de la obra del autor citado para su comentario y análisis. Desde hace varios años los libros dedicados a analizar el papel del Estado y a plantear la necesidad de transformarlo, de rediseñarlo o de modernizarlo se han multiplicado. Oszlak por ejemplo, habla de la necesidad de redefinir las fronteras entre el Estado y la sociedad. En América latina en particular, tal reflexión sobre el papel y el modo de inserción del Estado en sus sociedades aparece como de actualidad. El nuevo contexto político y económico internacional, así como las exigencias nacionales, regionales y locales para aumentar la democracia, la participación, la autonomía y para fortalecer, por ejemplo, las medidas para la protección del medio ambiente, ponen a los Estados frente a nuevos problemas. Esta nueva agenda política –que se suma a los habituales problemas de las políticas sociales y económicas de inequidad, pobreza creciente, violencia, terrorismo, corrupción e inseguridad- influye sobre el funcionamiento del Estado. Por ejemplo, la integración y la consideración de las cuestiones ambientales, por naturaleza, transversal o intersectorial, provocaron cambios institucionales importantes. En la mayoría de los países, si no en todos, la legislación sobre este tema se fortaleció y se crearon nuevas instituciones y políticas. Al mismo tiempo, los análisis del Estado se han renovado con un cambio radical de perspectiva impulsado por los enfoques promovidos desde el denominado “análisis de las políticas públicas”.
293
Como lo indican Mény y Thoenig, citados por Roth Deubel, al citar un autor estadounidense: (Ashford): “en lugar de interrogarse sobre las consecuencias de las estructuras institucionales sobre las políticas…, es preciso invertir la pregunta e interesarse por la manera como las políticas públicas aprobadas e implementadas por el Estado reflejan la distribución del poder y de las funciones en éste; de modo que las políticas públicas se vuelvan un medio para describir el comportamiento institucional y cómo sus variaciones pueden ser atribuidas a las estructuras mismas. Las políticas se convierten en un análogo de las instituciones, más que en un conjunto de decisiones más o menos eficientes, efectivas o racionales”. El análisis de las políticas públicas ofrece una renovación de los estudios para para la comprensión del Estado y de sus acciones. Un examen minucioso de las actividades estatales, en varios temas, ha sido realizado tanto en lo Estados Unidos como en Europa. Estos estudios, muy a menudo, han sacado a la luz la distancia, a veces importante, entre las intenciones iniciales del Estado o del legislador y las realizaciones concretas. De esta forma el análisis de las políticas públicas ha contribuido a ver el Estado con menos consagración o reverencia. Los aportes de la sociología de las organizaciones al análisis de las políticas públicas han incidido también de manera significativa a esta trivialización del Estado o, incluso, a su “decaimiento” como sistema de acción específico con vocación (o pretensión) de coordinar los demás sistemas de acción. El Estado es una institución que formaliza unas reglas de juego en ámbitos que pretende regular. Lo hace por medio de la promulgación de textos jurídicos, administrativos e instituciones.
294
II. El concepto de política pública Para definir el objeto o el concepto de política pública es tradicional partir de la dificultad semántica que existe en español con el término política. Es preciso señalar por lo menos tres acepciones que se encuentran cobijadas por la misma palabra y que el idioma inglés sí distingue. Primero, la política concebida como el ámbito del gobierno de las sociedades humanas, polity en inglés. Segundo, la política como la actividad de organización y lucha por el control del poder, politics en inglés. Y, finalmente, la política como designación de los propósitos y programas de las autoridades públicas, policy en inglés. Claramente, el concepto de política pública, tiene que ver en especial con la última acepción. En la literatura especializada existe una gran cantidad de definiciones del concepto de política pública. Por ejemplo, Heclo y Wildavsky, citados por Roth Deubel, han propuesto para ello una definición simple: “una política pública (policy) es una acción gubernamental dirigida hacia el logro de objetivos fuera de ella misma. Mény y Thoening, citados por Roth Deubel, proponen una definición cercana, para ellos la política pública es “la acción de las autoridades públicas en el seno de la sociedad”, luego, según los mismos autores, la política pública se transforma en un “programa de acción de una autoridad pública”. Para otro autor, Dubnick, citado por Roth Deubel, la política pública “está constituida por las acciones gubenamentales –lo que los gobiernos dicen y lo que hacen con relación a un problema o una controversia (issue). Roth Deubel, comparte con Hogwood la opinión de que una definición del concepto de política pública siempreserá subjetiva. Según Hogwood “para que una política pueda ser considerada como una política pública,
295
es preciso que en un cierto grado haya sido producida o por lo menos tratada al interior de un marco de procedimientos, de influencias y de organizaciones gubernamentales”. Más recientemente, cita Roth Deuber, Muller y Surel consideran que una política pública “designa el proceso por el cual se elaboran y se implementan programas de acción pública, es decir, dispositivos político-administrativos coordinados, en principio, alrededor de objetivos explícitos”. Manifiesta Roth Deubel que a partir de estas definiciones se puede considerar que hay cuatro elementos centrales que permiten identificar la existencia de una política pública: implicación del gobierno, percepción de problemas, definiciones de objetivos y proceso. Entonces es posible decir que una política pública existe siempre y cuando instituciones estatales asuman total o parcialmente la tarea de alcanzar objetivos estimados como deseables o necesarios, por medio de un proceso destinado a cambiar un estado de las cosas concebido como problemático. En muchas ocasiones, la respuesta a un estado de las cosas considerado problemático por parte del sistema político es consecuencia de otra política o de una política anterior. Es decir que la acción es, además, causa de nuevos problemas. Roth Deubel manifiesta su propia definición de política pública así: “un conjunto conformado por uno o varios objetivos colectivos considerados necesarios o deseables y por medio de acciones que son tratados, por lo menos parcialmente, por una institución u organización gubernamental con la finalidad de orientar el comportamiento de actores individuales o colectivos para modificar una situación percibida como insatisfactoria o problemática”. De allí se puede decir que el análisis de las políticas públicas tiene como objeto de estudio, el conjunto de dispositivos conformado por: a) los objetivos colectivos que el estado considera como deseables
296
o necesarios, incluyendo el proceso de definición y de formación de éstos; b) los medios y acciones procesados, total o parcialmente, por una institución y organización gubernamental, y; c) los resultados de esas acciones, incluyendo tanto las consecuencias deseadas como las imprevistas. En resumen, el análisis de las políticas públicas consiste en examinar una serie de objetivos, de medios y de acciones definidos por el Estado para transformar parcial o totalmente la sociedad, así como sus resultados y efectos. Manifiesta Roth Deubel que para completar y permitir la “operacionalización” de esta definición, es necesario relacionarla con un campo de aplicación. Es claro que la política pública existe sólo en la medida en que señala su campo de acción. No tiene mucho sentido hablar de la política (policy) de un Estado como tal. Su objeto tiene que ser enunciado. De manera que existe una política (pública) económica, social, exterior, etc. Mediante esta operación se admite explícitamente una distribución de la realidad en distintos campos, sectores y territorios, idealmente independientes los unos de los otros. Esta distribución revela ya de por sí, una concepción del mundo.
Finalmente, manifiesta Roth Deubel, siguiendo a Muller y Surel, es preciso señalar que la política pública no existe “naturalmente” en la realidad, sino que se trata de una construcción social y de una construcción de un objeto de investigación. Esto implica dificultades para la identificación de sus contornos exactos. Una simple observación de las acciones de las autoridades y de sus efectos muestra que la delimitación de la pertenencia de éstas a una u otra política pública es un ejercicio mucho más complejo de lo que se podría imaginar inicialmente.
297
La definición misma de la política constituye ya un tema de controversia, de debate y de lucha política para los actores políticos. De forma similar la definición, implícita o explícita, de cualquier política pública, es igualmente una decisión que no se encuentra exenta de arbitrariedad.
III. El Principio de Transparencia Como referencia bibliográfica de esta sección se utilizó la obra de Carlos A. Manfroni (1997, pág. 57ss), de la cual exponemos las partes relevantes y relacionadas con el principio de la transparencia, así como de la “Ley de acceso a la información pública comentada” de la República de Guatemala. A raíz de la adopción de los principios del Neoconstitucionalismo por parte de distintos países del mundo, las constituciones de los mismos, han adoptado cada vez más la tendencia a incorporar en los ordenamientos jurídicos mayores disposiciones que regulen sobre la transparencia, la publicidad, la democracia participativa y deliberativa. Guatemala no es la excepción al incorporar dentro de sus preceptos distintas disposiciones que desarrollan la obligación estatal de rendición de cuentas, responsabilidad, transparencia y fiscalización ciudadana. Es dentro de este contexto normativo que encuentra sustento la institución del Acceso a la Información y el Habeas Data como derechos constitucionalmente protegidos, en particular con el reconocimiento que de los mismos hacen los artículos 30 y 31 de la Constitución Política de la República. El tema de la transparencia en el manejo de la cosa pública, así como de los medios de lucha contra la corrupción cuenta además con fuentes normativas sumamente importantes, pues Guatemala es
298
suscriptora de por lo menos tres tratados y convenios internacionales en dicha materia: La Convención Interamericana Contra la Corrupción; la Convención de las Naciones Unidas Contra la Delincuencia Organizada Transnacional y; la Convención de las Naciones Unidas contra la Corrupción. La más relevante en el tema de transparencia resulta ser la Convención de las Naciones Unidas Contra la Corrupción la cual establece los preceptos siguientes: • a) Artículo 5: “Cada Estado parte, de conformidad con los principios fundamentales de su ordenamiento jurídico, formulará y aplicará o mantendrá en vigor políticas coordinadas y eficaces contra la corrupción que promuevan la participación de la sociedad y reflejen los principios del imperio de la ley, la debida gestión de los asuntos públicos y los bienes públicos, la integridad, la transparencia y la obligación de rendir cuentas…”. •
•
•
b) Artículo 8: “Con el objeto de combatir la corrupción, cada Estado Parte, de conformidad con los principios fundamentales de su ordenamiento jurídico, promoverá, entre otras cosas, la integridad, la honestidad y la responsabilidad entre sus funcionarios públicos…”. c) Artículo 9: “…Cada Estado Parte, de conformidad con los principios fundamentales de su ordenamiento jurídico, adoptará medidas apropiadas para promover la transparencia y la obligación de rendir cuentas en la gestión de la hacienda pública…”. d) Artículo 13: “Cada Estado Parte adoptará medidas adecuadas, dentro de los medios de que disponga y de conformidad con los principios fundamentales de su derecho interno, para fomentar la participación activa de personas y grupos que no pertenezcan al sector público, como la sociedad civil, las organizaciones no gubernamentales y las organizaciones con base en la comunidad, en la prevención y la lucha contra la corrupción, y para sensibilizar a la opinión pública con respecto a la existencia, las causas y la gravedad
299
de la corrupción, así como a la amenaza que ésta representa. Esa participación debería reforzarse con medidas como las siguientes: a) Aumentar la transparencia y promover la contribución de la ciudadanía a los procesos de adopción de decisiones; b) Garantizar el acceso eficaz del público a la información; c) Realizar actividades de información pública para fomentar la intransigencia con la corrupción, así como programas de educación pública, incluidos programas escolares y universitarios; d) Respetar, promover y proteger la libertad de buscar, recibir, publicar y difundir información relativa a la corrupción. Esa libertad podrá estar sujeta a ciertas restricciones, que deberán estar expresamente fijadas por la ley y ser necesarias para: i) Garantizar el respeto de los derechos o reputación de terceros; ii) Salvaguardar la seguridad nacional, el orden público, o la salud o la moral públicas…”. En el referido contexto normativo, se ha reafirmado la idea de que el derecho humano a la información constituye uno de los pilares fundamentales del desarrollo del Estado Democrático de Derecho, consolidándose además como un instrumento útil en el desarrollo de las relaciones internacionales. Confundamento en la Constitución y las convenciones mencionadas, el Estado de Guatemala, ha dado un paso sumamente importante con la emisión de la Ley de Acceso a la Información Pública, pero tiene ante sí una tarea sumamente ardua, crear una conciencia popular respecto de la transparencia e incorporar principios de la democracia participativa en un país con altos índices de analfabetismo y abstencionismo electoral. Los ámbitos propios de la democracia participativa y deliberativa exceden el marco normativo relativo al derecho de acceso a la información pública, constituyen verdaderos campos de gestión ciudadana que el Estado se encuentra obligado a promover con el objeto de consolidar un verdadero Estado Democrático de Derecho.
300
El Estado de Guatemala, ha brindado una importante muestra de su voluntad política de avanzar en materia de políticas de transparencia con la emisión de distintas disposiciones normativas, en especial el Decreto 57-2008 del Congreso de la República, que desarrolla el contenido de tan importante derecho fundamental, como es el de tener acceso a la gestión pública, así como a todos los datos que consten en poder de personas que manejen o ejecuten fondos públicos, consistiendo ahora la tarea en hacer efectivos dichos preceptos y conseguir la efectiva participación en la administración pública del pueblo, que conforme el contenido del artículo 141 de la Constitución Política de la República, es el soberano. El artículo 3 de la Ley de Acceso a la Información Pública, constituye normativamente varios principios, entre ellos, el principio de transparencia. A continuación se cita literalmente el artículo 3 de la Ley y se explica el significado interpretativo del principio de transparencia: Artículo 3. Principios. Esta ley se basa en los principios de: 1. Máxima publicidad; 2. Transparencia en el manejo y ejecución de los recursos públicos y actos de la administración pública; 3. Gratuidad en el acceso a la información pública; 4. Sencillez y celeridad de procedimiento. El artículo 3 de la Ley, establece una incorporación por referencia, de los principios que fundamentan la misma, no implicando necesariamente que de su interpretación no puedan surgir principios implícitos, en concordancia con la semántica de la Ley. Los principios constituyen guías interpretativas, mandatos de optimización, a la luz de los cuales deben interpretarse las disposiciones legales, teniendo además un valor expreso en el momento en que nos encontramos ante una disposición que no resulte clara en cuanto a su sentido y alcance. 301
La Ley taxativamente establece el principio de transparencia como guía interpretativa del contenido de su contexto: Transparencia en el manejo y ejecución de los recursos públicos y actos de la administración pública: Este principio se deduce del principio de Máxima Publicidad. Se refiere a las decisiones y procesos asumidos por el Estado que dotan de contenido sustantivo a los principios democráticos de responsabilidad, publicidad e inclusión en la agenda gubernamental, con la finalidad de eliminar la asimetría en la información de la acción pública y de vincular las decisiones tomadas por los órganos gubernamentales a la exigencia de este principio.
IV. La Política Pública y el Principio de Transparencia Para esta sección, se ha utilizado el ensayo del autor Pablo Larrañaga (2008, págs. 49-80), el cual se comentará y analizará, en las partes relacionadas con el principio de transparencia.
A. El principio de transparencia y la política pública Uno de los objetivos de las reformas del Estado en algunos países, es la constitucionalización de la transparencia como principio de la gestión pública y, consecuentemente, señalar en que pueden consistir algunos de los desarrollos institucionales y normativos pendientes para su plena realización. Es de importancia particular, la caracterización como “pública” de toda información en posesión de cualquier autoridad, entidad, y organismo estatal y municipal, no solo como el correlato de un derecho fundamental a la información pública, sino como una fórmula o instrumento para mejorar el ejercicio de la administración pública o,
302
para ser más precisos, como un elemento de la forma contemporánea de un gobierno democrático, donde se incluye no solo el ejercicio de los poderes públicos, sino el conjunto de instituciones y procesos identificados por el concepto de gobernanza. En ese sentido, se trata de una aproximación general a la cuestión del papel de la transparencia en una sociedad democrática, que pone énfasis, en la medida en que es previsible, que los estándares de transparencia constituyen un avance en el proceso de democratización del país. Existen tres dimensiones que caracterizan a un “gobierno abierto”, que complementan el acceso a la información y están vinculadas con: 1) la transparencia de las acciones y responsabilidades administrativas, que trata de la aptitud de la administración de hacerse conocer y de dar explicaciones por su actuación; 2) la transparencia organizacional, consistente en el conocimiento de las organizaciones y de su funcionamiento, de sus procesos, reglas y criterios de decisión con objeto de mostrar no solo sus productos institucionales, sino como se generan tales productos, y por último; 3) la transparencia de gestión de los recursos públicos, que se refiere al origen, la conservación y utilización de los recursos bien bajo control de las organizaciones públicas, bien destinados para su operación.
B. Las funciones del principio de transparencia y los objetivos de la función pública 1. Transparencia y responsabilidad La transparencia se vincula con dos dimensiones de la responsabilidad: la obligación de dar cuentas o razones de la acción pública, por un lado, y la susceptibilidad de ser sancionable en el caso de desviaciones respecto de los estándares normativos de la función pública por otro.
303
La primera dimensión se vincula particularmente con las políticas de promoción de la deliberación como forma de gobierno y de refuerzo del control de las instituciones mediante mecanismos directos e indirectos (Checks and balances), mientras que la segunda vertiente de la responsabilidad se relaciona centralmente con la política de lucha contra la corrupción. Respecto de la primera vertiente de exigencia de responsabilidades mediante el robustecimiento de procesos de deliberación democrática, resulta oportuno, a su vez, distinguir dos líneas fundamentales de incidencia de la transparencia: la responsabilidad vertical (gobierno --> ciudadano) y la responsabilidad horizontal (gobierno gobierno) respecto de la acción pública. Por parte de la línea de responsabilidad horizontal la incidencia de la transparencia se enfoca fundamentalmente en las condiciones para que una instancia pública responda frente a otra, y frente a otras instancias públicas. En este sentido, puede decirse que en un sistema político democrático la responsabilidad horizontal es, en principio, una forma indirecta de la responsabilidad vertical. No obstante, cuando se habla de la línea de responsabilidad horizontal, se hace referencia a la noción asentada y extendida, aunque también contestada, en la ciencia política contemporánea, como la existencia de agencias estatales con competencias y poderes, y fácticamente dispuestas y capaces, de emprender acciones, que van desde la supervisión rutinaria hasta la sanción penal o la destitución, en relación con las acciones u omisiones de otros agentes o agencias del Estado que pueden calificarse como ilegales.
304
2. Transparencia y eficacia El núcleo normativo de las reformas de la administración pública exigidas por el nuevo paradigma de gestión pública no incluye solo transformaciones en el eje de la recuperación del ciudadano como agente central en la deliberación pública, sino que también conlleva la necesidad de desarrollar una dimensión gerencial en la gestión pública centrada en el principio democrático de efectividad de la acción pública en virtud de la satisfacción de los intereses de los gobernados. Para lograr ese resultado, además de recuperar la centralidad del ciudadano como eje de las decisiones públicas, es imprescindible la superación de la visión internalista de la administración desde una óptica gerencial de la gestión pública. La transparencia respecto de los procesos de despliegue de cualquier política pública depende, a su vez, de la transparencia respecto del contenido de por lo menos, las siguientes reglas: a) Reglas sobre los límites o argumentos respecto de quienes deben estar involucrados en la decisión; b) Reglas sobre el alcance o argumentos respecto del alcance de la medida; c) Reglas o argumentos sobre las posiciones; d) Reglas sobre la autoridad y el procedimiento o argumentos respecto de quién y cómo decide; e) Reglas de información o argumentos acerca de la gestión de las instituciones y; f) Reglas de agregación o argumentos acerca de la participación.
Estas reglas expuestas de manera enunciativa pero no limitativa, se refieren centralmente a las aportaciones de la transparencia en un gobierno democrático desde la perspectiva de la teoría o filosofía
305
política, los argumentos o razones se refieren a la posibilidad de que los procesos de decisión pública reflejen variables de evaluación de la formulación de políticas públicas que se han formulado en otros términos. La transparencia es un elemento imprescindible para la focalización efectiva de las políticas públicas en los problemas sociales, y ésta, a su vez, es una condición necesaria para su legitimidad democrática.
Conclusión Hemos visto que en las últimas décadas ha tenido lugar una profunda transformación en la concepción de la gestión pública que, con objeto de hacer frente a una idea exigente de la legitimidad en la que se sustanciarán los principios de mayoría, de legalidad y de efectividad, ha tenido como consecuencia una política generalizada de reforma de las administraciones públicas, sobre una vertiente pública centradas en la realización de los valores del Estado de derecho, y una vertiente gerencial centrada en la gestión estratégica de los asuntos públicos. En este entorno teórico, institucional y normativo, el principio de transparencia aparece como un instrumento fundamental para democratizar los procesos de gobierno o de gobernanza. Un buen gobierno implica dos cosas: primero, fidelidad a su objeto, que es el bienestar del pueblo; segundo, un conocimiento de los medios que permitan mejor alcanzar ese objeto. Algunos gobiernos carecen de ambas cualidades y casi todos de la primera. Se puede afirmar que en los gobiernos del continente americano, se ha prestado muy poca atención a la segunda.
306
Bibliografía Larrañaga, Pablo. (2008). La Política Pública del Principio de Transparencia.
Panorama para una Agenda Pendiente. Instituto Federal de Acceso a la Información Pública - UNAM: México D.F.
Manfroni, Carlos A. (1997). La Convención Interamericana Contra La Corrupción. Anotada Y Comentada. Editorial Abeledo-Perrot: Buenos Aires.
Roth Deubel, André-Noël. (2013). Políticas Públicas. Formulación, implementación y evaluación. Ediciones Aurora: Bogotá.
Constitución Política de la República de Guatemala. Decreto número 57-2008, Ley de Acceso a la Información Pública comentada, de la República de Guatemala.
307
“La Protección de la Información Fiscal” Santizo Herrera, William Rolando Maestría en Alto Estudios Estratégicos, con especialidad en Seguridad y Defensa Universidad Mariano Gálvez
308
Contenido Introducción
310
I. Información Fiscal II. Lineamientos generales del proceso de protección de Información Fiscal III. Actores del proceso IV. Criterios de protección de información fiscal
311
V. INFORNET: La muerte civil
312 313 315 323
Conclusiones Bibliografía
325 326
309
Introducción En el presente ensayo se exponen las medidas que deben existir para que se logre una adecuada protección de la Información Fiscal de personas individuales y jurídicas. En el Capítulo I, Información Fiscal se define qué es lo que se entiende por la misma, usando como marco de referencia la legislación guatemalteca en materia de imposición tributaria. En el primer apartado, Lineamientos generales del proceso de Protección de Información Fiscal, se expone lo amplio del proceso, es decir las líneas guías que determinarán los aspectos específicos en materia de criterios y actores. En el segundo apartado, Actores, se exponen con detalle los entes que conforman el proceso de Protección de la Información Fiscal, explicando a fondo las características del Depositario, Receptor y el Ente Regulador. En el tercer apartado, Criterios de Protección de la Información Fiscal, los mismos fueron divididos en Clasificación, Resguardo, Disponibilidad, Actualización, Exclusividad, Confidencialidad, Encriptación, Criterios Claros, Supervisión y Deducción de Responsabilidades. En el cuarto apartado, INFORNET. La muerte civil, se explica como la existencia de una empresa de ese tipo violenta todo criterio de Protección de la Información Fiscal y cómo eso afecta a los guatemaltecos. Por último, se presentan las Conclusiones.
310
I. Información Fiscal Es difícil definir la información fiscal, en tanto la misma se ve vinculada a gran cantidad de procesos económicos que varían dentro de cada Estado donde la misma sea analizada. La información fiscal bien podría ser símil de la información financiera, en tanto esta se define como: “Conjunto de datos emitidos en relación con las actividades derivadas de la gestión de los recursos financieros asignados a una sociedad. Muestra la relación entre los derechos y obligaciones de la misma, su composición y las variaciones de su patrimonio neto a lo largo de un periodo o en un momento determinado.” (portal.lacaixa.es, s.f.) Sin embargo la definición anterior carece del elementodefiscalización, acción llevada a cabo por entidades estatales o internacionales y en tanto, “la legislación tributaria guatemalteca se basa en el principio de territorialidad. Con pocas excepciones, principalmente relacionadas con las retenciones en origen, casi todos los impuestos son aplicables a las actividades llevadas a cabo en el territorio guatemalteco. La Constitución Política de la República de Guatemala otorga la potestad tributaria al Congreso de la República. Esto proporciona la certeza de que ningún organismo gubernamental puede imponer cargas fiscales sobre el sector privado.” (Deloitte, 2013, pág. 7) Detal manera que como parte del ejercicio académico, es mejor tratar de construir la definición de información Fiscal nosotros mismos, dado que por lo abstracto y específico del tema, puede resultar complicado basarse únicamente en legislación o ejemplos del extranjero. Entonces, con fines de simplificar se afirma que, la información fiscal se define como aquella información de carácter monetario o inmobiliario, la cual puede ser objeto de imposiciones o deducciones fiscales. Esto incluye la rama bancaria, financiera y de seguros.
311
II. Lineamientos generales del proceso de protección de Información Fiscal La protección de la información fiscal es de suma importancia en el mundo moderno en tanto el fenómeno criminal evoluciona y se perfecciona cada día más. Es común escuchar de ataques informáticos o hackers que roban y venden datos de las personas. A esto se suma “la creciente voracidad de las Administraciones y algunos casos de grandes empresas privadas sobre el acceso a las parcelas más reservadas de los ciudadanos, justificada, en cierto modo, con las necesidades para un funcionamiento eficaz de las mismas; existe una tendencia cada más firme a preservar esa intimidad.” (Del Peso, 2000, pág. 8) El proceso de protección de Información Fiscal cuenta de varias partes, procesos y actores. Pero a criterio de quien esto escribe los lineamientos deben ser generales para tratar de abarcar lo más extensivo del asunto y de esta manera no perderse en asuntos particulares dado que para tales fines existen disposiciones y/o criterios específicos. Tales lineamientos generales son bien explicados por la Organización para la Cooperación y Desarrollo Económico (OCDE), en tanto la protección de la información se vincula plenamente con la confidencialidad. Los cuatro enunciados siguientes son un buen ejemplo de las líneas guías que hilan la protección de la Información Fiscal, en tanto de cada una de ellas pueden desprenderse aspectos múltiples y concretos para alcanzar el fin propuesto.
312
“La confidencialidad cubre la información ofrecida por una petición así como aquella información recibida como respuesta a una petición. Para garantizar la confidencialidad se aplicantanto las disposiciones de los convenios como las leyes nacionales. La información intercambiada solo podrá ser utilizada para los fines especificados. La información intercambiada solo podrá ser revelada a las personas que se especifiquen.” (OCD, 2014, pág. 7) Habiendo expuesto la generalidad del proceso es posible situarse dentro de aspectos concretos.
III. Actores del proceso Cuando se trata el tema de la protección a la información fiscal son varias las partes fundamentales, dado que el proceso demanda la actividad de varios actores; entre estos tenemos:
Depositario de la información: Se refiere a la persona individual o jurídica que posee información de tipo monetario o inmobiliario, la cual debe estar a buen resguardo dado que contiene datos confidenciales que únicamente dicha persona debe ser capaz de conocer, en tanto son reveladores de su patrimonio, activos, créditos, deudas y similares. El depositario de la información, “deposita” la misma en alguna institución de tipo bancario, de seguros o Estatal a sabiendas que la misma es necesaria para algún trámite y delega la responsabilidad de protección de información a dicha instancia.
313
Receptor de la información Será aquella entidad a la cual el depositario confiere su información de manera voluntaria, en tanto la misma es requerida para llevar a cabo alguna diligencia, negocio o contrato que requiere garantías fiscales que aseguren que sea llevado exitosamente y sin riesgos para ninguna de las partes. Este receptor será una persona jurídica que presta bienes o servicios, debidamente registrado y capaz de cumplir con los criterios de protección de información fiscal requeridos. A manera de ejemplo, los receptores pueden ser bancos, aseguradoras, inmobiliarias y toda aquella entidad que requiera información detallada de bienes, activos y patrimonio de una persona previo a llevar a cabo un negocio.
Ente Regulador En el caso de Guatemala, la entidad encargada de proteger la información bancaria financiera y de seguros es: la Superintendencia de Bancos SIB, la cual únicamente puede proporcionar información fiscal mediante requerimiento de un Juzgado o del Ministerio Publico. Conviene hacer esta aclaración pues a su vez, la entidad encargada de proteger la de tipo tributaria es la Superintendencia de Administración Tributaria SAT. Esto se explica claramente en el artículo 30 del Código Tributario, el cual indica: Información Respecto de Terceros: En ejercicio de su función de fiscalización, la Administración Tributaria podrá requerir directamente de cualquier entidad o persona, ya sea individual o jurídica, incluyendo las instituciones vigiladas e inspeccionadas por la Superintendencia de Bancos, información referente a actos, contratos u otros hechos o relaciones mercantiles con terceros, generadores de tributos, siempre
314
que no se viole la garantía de confidencialidad establecida en la Constitución Política de la República y las leyes especiales, el secreto profesional y lo dispuesto en este Código. Las informaciones de personas Individuales o Jurídicas obtenidas por la Administración Tributaria en el ejercicio de su función de fiscalización a que se refieren las literales a) e i) del artículo 3 de la Ley Orgánica de la Superintendencia de Administración Tributaria, Decreto Número 1-98 del Congreso de la República, serán estrictamente confidenciales, por considerarse suministrados bajo garantía de confidencialidad.
IV. Criterios de protección de información fiscal Los criterios de protección de información fiscal serán aquellas categorías en las cuales se subdividen las varias maneras de proteger los datos de las personas. Dichas categorías son complementarias entre sí y constituyen una manera de preservar la información haciéndola disponible al mismo tiempo para que sirvan sus propósitos originarios.
Clasificación Si bien toda la información fiscal es importante, no toda posee la misma importancia por lo cual clasificarla adecuadamente por niveles permite encausar mejor los esfuerzos destinados a su protección. De tal manera que: “la clasificación de la información debe utilizarse para facilitar la seguridad de los recursos y los datos. Si es utilizada adecuadamente puede contemplarse como un medio para comunicar a todos los usuarios que requiere cada uno de los datos.” (Del Peso, 2000, pág. 31)
315
Resguardo La información de tipo fiscal debe contar con mecanismos de resguardo que impidan su destrucción, duplicación, publicación y corrupción de datos. Esto se refiere a archivos de tipo físico y electrónico. De tal manera que es necesaria una infraestructura física o electrónica que mantenga a resguardo los archivos mencionados, libres de desastres naturales o antropogénicos. Conviene mencionar que, “los ordenadores están expuestos a todo tipo de fallos, sabotajes, robos, espionaje industrial, desastres naturales y errores nuestros.” (García, s.f., pág. 8) La condición de resguardo es valedera y funcional cuando los mismos archivos son duplicados oficialmente a través de medios físicos o electrónicos para que los mismos estén disponibles en todo momento, cumpliendo con requerimientos de distancia entre unos y otros, de tal manera que un desastre no los afecte.
Exclusividad La exclusividad de estos archivos se refiere a qué tipo de personas o instituciones serán capaces de accesar a los mismos. Al hablar de acceso se refiere a niveles de exclusividad de datos, días y horas en los que los mismos serán consultados, manteniendo un riguroso archivo sobre quienes consultaron determinado archivo y con qué fin. La exclusividad también se refiere al diseño de procedimientos que permitan verificar la razón por la cual fue consultada la información, es decir si se trató de un control interno o una solicitud del Estado por medio de los canales legales correspondientes.
316
Confidencialidad El criterio de confidencialidad se desprende de la Ley de Acceso a la Información Pública, la cual en su Artículo 9 indica: “Información confidencial: Es toda información en poder de los sujetos obligados que por mandato constitucional, o disposición expresa de una ley tenga acceso restringido, o haya sido entregada por personas individuales o jurídicas bajo garantía de confidencialidad”. De tal manera que habiendo definido la información fiscal, la misma pertenece a la caracterización de confidencial en tanto el Artículo 22 de la Ley de Acceso a la Información Pública determina: “Información confidencial. Para los efectos de esta ley se considera información confidencial la siguiente: 1. La expresamente definida en el artículo veinticuatro de la Constitución Política de la República de Guatemala; 2. La expresamente definida como confidencial en la Ley de Bancos y Grupos Financieros; 3. La información calificada como secreto profesional; 4. La que por disposición expresa de una ley sea considerada como confidencial; 5. Los datos sensibles o personales sensibles, que solo podrán ser conocidos por el titular del derecho; 6. La información de particulares recibida por el sujeto obligado bajo garantía de confidencia. De tal manera que la información de tipo fiscal se considera como confidencial por las razones anteriormente expuestas, y debe ser protegida con altos estándares de seguridad, para garantizar que no caiga en manos equivocadas.
317
Disponibilidad Al hablar de disponibilidad como criterio de protección de información, nos referimos a que si la información está resguardada por demasiados mecanismos de protección, física, electrónica y legal, la misma carece de sentido tanto para sus depositarios como para las autoridades que con mandato legal pudiesen requerirla. En líneas simples, “la disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. A groso modo, la disponibilidad es el acceso a la información y a los sistemas por personas autorizadas en el momento que así lo requieran”. (coroneit.com, s.f.) El criterio de disponibilidad debe ser sopesado con mucho cuidado, dado que si existen mecanismos que permitan accesar a la información fiscal de manera rápida, legal y confidencial; es posible ahorrar muchas complicaciones a las partes interesadas y así se evita caer en vicios burocráticos que resulten en perjuicio del depositario interesado o del Estado cuando se lleven a cabo diligencias legales. Actualización La actualización de la información es un proceso complejo en el cual intervendrán varias partes. El depositario de la información, entidades Estatales, bancarias o de seguros así como el ente de resguardo de la información. Es imperativo que la información sea actualizada en tiempo real cuando se trate de información electrónica, y que exista un tiempo prudencial corto cuando se trate de archivos físicos, que deberán tener un respaldo electrónico. Que la información sea actualizada es un elemento tan importante como los demás en tanto que la información que no se encuentre al día no representa ninguna ventaja para su depositario o entidades estatales.
318
de • • • • •
En este caso, las entidades que se ven vinculadas a la información tipo fiscal son: El Registro Mercantil, La Superintendencia de Bancos, La Superintendencia de Administración Tributaria, El Registro de la Propiedad y El Ministerio de Finanzas Públicas.
Encriptación Aunque este criterio de seguridad aplica únicamente para los datos de tipo electrónico, se debe tener en cuenta que dicha información es susceptible de ser copiada, borrada, alterada y manipulada sin que quien lo haga esté físicamente presente. De tal manera que es necesario encriptar la información fiscal para que la misma no sea empleada con fines ilegales. Debe tenerse en cuenta que la encriptación es un: “proceso de transformación de un texto denominado plano para convertirlo a una forma que no pueda ser leída por alguien que no tenga los mismos mecanismos utilizados para llevar a cabo la encriptación. El texto transformado recibe el nombre de texto cifrado. Existe una gran cantidad de algoritmos que se pueden utilizar para llevar a cabo este proceso.” (Diccionario de Internet, 2002)
Criterios Claros El problema que se sucede con la información reservada, confidencial o secreta de tipo fiscal, resulta saber y ser capaz de explicar cuál está sujeta a determinado criterio, de tal manera que sus depositarios como los receptores de información, no incurran en anomalías o ilegalidades por no saber discriminar los diferentes tipos de información.
319
Si bien es cierto que para tales usos existe un aparataje legal, el mismo no resulta suficientemente claro o se corre el riesgo de perderse en la “letra pequeña” de cláusulas leoninas. Esto no es algo común únicamente a Guatemala, en tanto hablar de información fiscal suele ser un tema escabroso, en tanto la palabra información suele emplearse en demasiados ámbitos, al tiempo que el término fiscal puede ser confundido con demasiada facilidad. Lógicamente al referirnos al tema de la protección de la información fiscal, en primer término hemos de aproximarnos a la normativa sobre información en general. La cual por cierto no es un tema amplio, sino bastante extenso abarcando aspectos legales y económicos. Previo a abordar el problema en sí, conviene delimitar lo que sucede cuando se intenta dimensionar la problemática de información fiscal. “El ciudadano tiene una doble interacción con la información que le puede hacer accesible una ley o un grupo de leyes de acceso a la información. Por un lado, quien puede ignorar el complejo universo de normas jurídicas en el ámbito administrativo (educativo, fiscal, etcétera.) que el ciudadano tiene frente a si y no saber qué hacer con ellas, cómo le pueden beneficiar o cómo por el contrario puede ser afectado. El hecho de que las disposiciones en cuestión sean publicadas en el Diario Oficial de la Federación (o en el correspondiente de los estados) no significa que la población se encuentre informada, por dos razones: porque casi nadie compra regularmente el Diario Oficial y porque incluso adquiriéndolo no es fácil traducir el lenguaje normativo al lenguaje coloquial, ni correlacionar los alcances, límites y excepciones de las normas de referencia… De ahí la importancia de contar con normas jurídicas qué garanticen el derecho de acceso a la información pública.” (Villanueva, 2002, Pág.25)
320
Supervisión y Deducción de Responsabilidades Los criterios expuestos con anterioridad sirven como una serie de categorías sobre la manera como debe ser llevado a cabo el proceso de protección de Información Fiscal. Sin embargo, de nada sirven sino existe una entidad encargada de supervisar el proceso así como de deducir responsabilidades materiales e intelectuales de las acciones llevadas a cabo por los varios actores implicados en el proceso. Al mencionar a los actores, nos referimos a una manera de expandir el universo de búsqueda de los receptores de la información, en tanto que estos serán agencias bancarias y aseguradoras que en muchas ocasiones subcontratan empresas que les servirán de digitadoras, cobros, promociones, y otras actividades que se vinculan a la información fiscal, que los depositarios entregan a los bancos y aseguradoras. Con el fin de evitar fraudes y otras actividades criminales, es necesario que se lleven a cabo minuciosas supervisiones, con el fin de que la información depositada voluntaria, no se vea violentada y así no se afecte a personas individuales, jurídicas y la legitimidad del sistema. Dicha supervisión y deducción de responsabilidades se encuentra planteada en el Código Tributario el cual expone Artículo 101. Confidencialidad: “Es punible revelar el monto de los impuestos pagados, utilidades, pérdidas, costos y cualquier otro dato referente a las contabilidades revisadas a personas individuales o jurídicas. Los documentos o informaciones obtenidas con violación de este artículo, no producen fe, ni hacen prueba en juicio. Los funcionarios y empleados públicos que intervengan en la aplicación, recaudación, fiscalización y control de tributos, sólo pueden revelar dichas informaciones a sus superiores jerárquicos o a requerimiento de los tribunales de justicia, siempre que en ambos casos se trate de problemas vinculados con la administración, fiscalización y percepción de los tributos. 321
La Administración Tributaria podrá hacer público, el nombre completo y el Número de Identificación Tributaria de los contribuyentes o responsables Inscritos en el Registro Tributario Unificado, cuyos adeudos tributarios se estén reclamando por la vía judicial, así como las denuncias presentadas al Ministerio Público u órganos jurisdiccionales en contra de los presuntos responsables de la comisión de delitos y faltas contra el régimen jurídico tributario y aduanero, guatemalteco dado que las denuncias y los procesos que se tramitan en el ámbito jurisdiccional, y ante el Ministerio Público, son de carácter público”. A la vez, el Código de Comercio en el Articulo 295 indica: “Obligaciones: Los corredores están obligados a guardar secreto en todo lo que concierne a los negocios que se les encargue, a menos que por disposición de la ley, por la naturaleza de las operaciones o por el consentimiento de los interesados, puedan o deban dar a conocer los nombres de éstos. Esto se ve Respaldado por la Ley de Bancos y Grupos Financieros, la cual indica en sus artículos: “Artículo 28. Supervisión consolidada. Supervisión consolidada es la vigilancia e inspección que realiza la Superintendencia de Bancos sobre un grupo financiero, con el objeto de que las entidades que conformen el mismo, adecuen sus actividades y funcionamiento a las normas legales, reglamentarias y otras disposiciones que le sean aplicables, y los riesgos que asumen las empresas de dicho grupo, que puedan afectar al banco, sean evaluados y controlados sobre una base por empresa y global. Para estos efectos, la Superintendencia de Bancos tendrá acceso a la información de operaciones y actividades del grupo financiero, sobre una base por empresa y consolidada, resguardando la identidad de los depositantes e inversionistas conforme a lo establecido en la presente Ley.
322
Artículo 63. Confidencialidad de operaciones. Salvo las obligaciones y deberes establecidos por la normativa sobre lavado de dinero u otros activos, los directores, gerentes, representantes legales, funcionarios y empleados de los bancos, no podrán proporcionar información, bajo cualquier modalidad, a ninguna persona, individual o jurídica, pública o privada, que tienda a revelar el carácter confidencial de la identidad de los depositantes de los bancos, instituciones financieras y empresas de un grupo financiero, así como las informaciones proporcionadas por los particulares a estas entidades. Se exceptúa de la limitación a que se refiere el párrafo anterior, la información que los bancos deban proporcionar a la Junta Monetaria, al Banco de Guatemala y a la Superintendencia de Bancos, así como la información que se intercambie entre bancos e instituciones financieras. Los miembros de la Junta Monetaria y las autoridades, funcionarios y empleados del Banco de Guatemala y de la Superintendencia de Bancos no podrán revelar la información a que se refiere el presente artículo, salvo que medie orden de juez competente. La infracción a lo indicado en el presente artículo será considerada como falta grave, y motivará la inmediata remoción de los que incurran en ella, sin perjuicio de las responsabilidades civiles y penales que de tal hecho se deriven.”
V.
INFORNET: La muerte civil
En Guatemala existe una empresa denominada Informes en Red (INFORNET), la cual puede ser contratada para investigar a personas particulares, con el fin de obtener referencias crediticias, de crédito, deudas y demás información fiscal sensible. Revisando una ficha de ejemplo de INFORNET se encuentra información sobre una persona como Numero de NIT, fecha de nacimiento, pasaporte, profesión,
323
colegiado, licencia de conducir, domicilio y demás información de carácter reservado, la cual podía ser vendida sin consecuencia alguna por menos de 5 dólares por persona investigada. Dicha empresa viola flagrantemente cualquier criterio legal de protección de información fiscal. Cuando a un posible empleador se le presentan malas referencias crediticias o deudas pendientes, prefiere no contratar a la persona lo cual deriva en una “muerte civil”, porque las personas no pueden ser contratadas. Al “no tener empleos están condenados a no obtener recursos para solventar sus problemas financieros.” (diariodigital.gt, 2014) Esto perpetúa el ciclo de desempleo, dado que a las personas no se les contrata porque tienen deudas, las cuales no pueden pagar porque no tienen empleo y así sucesivamente. A esto debe sumarse que los intereses por las deudas siguen creciendo. Recientemente INFORNET y dos empresas se les prohibió vender datos, dado que “En sentencia emitida por el Juzgado Undécimo de Primera Instancia Civil, constituido en Tribunal de Amparo, el pasado 24 de junio se prohibió a tres empresas de recolección de datos recopilar, difundir y vender su información a otras entidades.” (diariodigital.gt, 2014) Sin embargo el daño ya estaba hecho, miles de guatemaltecos fueron afectados por dicha actividad y tal sentencia tampoco indicaba que la información fiscal de estas personas debería ser destruida. Tampoco se deducían responsabilidades legales por incurrir en tales ilegalidades. La historia de ilegalidades de INFORNET se venía procesando desde hacía años, donde por ejemplo, “Infornet comercializa datos personales sobre bienes inmobiliarios, cuentas bancarias, tarjetas de crédito, familiares, ocupación, teléfonos, direcciones y otros… al menos ocho millones de afectados desconocen que son parte de esa
324
base de datos, los cuales son vendidos a cualquier persona o empresa y podrían servirle a la delincuencia.” (Prensa Libre, 2014) Resulta totalmente ilegal e inaceptable que una empresa de este tipo pueda existir contando Guatemala con un aparataje legal existente y con específicamente una Ley de Información Pública.
Conclusiones •
•
•
La protección de la información fiscal es de vital importancia para garantizar la integridad, seguridad y bienestar de las personas individuales y jurídicas. Si bien es cierto que se cuenta con un andamiaje legal, aun es necesario que a nivel nacional se presenten estrategias y metodologías concretas, las cuales deben estar reguladas por estándares nacionales como la norma ISO/IEC 27001, la cual ayuda al cumplimiento de leyes y normativas. En este sentido se incluyen, entre otras, la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE), Propiedad Intelectual, etc. Mientras que no se tengan claros los estándares de protección de la información fiscal seguirán ocurriendo crímenes informáticos, robos de identidad así como la venta de información por entes inescrupulosos que solo consiguen estancar la economía y dificultar la vida de víctimas inocentes. Los criterios de Protección de Información Fiscal expuestos en este ensayo son apenas un esbozo de las múltiples normativas que existen para tales usos, pero consiguen ilustrar al lector sobre la complejidad de la protección de la información fiscal, permitiendo entender que protección no implica únicamente aislar sino que es un proceso mucho más complejo.
325
Bibliografía Diccionario de Internet. (2002). Editorial Complutense. España. 2002.
Emilio Del Peso. (2000). Ley de Protección de Datos. Ediciones Díaz de Santos: España.
Código Tributario de Guatemala
Constitución Política de la República de Guatemala Decreto Número 57-2008 del Congreso de la República de Guatemala, Ley de Acceso a la Información Pública
Ley de Bancos y Grupos Financieros
Código de Comercio
Infornet (s.f.) Obtenido de: http://www.scribd.com/doc/22160639/infornet-jorge Disponibilidad de la información. (s.f.) Obtenido de: http://www.coreoneit.com/ disponibilidad-de-la-informacion/
Infornet digidata y trans unión tienen prohibido difundir datos. (2014). Obtenido de:
http://www.diariodigital.gt/2014/08/01/infornet-digidata-y-trans-union
tienen-prohibido-difundir-datos/
Prensa Libre. (2014). Afectados Exigen cierre de Infornet. Obtenido de: http:// www.prensalibre.com/noticias/Afectados-exigen-cierre-Infornet_0_323367676. html
Información Financiera. (s.f.) Obtenido
de:
https://portal.lacaixa.es/docs/
diccionario/I_es.html#INFORMACION-FINANCIERA
326
Deloitte Guatemala. Guía de Impuestos 2013. Obtenido de: http://www.deloitte. com/assets/Dcom-Guatemala/Local%20Assets/GT/Documents/2013/Otros/ GT_TaxGuide2013_ES.pdf
OCDE. Garantizando la Confidencialidad. Guía de la OCDE sobre la protección de la información de intercambio con fines fiscales. Pp. 7 tomado de http:// www.oecd.org/ctp/exchange-of-tax-information/informe-garantizando-la confidencialidad.pdf
327
“El Derecho a la Privacidad” Solís Avalos, Miguel Master en Comunicación Empresarial INSA Business, Marketing & Communication School, Barcelona, España
328
Contenido Introducción
330
I. ¿Qué es la privacidad? II. La Privacidad y los Medios Electrónicos III. El Derecho a la Privacidad, algunos fundamentos legales
332 333
Conclusión Bibliografía
337 338
329
335
Introducción Después de los ataques del 11 de septiembre, el panorama de la seguridad y defensa cambió y los gobiernos, de una u otra manera, se han dedicado a una amplia vigilancia y a la recolección de datos de una forma más organizada y, de acuerdo con algunos, muy intrusiva. En cuanto a la vigilancia, en diciembre de 2005, el New York Times reveló que después del 11 de septiembre, la administración Bush autorizó en secreto a la Administración Nacional de Seguridad (NSA) para participar en las escuchas telefónicas sin orden judicial de las llamadas telefónicas de los ciudadanos estadounidenses. En 2002, los medios de comunicación revelaron que el Departamento de Defensa estaba construyendo un proyecto de recolección o minería de datos, llamado “Total Information Awareness” (TIA), bajo la dirección del almirante John Poindexter. La visión de la TIA era reunir una variedad de información acerca de las personas, incluidos los datos financieros, la educación, la salud, y otros datos que podrían ser sujetos a discusión si es que el gobierno necesita saberlos o no y para qué. La información podría ser analizada por los patrones de comportamiento sospechosos. Quizás utilizando argumentos del Derecho penal del Enemigo pero parece que “La única manera de detectar. . . terroristas es buscar patrones de actividad que se basan en las observaciones de los ataques terroristas del pasado, así como las estimaciones acerca de cómo los terroristas se adaptarán a nuestras medidas para evitar la detección.“según el mismo Poindexter. Cuando el programa salió a la luz, una protesta pública estalló, luego el Senado votó a favor de negar la financiación del programa, en última instancia parece que se le condenó a su desaparición. Sin embargo, muchos de los componentes de la TIA continúan en varias agencias del gobierno, aunque de una manera menos sistemática y más clandestina. Es conocimiento público que la NSA es propietaria
330
de la base de datos más grande en la historia de la humanidad. En junio de 2006, el New York Times informó que el gobierno de Estados Unidos había sido accediendo a los registros bancarios de la Society for Worldwide Interbank transacciones Financieras (SWIFT), que se ocupa de las transacciones financieras de miles de bancos de todo el mundo. Muchas personas respondieron con indignación ante estos anuncios, pero muchos otros no perciben un gran problema. La razón de su falta de preocupación, explicaron, fue “No tengo nada que ocultar.” El argumento de que no existe ningún problema de privacidad, si una persona no tiene nada que ocultar, se hace con frecuencia en relación con muchas cuestiones de privacidad. Cuando el gobierno se involucra en la vigilancia, mucha gente cree que no existe una amenaza a la privacidad a menos que el gobierno descubre una actividad ilícita, en cuyo caso una persona no tiene ninguna justificación legítima para reclamar que se mantenga privada. Por lo tanto, si una persona se dedica sólo en la actividad jurídica, que no tiene nada de qué preocuparse. Por ejemplo, supongamos que el gobierno examina uno de los registros de teléfono y se entera de que una persona hizo las llamadas a sus padres, un amigo en Canadá, una tienda de videos, y una tienda de entrega de pizza. “¿Y qué?” Esa persona podría decir. “No estoy avergonzado o humillado por esta información. Si alguien me pregunta, con mucho gusto les digo lo que hago compras en las tiendas. No tengo nada que ocultar”. El argumento “nada que ocultar “ y sus variantes son bastante frecuentes en el discurso popular sobre la privacidad. El presente texto tratará el tema del Derecho a la Privacidad, en especial frente al argumento del “Nada que ocultar” que aunque no aparezca explícitamente es el más común de los argumentos para justificar cualquier disposición, privada y gubernamental, en materia de seguridad. En esencia, el “nada que ocultar” surge de una concepción de la vida privada y de su valor, pero principalmente del derecho que tiene el individuo a la vida privada. 331
I. ¿Quées la privacidad? La privacidad puede ser definida como el ámbito de la vida personal de un individuo que se desarrolla en un espacio reservado y debe mantenerse confidencial. Cuando se habla de si la vigilancia de un gobierno y la recopilación de datos representan una verdadera amenaza a la privacidad, muchas personas responden que no tienen “nada que ocultar”. Este argumento está impregnado del discurso popular sobre la privacidad y seguridad. En Gran Bretaña, por ejemplo, el gobierno ha instalado millones de cámaras de vigilancia públicas en ciudades y pueblos, los cuales son vistos por los funcionarios a través de circuito cerrado de televisión; en Guatemala ocurre lo mismo, cada vez hay más establecimientos privados que cuentan con cámaras de vigilancia y el estado ha invertido gran cantidad de recursos en un estrategia de implementación de tecnología (cámaras entre otras) como parte de un plan general para la reducción de la violencia. El peligro real radica en la justificación de estas estrategias. Primero, todos los guatemaltecos sufren, en una u otra forma, debido a los altos índices de violencia y quieren (claman) una solución por parte del Gobierno. La respuesta siempre llega en forma de ofrecimiento y para cumplir el objetivo el gobierno, necesariamente, debe restringir libertades y derechos. Sin embargo las reacciones de la población, fuera de exigir se cumplan sus derechos, en muchas ocasiones justifican la intromisión a su privacidad ya que consideran que el valor obtenido (seguridad) es más valioso que el derecho al que renuncia (privacidad). Argumentos como “Yo no tengo nada que ocultarle al gobierno.” “No creo que había mucho que ocultarle al gobierno en primer lugar.” “La mayoría de los ciudadanos no tenemos nada que ocultar”
332
Sin embargo, el hecho de no tener nada “malo” que ocultar no debería justificar el que alguien quiera o deba ocultar algo privado, aunque esto no sea malo. Por ejemplo, “Si no tienes nada que ocultar, entonces eso significa, literalmente, que estás dispuesto a dejar que te fotografío desnudo…” No hay persona en el mundo occidental que tenga poco o ningún respeto por su privacidad personal. Es un concepto muy estrechamente ligado al derecho de propiedad privada. Al decir “no tengo nada que ocultar”, usted está declarando que está de acuerdo con que el gobierno pueda infringir los derechos de los ciudadanos que no están de acuerdo con la intromisión. La ley debe ser aplicable a todos sin beneficios para algunos. El argumento “no tengo nada que ocultar” equivale a “No me importa lo que pase, con tal de que no me suceda a mí”. Es decir, si postulamos la afirmación, no para un individuo sino para un colectivo (o el total de la sociedad) observamos que deja de parecer “inofensivo” y toma una dimensión mucho más amenazante. En lugar de “No tengo nada que ocultar” el planteamiento podría ser “Todos los ciudadanos respetuosos de la ley no deberían tener nada que ocultar y el gobierno puede tener acceso a toda su información”. Se suele decir que el Derecho a la Privacidad se invoca cuando el individuo o persona jurídica tiene algo que ocultar y se resiste a que ese algo sea de dominio público.
II. La Privacidad y los Medios Electrónicos Las computadoras, teléfonos, tabletas y todo ordenador tienen como objetivo almacenar datos y procesarlos para el beneficio del usuario. En relación a la obtención de datos (legal o ilegalmente) puede decirse que la colección de los mismos, principalmente a través de medios
333
electrónicos, de grandes cantidades de datos de carácter personal puede ser considerada como un hecho invasivo la privacidad. En este punto de la discusión puede argumentarse que, en la mayoría de los casos, el usuario es quien tácita o expresamente autoriza la utilización de sus datos personales. Aunque es un tema importante, solamente se trata de un medio de obtención de los datos, así, el argumento central de este texto es aplicable también a un ambiente digital. El interés de la seguridad en la detección, investigación y prevención de la delincuencia (común y organizada) es muy alto y pesa más que lo intereses de privacidad de los ciudadanos respetuosos de la ley. A menudo, el discurso filosófico sobre la conceptualización de la privacidad es ignorado en los debates jurídicos y políticos. Muchos juristas, políticos y estudiosos simplemente analizan los problemas sin articular una definición de lo que significa la vida privada y la privacidad en sí. Para poder definir la privacidad es necesaria la búsqueda de los elementos obligatorios y suficientes que demarcan lo que la privacidad. Por ejemplo, varios teóricos han sostenido que la privacidad debe ser definida en términos de intimidad. Según el filósofo Julie Inness, el contenido de la privacidad no puede ser capturado si nos centramos exclusivamente en la información, el acceso, o las decisiones íntimas porque la privacidad implica las tres áreas. El problema con la comprensión de la privacidad como la intimidad, es que no toda la información privada o decisiones que tomamos son íntimas. Por ejemplo, nuestro número de Seguro Social, las afiliaciones políticas, creencias religiosas, preferencias sexuales, condiciones médicas y mucho más puede ser o no ser íntimo, pero podemos considerarlos como privado. El propósito de la definición de la privacidad como la intimidad es el desarrollo de una concepción limitada y coherente de la vida privada, pero a costa de ser demasiado estrecho.
334
III. El Derecho a la Privacidad, algunos fundamentos legales El Artículo 12 de la “Declaración Universal de los Derechos Humanos” adoptada por la Asamblea General de Naciones Unidas establece que el derecho a la vida privada es un derecho humano: “Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques.” El Artículo 17 del “Pacto Internacional de Derechos Civiles y Políticos” adoptado por la Asamblea General de Naciones Unidas, consagra, al respecto, lo siguiente: 1. Nadie será objeto de injerencias arbitrarias o ilegales en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques ilegales a su honra y reputación. 2. Toda persona tiene derecho a la protección de la ley contra esas injerencias o esos ataques
Por otra parte la Constitución Política de la República de Guatemala el concepto “intimidad” aparece solamente en el Artículo 25-Registro de personas y vehículos. El registro de las personas y de los vehículos, sólo podrá efectuarse por elementos de las fuerzas de seguridad cuando se establezca causa justificada para ello. Para ese efecto, los elementos de las fuerzas de seguridad deberán presentarse debidamente uniformados y pertenecer al mismo sexo de los requisados, debiendo guardarse el respeto a la dignidad, intimidad y decoro de las personas. Asimismo, el artículo 36 -Libertad de religión. El ejercicio de todas las religiones es libre. Toda persona tiene derechos a practicar su religión o creencia, tanto en público como en privado, por medio de
335
la enseñanza, el culto y la observancia, sin más límites que el orden público y el respeto debido a la dignidad de la jerarquía y a los fieles de otros credos. Artículo 24.- Inviolabilidad de correspondencia, documentos y libros. La correspondencia de toda persona, sus documentos y libros son inviolables. Sólo podrán revisarse o incautarse, en virtud de resolución firme dictada por juez competente y con las formalidades legales. Se garantiza el secreto de la correspondencia y de las comunicaciones telefónicas, radiofónicas, cablegráficas y otros productos de la tecnología moderna. Los libros, documentos y archivos que se relacionan con el pago de impuestos, tasa, arbitrios y contribuciones, podrán ser revisados por la autoridad competente de conformidad con la ley. Es punible revelar el monto de los impuestos pagados, utilidades, pérdidas, costos y cualquier otro dato referente a las contabilidades revisadas a personas individuales o jurídicas, con excepción de los balances generales, cuya publicación ordene la ley. Los documentos o informaciones obtenidas con violación de este artículo no producen fe ni hacen prueba en juicio. Es desde el artículo primero de la Constitución que el fundamento para la protección del derecho a la privacidad aparece por medio del objeto principal del Estado; la protección a la persona. Artículo 1.- Protección a la Persona. El Estado de Guatemala se organiza para proteger a la persona y a la familia; su fin supremo es la realización del bien común. Artículo 2.- Deberes del Estado. Es deber del Estado garantizarle a los habitantes de la República la vida, la libertad, la justicia, la seguridad, la paz y el desarrollo integral de la persona.
336
Conclusión Ya sea de forma explícita o implícita, la discusión sobre los derechos de propiedad privada se encuentra presente en una gran parte de los temas políticos y sociales de todos los países. Sin embargo, es común que se utilice el argumento “no tengo nada que ocultar” para justificar las acciones de control, monitoreo y de recolección de datos, entre otras, que potencialmente vulneran el derecho a la privacidad. Sin embargo, representa una manera singular y estrecha de la concepción de la vida privada. Todo ser humano en su esencia contiene particularidades que definen su singularidad. Esta esencia es reconocida y protegida por los Estados Occidentales y de ella emanan derechos. Cualquier lesión o vulneración de los derechos es una lesión u ofensa a la propia condición del ser humano. El Estado está organizado para garantizar el derecho a la vida, y al definir que la vida privada es parte inherente del individuo, también debe garantizarse el derecho a la privacidad. El derecho que tiene el individuo a exigir la no intromisión en su vida por parte de funcionarios públicos u otros individuos en su casa, correspondencia, información, o incluso en sus pensamientos, es un elemento esencial de la libertad personal y es obligación del Estado protegerlo. El Gobierno de un Estado podrá violar el derecho a la intimidad solamente en casos específicos. Especialmente los que atenten contra la seguridad del Estado y el bien común. Sin embargo, es riesgoso otorgar autorización al Gobierno para vulnerar los derechos de los individuos ya que, dependiendo las circunstancias, el argumento puede ser utilizado de manera perversa y extralimitar la misma autorización. La única solución previsible, de acuerdo con la realidad actual, es imponer controles y condiciones estrictas para definir y delimitar la responsabilidad y consecuencias de la obtención y la utilización de información obtenida de esta forma. 337
Bibliografía Constitución Política de la República de Guatemala
Declaración Universal de los Derechos Humanos
Decreto Número 18-2008 del Congreso de la República de Guatemala, Ley Marco del Sistema Nacional de Seguridad
Leslie Cauley. (2006). NSA Has Massive Database of Americans’ Phone Calls. USA Today.
James Risen & Eric Lichtblau. (2005). Bush Secretly Lifted Some Limits on Spying in U.S. After 9/11, Officials Say. New York Times.
Eric Lichtblau & James Risen. (2006). Bank Data Is Sifted by U.S. in Secret to Block Terror. New York Times.
John M. Poindexter. (2006). Finding the Face of Terror in Data, N.Y. Times, Sept. 10, 2003, at A25. 4 Shane Harris, TIA Lives On, National Journal, Feb. 23, 2006.
Alexander Solzenitsyn, Cancer Ward 192 (1962).
338
“La Protección de la Correspondencia, Libros y Comunicaciones Privadas” Vélez González, Marco Antonio Doctorado en Seguridad Estratégica Universidad de San Carlos de Guatemala
339
Contenido Introducción
341
I. La Correspondencia II. Libro III. Comunicaciones Privadas
342 344 346
Bibliografía
350
340
Introducción Hablar o escribir acerca de la correspondencia, los libros y las comunicaciones, son temas que tienen un gran contenido histórico, debido que el hombre siempre ha necesitado imperativamente de formas para lograr comunicarse entre sí, durante su misma existencia ha tenido una lucha constante para romper las barreras de la comunicación; sin embargo, así como ha logrado superar los obstáculos en éste sentido, también ha tenido que luchar y velar porque se respete el derecho individual de reserva, principalmente respecto al contenido de dichos instrumentos. Este documento trata de manera breve y concisa, pero lo más claro posible acerca de estos temas, solamente se agrega la connotación del verbo proteger y refiere las comunicaciones, pero desde el punto de vista privada, es decir, la protección de la correspondencia, libros y comunicaciones privadas. La intención es el abordaje del tema en mención y no se pretende que con su contenido incluir todo el conocimiento al respecto, se busca dar a conocer de manera general algunas definiciones que pueden considerarse para los conocedores del tema, como básicas y elementales, pero que vale la pena tener presentes, por cada por lo menos el concepto su definición, clasificación y tipos más comunes, y hacer un breve recorrido legal en lo que aplica para Guatemala. Se espera que este documento cumpla en su cometido, con el propósito académico para el cual ha sido realizado.
341
I. La Correspondencia Es el trato recíproco entre dos personas mediante el intercambio de cartas, esquelas, tarjetas, telegramas, catálogos, folletos, etc. En las empresas se considera que la correspondencia es el alma del comercio y de la industria.
A. Clasificación de la correspondencia La correspondencia tiene muy variadas formas, con características especiales que las distinguen según la fuente de emisión, la intención de sus contenidos, estilos de mecanografiados y tramitación de su envió o despacho; de acuerdo a su clasificación se mencionan las siguientes:
Por su Destino • Públicas: contienen información general a través de medios de comunicación (prensa, radio, TV, carteles, pancartas). • Privadas: tratan de información de interés y carácter particular, comercial y Oficial. Por su Contenido • De primera clase: su contenido es solo de información: cartas, tarjetas, postales, documentos de negocios, periódicos, etc. • De segunda clase: esta correspondencia ésta relacionada con paquetes, bultos, muestras, valijas, etc. Por su Tramitación • Postal: cuando se envían a través de servicios de correos, pueden •
ser ordinarias o certificadas. Telegráficas: cuando se envía a través del servicio telegráfico. Pueden ser tele radiograma y cablegramas.
342
Por su puntuación • Abierta: no lleva signos de puntuación en ninguna de sus partes componentes. • Cerrada: lleva signos de puntuación en cada una de sus partes o componentes. •
Mixta o corriente: combina los dos estilos.
Por su extensión • Cortas: cuando su contenido se extiende hasta 100 palabras. • Medianas: cuando su contenido comprende desde de 100 hasta 200 palabras. • Largas: cuando su contenido comprende desde 200 hasta 300 palabras son cartas de un pliego. Más de 300 son cartas de varios pliegos.
Por su forma • Se refiere a todas las correspondencias, la diferencia consiste en su redacción y presentación. Cartas, oficios, circulares, vales, tarjetas postales, esquelas, memorandos, planillas, telegramas, cablegramas, avisos, etc.
B. División de la correspondencia La correspondencia se divide en 4 clases: Correspondencia Comercial: Se refiere a la cruzada entre comerciantes, industrias, banqueros, etc. y su finalidad es promover y agilizar las diversas transacciones comerciales.
343
Correspondencia Familiar y Amistosa: La finalidad de esta correspondencia es muy variada, cualquier asunto particular entra en ella.
Correspondencia Oficial: Se refiere a la correspondencia cruzada entre los distintos organismos y oficinas de los gobiernos nacionales, municipales, estadales, etc.
Correspondencia Comercial: Esta correspondencia se subdivide en dos clases: • Las Ordinarias o Normales: son las que se efectúan por medio de cartas, memorándum y tarjetas postales. • Las Urgentes o Rápidas: Son las que se efectúan por medio de telegramas, Cablegramas, Radiogramas y telefonemas.
II. Libro Un libro puede definirse como una obra impresa (o manuscrita) en un conjunto de hojas de papel o algún material similar, que al estar unidas por uno de sus lados y encuadernadas conforman un volumen. Para que un libro sea considerado tal, debe contar con al menos 49 páginas. De lo contrario es un folleto. Existen varios tipos o maneras de clasificar los libros. Una de ellas es la que se detalla a continuación:
344
A. Tipos o Clasificaciones de los libros • Libro de viaje • Biografía • Libro de texto • Libros de gran formato o coffe table books • Libros poéticos, etc. Libro de viaje: Hace referencia a aquellos libros que reúnen experiencias y pensamientos de un viajero. Generalmente el texto es acompañado de fotografías, mapas, dibujos del autor que complementan el escrito. Algunos autores que se engloban dentro de este tipo de libros son Julio Verne, Thomas Lawrence, Joseph Conrad, entre otros.
Biografía: Es un escrito en el cual se narra la vida de una persona desde su nacimiento hasta su muerte. Incluye los hechos más significativos de un individuo, tanto aquellos que formaron parte de su vida pública como los que constituyeron su intimidad.
Libro de texto: Se caracteriza por ser un modelo o patrón en una rama de estudio determinada. Son utilizados con fines educativos, con el propósito de complementar las enseñanzas del docente o guiar el estudio del alumno. Suelen contar con más información de la que se trabaja en la materia y están divididos en unidades temáticas.
345
Libros de gran formato o coffe table books: Son libros de tapa dura, que contienen espectaculares ilustraciones y fotografías, y en donde el material gráfico cobra más importancias que el texto que los acompaña. Los temas que abordan son variados e incluyen obras de arte, diseño, paisajes, arquitectura, entre otros. Son llamados Coffe Table Books justamente porque fueron pensados para colocarse en mesas ratonas, despachos y salas como material decorativo.
Libros poéticos: Son aquellos que contienen poemas o poesías en su interior. Aunque existen libros poéticos escritos en prosa, la mayoría de ellos se caracteriza por estar desarrollados en verso.
III. Comunicaciones Privadas A. Conceptos de comunicación y comunicaciones privadas Aún y cuando el propio Jiménez de Asúa esbozó una crítica valorativa sobre el proceso de definición, al considerarlo un problema que se termina resolviendo tautológicamente, la metodología del derecho exige un encuadre del tema a partir de establecer los conceptos invocados como tema de estudio. El Diccionario de la Real Academia de la Lengua Española, nos proporciona los siguientes significados: Comunicación: unión que se establece entre ciertas cosas, tales como mares, pueblos, casas o habitaciones mediante pasos, crujías, escaleras, vías, canales, cables y otros recursos.
346
Privado: que se ejecuta a vista de pocos, familiar y domésticamente, sin formalidad ni ceremonia alguna. Particular y personal de cada uno. B. Las comunicaciones y lo privado. ¿Valores jurídicos? Es indiscutible que la protección del derecho sólo tiene lugar para los valores fundamentales de la sociedad. El propio maestro García Maynez escribió : “Cuando se asevera que el derecho ha sido instituido para el logro de valores, con ello se indica -en lo que al mismo atañe- un elemento estructural de todos los órdenes : su finalidad. Este elemento como los demás que señala la definición propuesta en la sección I del capítulo primero, pertenece a la esencia de lo jurídico, ya que no podríamos llamar derecho a un orden no orientado hacia los valores como la justicia, la seguridad y el bien común, para no mencionar ahora sino los fundamentales.” Lo que en este punto interesa en primera instancia, es conocer que debe entenderse por valor jurídico, para estar en condiciones de concluir si las comunicaciones y lo privado, pueden ostentar ese rango. Sobre el concepto de valor, recuérdese el interesante diálogo sostenido entre Sócrates, Nicias y Laques sobre el tema y en el cual, se pudo establecer la distancia entre la concepción del valor como aptitud humana para la guerra y el valor como virtud general. Sin embargo, a efecto de establecer un concepto accesible, recurro a la calificada opinión del Doctor Abelardo Rojas Roldán, quien considera a los valores jurídicos como “entes ideales, en la medida que a ellos mismos no se les identifica como objetos concretos observables en la realidad, porque no son conductas ni objetos físicos; sin embargo, tienen una existencia objetiva innegable como cualidades que presentan algunas conductas y algunos objetos. Son el calificativo positivo que atribuimos a determinadas situaciones. Son objetos ideales que tienen como principio, medio y fin nuestro espíritu. Los valores son criterios mediante los cuales distinguimos entre lo bueno y lo malo,
347
entre lo justo y lo injusto, entre la paz y la violencia, entre el orden y el desorden. Son una forma de manifestarse las cosas y las conductas por virtud de la cual decidimos si algo es más o menos valioso o bien si es antivalioso, para los efectos de una vida íntima y social, armoniosa y equilibrada”. De lo anterior, es fácil advertir que las comunicaciones privadas, no constituyen por sí, valores jurídicos, pero forman parte del derecho de libertad y ésta última, sí constituye un valor jurídico.
C. Protección jurídica de las comunicaciones La protección jurídica de las comunicaciones y el problema de su intervención, no es nuevo. Así lo demuestra una de las ordenanzas del entonces Rey Don Carlos IV, por virtud de la cual, el Superintendente General de Correos de España, podría ordenar la apertura de cartas en los casos que hubiere alguna sospecha fundada. En el derecho patrio, podemos hallar como antecedentes de protección de las comunicaciones, los siguientes: El proyecto de reforma de 30 de junio de 1840, contiene en la fracción XIII, del artículo 9, el derecho del mexicano de no ser cateado en su casa ni sus papeles, sino en los casos y con los requisitos prevenidos literalmente en las leyes. Si se atiende a la fecha del proyecto, resulta fácil concluir que la comunicación por excelencia de la época, era el correo y utilizando una interpretación extensiva, que en el caso de derechos es permisible, considero que tal proyecto y disposición en especial, brindaba protección a las comunicaciones privadas.
348
D. Comunicaciones Privadas en Guatemala Constitución Política de la República de Guatemala ARTICULO 24. Inviolabilidad de correspondencia, documentos y libros. La correspondencia de toda persona, sus documentos y libros son inviolables. Sólo podrán revisarse o incautarse, en virtud de resolución firme dictada por juez competente y con las formalidades legales. Se garantiza el secreto de la correspondencia y de las comunicaciones telefónicas, radiofónicas, cablegráficas y otros productos de la tecnología moderna. Los libros, documentos y archivos que se relacionan con el pago de impuestos, tasas, arbitrios y contribuciones, podrán ser revisados por la autoridad competente de conformidad con la ley. Es punible revelar el monto de los impuestos pagados, utilidades, pérdidas, costos y cualquier otro dato referente a las contabilidades revisadas a personas individuales o jurídicas, con excepción de los balances generales, cuya publicación ordene la ley. Los documentos o informaciones obtenidas con violación de este artículo no producen fe ni hacen prueba en juicio. La ley contra la delincuencia organizada, Decreto 21-2006. CAPÍTULO TERCERO INTERCEPTACIONES TELEFÓNICAS Y OTROS MEDIOS DE COMUNICACIÓN ARTICULO 48. Interceptaciones. Cuando sea necesario evitar, interrumpir o investigar la comisión de los delitos regulados en los artículos 2, 3, 4, 5, 6, 7, 8, 9, 10 y 11 de la presente ley, podrá interceptarse, grabarse y reproducirse, con autorización judicial, comunicaciones orales, escritas, telefónicas, radiotelefónicas, informáticas y similares que utilicen el espectro electromagnético, así como cualesquiera de otra naturaleza que en el futuro existan. 349
Las figuras que incluye éste artículo de la Ley Contra la Delincuencia Organizada son los siguientes: Artículo 2.* Grupo delictivo organizado u organización criminal. Artículo 3.* Conspiración. Artículo 4. Asociación ilícita. Artículo 5. Asociación ilegal de gente armada. Artículo 6. Entrenamiento para actividades ilícitas. Artículo 7. Uso ilegal de uniformes o insignias. Artículo 8. Comercialización de vehículos y similares robados en el extranjero o en el territorio nacional. Artículo 9.* Obstrucción a la Justicia Artículo 10. Exacciones intimidatorias. Artículo 11. Obstrucción extorsiva de tránsito.
Bibliografía La educación comercial Venezolana. Oscar Rueda. Editorial Cardenal. Técnicas de oficina 8vo grado. Silva Jesús A. Ediciones CO-BO.
Constitución Política de la República de Guatemala.
La ley contra la delincuencia organizada, Decreto 21-2006.
Tipos de libros (s.f.). Obtenido de: http://www.tiposde.org/general/97-tipos-de libros/#ixzz3HY4SA2DJ.
http://www.derechos.org/koaga/vii/regino2.html
350
“La Protección de las Comunidades Telefónicas” Zarceño Gaitán, Rogelio
Maestría en Derecho Mercantil Universidad San Carlos de Guatemala
351
Contenido Introducción
353
I. Derechos Fundamentales II. Derecho a la Privacidad III. El Derecho al Secreto de las Comunicaciones IV. Los Derechos Fundamentales no son Absolutos V. La Ponderación como Herramienta para la Solución
354 355 358 360
de Conflictos entre Derechos Fundamentales VI. Justificación y Control de las Escuchas Telefónicas VII. Concepto de Intervención Telefónica
362 365 369
Conclusiones Bibliografía
372 373
352
Introducción La llamada revolución tecnológica supone la aparición de nuevas vías de ataque o injerencias de los derechos fundamentales, motivo por el que resulta necesario que los mismos se redefinan sin perder su identidad para otorgar la debida protección jurídica a los ciudadanos y adaptarse a la nueva realidad social. Las escuchas telefónicas pueden ser definidas como un medio o instrumento para obtener o descubrir los secretos comunicados a través del teléfono. El derecho al secreto de las comunicaciones es reconocido constitucionalmente. No obstante ello, la misma realidad económica-social que enfrentan las comunidades y los conglomerados presiona generalmente para adoptar medidas necesarias para frenar el fenómeno delictivo y sus consecuencias y, en ese devenir, los derechos fundamentales expresados en la Constitución se ven relativizados con la emisión de regulaciones específicas que, de alguna manera, los limitan y restringen. Las comunicaciones telefónicas han alcanzado protección constitucional pero tal protección, como se desarrolla en el presente trabajo, no es absoluta sino limitada porque permite la injerencia del Estado a través de los Órganos Jurisdiccionales que legitiman la interceptación, grabación y reproducción de conversaciones telefónicas y por cualquier otro medio similar, mediante la aplicación de instrumentos legales que viabilizan este tipo de práctica como mecanismo de prevención y combate a la delincuencia organizada transnacional. El enfoque del presente trabajo presenta la problemática que plantea la protección a las comunicaciones telefónicas pues, por un lado las medidas de intervención telefónica cumplen la doble función, ya que:
353
a) desempeñan una importante función investigadora (medio lícito de investigación); y b) constituyen un medio de prueba. Sin embargo, por otro lado constituyen una clara y evidente injerencia en el ámbito privado de todo ciudadano. En el presente trabajo se aborda parte de esa problemática y se expone abiertamente su escenario para provocar un estudio más a fondo sobre el tema objeto de la investigación.
I. Derechos Fundamentales Como una concepción que pudiera estar más acorde a esta época de apreciaciones globales podríamos considerar que los derechos fundamentales son aquellos derechos subjetivos garantizados con jerarquía constitucional que se consideran esenciales en el sistema político que la Constitución funda y que está especialmente vinculada a la dignidad de la persona. (juridicas.unam.mx, s.f.) Toda sociedad se rige por normas que consagran los derechos fundamentales; he hecho existe un vínculo estrecho entre Estado de Derecho y Derechos Fundamentales, ya que es precisamente el Estado quien garantiza dichos derechos y a su vez los Derechos Fundamentales requieren para su realización, de un Estado de Derecho. Nuestra Constitución Política consagra los derechos fundamentales, los cuales le corresponden a todo ser humano por el sólo hecho de serlo, como lo son: el derecho a la vida, a la libertad, a la seguridad, a la igualdad, a la propiedad, a la saludad, a la inviolabilidad, por mencionar algunos. Estos derechos fundamentales están contenidos en la parte dogmática de la Constitución y constituyen un límite material al poder del Estado, lo que implica que la finalidad de estos derechos es impedir los abusos del poder por parte de los titulares de las funciones estatales. 354
Con la profundidad analítica que lo caracteriza, Luigi Ferrajoli (2009; 37), propone una definición de “derechos fundamentales” diciendo que: “son derechos fundamentales todos aquellos derechos subjetivos que corresponden universalmente a “todos” los seres humanos en cuanto dotados del status de personas, de ciudadanos o personas con capacidad de obrar; entendiendo por “derecho subjetivo” cualquier expectativa positiva (de prestaciones) o negativa (de no sufrir lesiones) adscrita a un sujeto por una norma jurídica; y por “status” la condición de un sujeto, prevista asimismo por una norma jurídica positiva, como presupuesto de su idoneidad para ser titular de situaciones jurídicas y/o autor de los actos que son ejercicio de éstas”. Tal definición intenta ser inclusiva de los elementos que integran el concepto de “derechos fundamentales” como son, en primer orden, derechos que entran dentro de la esfera subjetiva de la persona y que le corresponden por su status o condición de tal pero que, ante todo, están adscritas a un sujeto por una norma jurídica que generalmente es la de mayor jerarquía dentro de un ordenamiento jurídico. Dentro de estos derechos fundamentales se ubica el derecho al secreto de las comunicaciones que constituye, precisamente, el derecho que se vulnera con la interceptación, grabación y reproducción de comunicaciones orales, escritas, telefónicas o de cualquier otra naturaleza.
II. Derecho a la Privacidad Todo derecho fundamental nace de una necesidad básica del hombre. Entre esas necesidades está el reconocimiento de una zona en la que nadie se entrometa sin autorización.
355
El Diccionario de la Real Academia define privacidad como el “ámbito de la vida privada que se tiene derecho a proteger de cualquier intromisión”, y define intimidad como “zona espiritual íntima y reservada de una persona”. Siendo una ineludible necesidad básica del individuo, el Derecho debe reconocerla, protegerla y satisfacerla. De las definiciones dadas por la Real Academia Española, se destaca que el término privacidad se relaciona con el ámbito familiar y doméstico, es decir, reservado y, por lo tanto, ajeno al interés del público. El derecho a la privacidad se encuentra consagrado en la Constitución expresado en la protección al secreto de la correspondencia y de las comunicaciones telefónicas, radiofónicas, cablegráficas y otros productos de la tecnología moderna; y en la inviolabilidad de la vivienda. Esta protección no sólo se otorga en el ámbito nacional sino que también se extiende al ámbito internacional, en donde se encuentra plasmada, al menos, en las siguientes Convenciones Internacionales: a) El artículo 12 de la Declaración Universal de Derechos Humanos de las Naciones Unidas dice: “Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia ni de ataques a su honra o su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques”. b) El artículo 17 del Pacto Internacional de Derechos Civiles y Políticos adoptado en 1966 por la Asamblea General de Naciones Unidas dice: “Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio, su correspondencia, ni de ataques ilegales a su honra y reputación”. c) El artículo 11 de la Convención Americana sobre Derechos Humanos de 1969, dice: 1. “Toda persona tiene derecho al respeto de su honor y al reconocimiento de su dignidad”.
356
2. “Nadie puede ser objeto de injerencias arbitrarias o abusivas en su vida privada, en la de su familia, en su domicilio o en su correspondencia, ni de ataques ilegales a su honra o reputación”. Dentro de la vida humana, pueden distinguirse dos ámbitos: un ámbito privado y un ámbito público. En una conceptualización, que más pareciera un juego de palabras, el ámbito privado es aquel que no está destinado a trascender a la esfera de lo público, mientras que el ámbito público es aquel que trasciende la esfera de lo privado. El tránsito de una categoría a otra, esto es, desde lo privado a lo público, puede ser voluntario o no voluntario, y marca una importante definición entre ambas categorías, ya que la voluntariedad o no voluntariedad de la exteriorización del pensamiento debe ser un parámetro decisivo para la protección (Rosatti 2010, 288,291). El ámbito privado es todo aquello que una persona se reserva para sí misma y que no desea que trascienda ni se conozca en el ámbito público, es decir, que la privacidad es el ámbito de la vida personal de un individuo que se desarrolla en un espacio reservado y debe mantenerse en la intimidad, la cual hoy en día se encuentra amenazada por el desarrollo de la sociedad de la información y la expansión de las telecomunicaciones. Todo el mundo tiene derecho a la privacidad, y según las normativas sobre derechos humanos internacionales, este derecho puede ser violado de diversas maneras, que incluyen: • Intervenir en la vida privada de una persona (lo que incluye su derecho a establecer relaciones y a disfrutar de su libertad sexual); • Impedir la vida familiar (lo que incluye el derecho a casarse y a fundar una familia); • Destruir la casa de una persona, o impedir a una persona que viva •
en su casa; Intervenir la correspondencia privada. (anncel.wordpress.com. s.f.) 357
Como se ve, la interceptación o intervención de la correspondencia privada latu sensu, es una de las formas en que puede violarse el derecho al secreto de las comunicaciones, de cualquier clase o naturaleza.
III. El Derecho al Secreto de las Comunicaciones El derecho al secreto de las comunicaciones que consagra el artículo 24 de la Constitución Política de la República de Guatemala, fue reconocido por primera vez en el año de 1790 en un Decreto de la Asamblea Nacional Francesa, según el cual “el secreto de las cartas era inviolable”; por tanto, la protección concernía exclusivamente a la correspondencia escrita. El artículo 24 citado, tiene su precedente en la garantía individual de seguridad de inviolabilidad de la correspondencia, documentos y libros privados contenida en el artículo 58 de la Constitución de la República de Guatemala de 1965, que establecía “La correspondencia de toda persona y sus documentos y libros privados son inviolables. Sólo podrán ser ocupados o revisados en virtud de auto de juez competente y con las formalidades legales. Las autoridades que ejerzan la fiscalización de los impuestos podrán también, por orden escrita de juez competente y para casos concretos, revisar y ocupar documentos y libros privados que se relacionen con el pago de los impuestos, debiéndose practicar en todo caso la ocupación o revisión en presencia del interesado o de su mandatario, y en defecto de éstos, ante uno de sus parientes, mayor de edad, o de dos testigos honorables, vecinos del lugar. Es punible revelar la cuantía de la fuente de que procedan los impuestos, así como las utilidades, pérdidas, costos, o cualquier otro dato referente a los individuos y empresas tributarias, o a su contabilidad. Los documentos que fueren sustraídos y la correspondencia violada, no harán fe en juicio”. 358
Tanto la citada disposición como el artículo 57 de la Constitución de 1965 recogían la garantía de protección de la vida privada del individuo, de su caso y de sus documentos y efectos personales; sin embargo, en ninguno de ellos se hace referencia expresa a las comunicaciones telefónicas, y ello en buena medida pudo deberse a la precaria tecnología del momento. Para 1985, año en el que se sanciona y promulga la nueva Constitución Política de la República de Guatemala, como consecuencia de la llamada “revolución tecnológica”, las técnicas de interceptación y grabación de las comunicaciones telefónicas habían experimentado un gran incremento, y por ello se dispuso incluir dentro de la protección esa clase de comunicaciones. De esa cuenta, su protección queda incluida dentro del artículo 24 Constitucional, que a la letra dice: “La correspondencia de toda persona, sus documentos y libros son inviolables. Sólo podrán revisarse o incautarse, en virtud de resolución firme dictada por juez competente y con las formalidades legales. Se garantiza el secreto de la correspondencia y de las comunicaciones telefónicas, cablegráficas y otros productos de la tecnología moderna”. Es importante destacar que el citado precepto constitucional hace referencia tanto al derecho como a la libertad de las comunicaciones, pues debemos entender que si bien explícitamente se garantiza el secreto de las comunicaciones, implícitamente se protege también la libertad de las mismas. La comentada disposición constitucional se proyecta con una visión futurista pues no sólo incluyó las comunicaciones telefónicas y cablegráficas sino además, cualquier otro producto de la tecnología moderna, lo cual es inclusivo y abre el espacio a las nuevas y avanzadas formas de comunicación que se establezcan en el futuro. En esencia, se consideran inviolables el secreto de la correspondencia así como de las comunicaciones telefónicas, cablegráficas y otros medios de tecnología moderna y su limitación, sólo podrá tener
359
lugar por orden motivada de la autoridad judicial competente con las consiguientes garantías establecidas por la ley. Efectivamente, las restricciones correspondientes no podrán disponerse más que en virtud de una ley, siempre y cuando la restricción tenga como fin proteger el régimen fundamental de libertad y democracia o la existencia o seguridad del Estado.
IV. Los Derechos Fundamentales no son Absolutos Cuando se hace relación a las restricciones que pueden imponerse al secreto de las comunicaciones, debemos reconocer que su protección admite la posibilidad de que, por razones de seguridad de Estado o, por alguna justificación similar, dicho derecho fundamental pueda ser limitado. Ello significa que la divulgación o exteriorización de una comunicación, independientemente del sistema que sea utilizado, puede clasificarse en autorizada y no autorizada dependiendo de la manifestación de voluntad del interesado. De ahí que se considerará autorizada cuando el propio interesado de manera consciente y voluntaria otorga su anuencia para que el contenido de una comunicación de la que es parte, pueda ser conocida; contrario sensu, se considera no autorizada, cuando la divulgación es producto de una voluntad heterónoma que posibilita, por los medios establecidos legalmente, que la comunicación sea conocida, caso en el cual estamos en presencia de las denominada “escuchas telefónicas” que, groso modo, pueden ser definidas como un medio o instrumento para obtener o descubrir los secretos comunicados a través del teléfono. De inmediato surge la pregunta del porqué si se trata de un derecho fundamental el mismo puede, a la vez, ser objeto de una limitación. Sobre el particular debe tenerse en consideración de que no todas
360
las escuchas telefónicas son ilegales, toda vez que debe partirse de la premisa que en un Estado democrático y de Derecho ningún derecho es absoluto. Es decir, que el secreto a las comunicaciones puede restringirse o limitarse cuando por razones de seguridad o de averiguación de hechos que revisten características de delitos expresamente tipificados en la ley, la autoridad judicial autoriza a levantarlo o desvelarlo, caso en el cual resulta legítima la intromisión. Lo anterior conduce a confirmar el postulado que los derechos fundamentales son realidades limitadas, que no hay derechos absolutos y que todos los derechos son limitados. Algunos derechos tienen límites expresos, o sea aquellos establecidos expresamente en la Constitución; otros derechos tienen límites implícitos, que son aquellos que no están expresamente señalados en la Constitución, pero que surgen de la necesidad de proteger o garantizar otros derechos constitucionales, o bienes o valores especialmente protegidos. El caso del derecho al secreto de las comunicaciones, tiene límites reconocidos, especialmente cuando entra en conflicto con otros derechos también garantizados constitucionalmente, como el caso del derecho que le asiste a toda persona a que se le garantice la seguridad y la libertad. En consecuencia, el derecho al secreto de las comunicaciones no es absoluto, pues es un derecho que, al igual que todos los derechos, admite limitaciones, y ello se confirma con la regulación normativa contenida en la ley mediante la cual se posibilita la interceptación, grabación y reproducción, con autorización judicial, de comunicaciones orales, escritas, telefónicas, radiotelefónicas, informáticas y similares que utilicen el espectro electromagnético, así como cualesquiera de otra naturaleza que existan en el futuro. Los conceptos de vida privada y de intimidad, como tantos otros, son esencialmente relativos. Dependen de la gravitación dinámica de una serie de factores políticos, económicos y sociológicos que relativizan sus fronteras, imponiendo una correcta y definitiva interpretación
361
constitucional que permita armonizar la libertad de intimidad con las necesidades sociales y con la estructura de la organización política. (Gregorio Badeni 1997; 302). Toda intervención o restricción de un derecho fundamental exige que esté dirigida a alcanzar un fin constitucionalmente legítimo y cumpla con lo establecido por los principios de idoneidad, necesidad y proporcionalidad en sentido estricto; quiere decir entonces que las libertades pueden restringirse o limitarse siempre que no sea de manera arbitraria, irracional, fútil o desproporcionada.
V.
La Ponderación como Herramienta para la Solución de Conflictos entre Derechos Fundamentales
Gregorio Badeni (1997; 301-302) considera que el pluralismo de las libertades individuales que establece la Constitución impone la necesidad de armonizarlas para evitar que el ejercicio de alguna de ellas desemboque en la negación de otras[…] El principio que establece la inexistencia de libertades individuales absolutas se extiende a la intimidad. Por más importante que sea esa libertad -agrega el comentado autor-, su jerarquía es igual a la de las restantes libertades constitucionales en la dimensión individual. Todas ellas son especies de un género único: la libertad. Lo anterior implica que en un momento determinado puede surgir un conflicto ya no normativo sino entre dos principios constitucionales, es decir, de la misma jerarquía legal, en cuyo caso el intérprete debe proveer una solución adecuada pero, ante todo justa y equitativa. La pregunta obligada es ¿Qué clase de solución debe buscarse?
362
Para la solución de conflictos internormativos suele recurrirse a los criterios que más emplea el Derecho para resolver los casos de antinomias: el de la cronología de las normas, el de la jerarquía y el de especialidad. Sin embargo, cuando el intérprete se encuentra frente a un conflicto de derechos fundamentales el enfoque interpretativo es diferente. De esa cuenta, Riccardo Guastini sostiene que un principio es una norma “fundamental” esto es, una norma que:
a) En primer lugar, caracteriza el sistema jurídico del cual trata (o de uno de sus sectores), en el sentido que constituye un elemento esencial para la identificación de la fisonomía del sistema; b) En segundo lugar, da fundamento axiológico (otorga justificación ético política) a una pluralidad de normas del sistema; c) En tercer lugar, no exige a su vez algún fundamento, alguna justificación ético política, porque es concebida, en la cultura jurídica existente, como una norma evidentemente “justa” o “correcta”.
Algunos ejemplos: en Derecho Constitucional, el principio de la separación de poderes; en Derecho Civil, el principio de la autonomía privada; en Derecho Penal, el principio “nullun crimen, nullapoena sine lege”; en el sistema jurídico integral, el principio “lex posterior derogat priori” o el principio de irretroactividad de las leyes. De esa cuenta, los conflictos constitucionales -a juicio del citado autor- no pueden ser resueltos por medio de los criterios estándar de solución de conflictos. No se puede utilizar el criterio “lex posterior”, porque los dos principios son coetáneos. No se puede emplear el criterio “lex superior”, porque los dos principios tienen la misma posición en la jerarquía de las fuentes. No se puede utilizar el criterio
363
“lexspecialis”, porque las dos clases de hechos regulados por los dos principios se entrecruzan. En ese sentido, la técnica normalmente utilizada por los jueces constitucionales para resolver un conflicto entre principios constitucionales es aquella que se suele llamar “ponderación” o “balance” que consiste en establecer una jerarquía axiológica móvil (una jerarquía que vale para el caso concreto o para una clase de casos) entre dos principios en conflicto. Una jerarquía axiológica es una relación de valores creada (ya no por el derecho mismo, como la jerarquía de las fuentes), sino por el juez constitucional, mediante un juicio comparativo de valores, lo cual supone atribuir a uno de los dos principios en conflicto un “peso”, una “importancia” ético-política mayor respecto al otro. En otras palabras, el principio que tiene “mayor valor” prevalece sobre el otro. Pues bien, la limitación o restricción del derecho al secreto de las comunicaciones impone la necesidad de colocar dos derechos fundamentales sobre la misma balanza para valorar la “justicia” de la consecuencia de la aplicación de uno otro principio en el caso concreto. En el caso de la inviolabilidad de la correspondencia, el juez competente debe ponderar el derecho fundamental al secreto de las comunicaciones, que goza de protección constitucional, con otros principios que justifiquen los límites a ese derecho fundamental, dentro de los cuales tenemos la seguridad nacional, la defensa territorial, la seguridad pública, el orden público, la prevención de los delitos, entre otros.
364
VI. Justificación y Control de las Escuchas Telefónicas El control y grabación de las conversaciones pueden adoptarse cuando concurran los siguientes presupuestos: 1. La comisión de determinados hechos que puedan fundar la sospecha de que alguien, como autor o coautor, ha cometido alguno de los delitos que aparecen taxativamente en el artículo 48 de la Ley Contra la Delincuencia Organizada; y 2. La indispensabilidad de la medida, esto es, que dicha medida tendrá el carácter de subsidiario de tal manera que no podrá ser utilizada su existen otros medios de investigación alternativos para llegar al descubrimiento del hecho delictivo. 3. Debe puntualizarse concretamente el contenido de la autorización, justificando el uso de la medida, con indicación de los motivos por los que se autoriza la solicitud de interceptación. Asimismo, debe contener la definición del hecho que se investiga o pretende evitar, los números telefónicos, frecuencias, direcciones electrónicas y el plazo por el que se autoriza la interceptación.
Nuestro Derecho patrio, al igual que el de otros países que integran la Comunidad Europea, así como el de la generalidad de países de América, con excepción de los Estados Unidos12 regula un protocolo 12
El Congreso de los Estados Unidos, tras los atentados del 11-S en New York,
aprobó una Ley conocida como la PatriotAct –firmada por el Presidente de Estados Unidos George W. Busch el veintiséis de octubre de dos mil uno-, enmarcada dentro del proyecto denominado “Guerra contra el Terrorismo”, la cual recorta considerablemente los derechos y libertades civiles de los ciudadanos norteamericanos, al permitir entre otras medidas, la intervención de las comunicaciones telefónicas y por correo electrónico de los estadounidenses sin autorización judicial previa. Representantes de numerosas organizaciones civiles y expertos en Derecho consideran que muchos
365
estricto, de cumplimiento obligatorio, que debe observarse para la práctica de esta clase de prueba. En nuestro ordenamiento jurídico la limitación de la garantía constitucional del derecho al secreto de las comunicaciones se tradujo en una regulación legal hasta el año dos mil seis y fue producto de la Convención de las Naciones Unidas contra la Delincuencia Organizada Transnacional (Convención de Palermo), suscrita por Guatemala con fecha 12 de diciembre de dos mil y aprobada mediante el Decreto número 36-2003, cuyo propósito fue promover la cooperación para prevenir y combatir eficazmente la delincuencia organizada transnacional, y en el cual se establecieron mecanismos especiales de investigación. El artículo 48 de la Ley Contra la Delincuencia Organizada (Decreto No. 21-2006 del Congreso de la República de Guatemala), contiene un listado de delitos en forma de numeros clausus que son susceptibles de investigación mediante esta medida. La ley determina, igualmente, los presupuestos en que es posible su utilización, el establecimientos de un procedimiento establecido específico para la grabación, transcripción, conservación y posterior comunicación del contenido de las intervenciones telefónicas a la defensa de los inculpados, asimismo prevé la imposibilidad de utilizar las pruebas obtenidas con violación de las prohibiciones establecidas por la ley. Tales delitos son los siguientes: • Artículo 2. Grupo delictivo organizado u organización criminal. Para efectos de la Ley se considera grupo delictivo organizado u organización criminal, a cualquier grupo estructurado de tres o más personas, que exista durante cierto tiempo y que actúe concertadamente, con el propósito de cometer uno o más de los delitos que me mencionan en el referido artículo. preceptos de la PatriotActson inconstitucionales y constituyen un grave ataque a los derechos fundamentales y a las libertades civiles dentro y fuera de los Estados Unidos, bajo el pretexto e garantizar la “seguridad nacional”.
366
•
•
•
•
•
•
Artículo 3. Conspiración. Comete el delito de conspiración quien se concierte con otra u otras personas con el fin de cometer uno o más delitos de los enunciados en este artículo. Artículo 4. Asociación ilícita. Comete el delito de asociación ilícita, quien participe o integre asociaciones del siguiente tipo: a. Las que tengan por objeto cometer algún delito o después de constituidas, promuevan sucomisión; y, b. Las agrupaciones ilegales de gente armada, delincuencia organizada o grupos terroristas. Artículo 5. Asociación ilegal de gente armada. Comete el delito de asociación ilegal de gente armada, quien organice, promueva o pertenezca a grupos o asociaciones no autorizadas, para el uso, entrenamiento o equipamiento con armas. Artículo 6. Entrenamiento para actividades ilícitas. Comete el delito de entrenamiento para actividades ilícitas quien equipe, organice, instruya o entrene a personas en tácticas, técnicas o procedimientos militares o policiales, para el desarrollo de actividades terroristas, escuadrones de la muerte, grupos de justicia privados, bandas de sicarios o destinadas a ejecutar acciones de delincuencia organizada. Artículo 7. Uso ilegal de uniformes o insignias. Comete el delito de uso ilegal de uniformes o insignias, quien con ánimo de cometer un delito use, exhiba, porte o se identifique con prendas, uniformes o insignias reales, similares o semejantes a los del ejército, policía o fuerzas de seguridad del Estado. Este delito será sancionado con pena de tres a cinco años de prisión. Artículo 8. Comercialización de vehículos y similares robados en el extranjero o en el territorio nacional. Comete el delito de comercialización de vehículos y similares robados en el extranjero o en el territorio nacional, quien a sabiendas, de cualquier forma autorice el ingreso al país, venda o comercialice vehículos terrestres, marítimos, aéreos o maquinaria que hayan sido robados en el extranjero o en el territorio nacional. 367
Artículo 9. Obstrucción de justicia. Comete el delito de obstrucción de justicia: 1. Quien utilice fuerza física, amenazas o intimidación, la promesa, el ofrecimiento o la concesión de un beneficio económico o de otra naturaleza para inducir al falso testimonio, perjurio o para obstaculizar la aportación de pruebas de un proceso en relación con la comisión de uno de los delitos comprendidos en la presente Ley. 2. Quien de cualquier forma amenace o coaccione a algún miembro del Organismo Judicial, Ministerio Público, Policía Nacional Civil, auxiliares de la administración de la justicia, traductores, intérpretes, peritos, testigos y demás sujetos procésales, su cónyuge o familia que afecte la integridad •
física, el honor o bienes de éstos, con el fin de influir en su comportamiento u obstaculizar el cumplimiento de sus funciones en la investigación y persecución penal de los delitos comprendidos en la presente Ley. 3. Quien siendo funcionario o empleado público participe en alguna fase de los métodos especiales de investigación, procesamiento y juzgamiento de los delitos establecidos en la presente ley, que: a. Proteja indebidamente o encubra a quién o a quienes aparecen como sindicados de un hecho investigado; b. Oculte información o entregue información errónea para el buen curso del proceso; c. Falsifique o altere documentos y medios probatorios; d. Actúe con retardo intencional de tal forma que obstaculice la investigación, la persecución penal o el juzgamiento; e. Preste falso testimonio en favor de un imputado en las causas que se deriven por la comisión de los delitos establecidos en la presente Ley.
368
•
•
Artículo 10. Exacciones intimidatorias. Quien agrupado en la delincuencia organizada, organización criminal o asociación ilícita, en abierta provocación o de forma intimidatoria solicite o exija la entrega de dinero u otro beneficio en la vía pública o en medios de transporte. Artículo 11. Obstrucción extorsiva de tránsito. Quien agrupado en la delincuencia organizada, organización criminal o asociación ilícita, en abierta provocación o de forma intimidatoria solicite u obtenga dinero u otro beneficio de conductores de cualquier medio de transporte por permitirle circular en la vía pública, sin estar legalmente autorizado.
Cuando la prueba de intervención o captación de las conversaciones telefónicas resulte radicalmente nula por haberse realizado con vulneración de derechos fundamentales de los artículos 51, 55, 60, 61 y 62 de la Ley Contra la Delincuencia Organizada, arrastra la nulidad de aquellas otras pruebas que traen causa directa o indirecta de las medidas de intervención telefónica (Teoría del fruto del árbol envenenado). Según la teoría del “fruto del árbol envenenado” es inadmisible en un juicio la prueba que se obtenga de otra obtenida ilegalmente. Las intervenciones telefónicas deben respetar las exigencias de autorización judicial, legalidad y proporcionalidad.
VII. Concepto de Intervención Telefónica Antes de entrar al análisis de este concepto, es conveniente hacer referencia a otros conceptos.
369
1. El concepto de “comunicación” Con frecuencia se restringen los medios de comunicación a postales, telegráficos y telefónicos, pero se considera que no existe un “numerus clausus” respecto de los medios de comunicación que pueden ser objeto de vigilancia, lo cual se considera como positivo. Existe un criterio unánime que considera requisito indispensable para que haya “comunicación”, que exista una infraestructura o artificio comunicativo, que no tiene que ser sofisticado, se exige eso sí, una distancia real entre los comunicantes. Asimismo, se exige que la comunicación se realice por canal cerrado, puesto que si la transmisión de la información o mensaje no se hace por canal cerrado, en modo alguno hay que considerar que estemos ante la posibilidad de aplicar el derecho al secreto de las comunicaciones ya que no habría expectativa de secreto. Hay comunicaciones que se realizan por canal abierto (en la radio o la televisión) que precisamente tienen por objeto obtener la máxima difusión de la información y no precisamente la expectativa de secreto. El emisor que usa un canal cerrado pretende que su mensaje llegue a una determinada persona, y este canal cerrado es el que justifica la presencia de una expectativa de secreto. La exigencia de canal cerrado tiene una considerable relevancia respecto de los usuarios de las formas comunicativas no telefónica, pues estos usuarios también tienen una expectativa de que se garantice el secreto de sus comunicaciones. Así, por ejemplo, el derecho al secreto de las comunicaciones se aplicará al correo electrónico, a las videoconferencias, al envío de mensajes a través de Internet, al uso del chat cuando se emplea la opción que limita la comunicación a dos interlocutores o a las comunicaciones telefónicas que tienen entre ellos.
370
La protección comprende tanto las presentes formas de comunicación como las que puedan desarrollarse en el futuro y que se efectúen en canal cerrado.
2. El concepto de “secreto” En el significado común de la palabra “secreto” se entiende aquello que se tiene reservado y oculto. Dentro del ámbito jurídico-penal, parece que la reserva a un determinado número de personas y el ocultamiento a otros, es la característica esencial de secreto. Algo importante que cabe tener presente es que el derecho al secreto de las comunicaciones protege la comunicación mientras dure el proceso comunicativo, puesto que una vez finalizado éste, la protección constitucional de lo comunicado o de lo recibido es objeto de protección por el derecho a la intimidad. 3. Concepto de intervención telefónica Las intervenciones telefónicas (vulgarmente denominadas escuchas telefónicas) implican una actividad de control de las comunicaciones entre particulares a través de dicho medio y pueden conceptuarse como unas medidas instrumentales que suponen una restricción del derechofundamental del secreto de las comunicaciones con la finalidad de captar el contenido de las conversaciones para la investigación de determinados delitos y para la aportación en su caso, de determinados elementos probatorios.
371
Conclusiones •
•
•
La protección a las comunicaciones telefónicas está garantizado en la Constitución Política de la República; sin embargo, este derecho fundamental puede limitarse y restringirse por razones de seguridad nacional, seguridad pública, defensa territorial o por prevención de los delitos. La interceptación, grabación y reproducción de comunicaciones orales, escritas, telefónicas informáticas y cualesquiera de otra naturaleza que se establezcan en el futuro, constituyen mecanismos especiales de investigación para la prevención y combate de la delincuencia organizada transnacional, entre las que se incluyen las escuchas telefónicas que son un medio o instrumento para obtener y descubrir los secretos comunicados a través del teléfono. La medida de interceptación de las comunicaciones telefónicas debe tener carácter subsidiario, de tal manera que no pueda ser utilizada si existen otros medios de investigación alternativos para llegar al descubrimiento del hecho delictivo.
372
Bibliografía Badeni, Gregorio. (1997). Instituciones de Derecho Constitucional. Editorial AD HOC: Buenos Aires.
Ferrajoli, Luigi. (2009). Derechos y garantías. La ley del más débil. Editorial Trotta: Madrid.
García Cuadrado, Antonio M. (s.f.). Principios de Derecho Constitucional. Segunda edición revisada y ampliada. Ediciones EOLAS
Rosatti, Horacio. (2010). Tratado de Derecho Constitucional Tomo I. Rubinzal Culzoni Editores: Argentina.
UNAM. (s.f.) http://www.juridicas.unam.mx/sisjur/constit/pdf/6-351s.pdf Recuperado el 10 de noviembre de 2014.
Wordpress (s.f.) https://anncel.wordpress.com/significado/ Recuperado el 16 de noviembre de 2014.
Recuperado Guastini 05 de noviembre de 2014. (s.f.) el http://www.estig.ipbeja.pt/~ac_direito/articulo_guastini.pdf
373
SH||}|A)]]
INERMIú
Revista de la Segunda Cohorte del Doctorado en Seguridad Estratégica Guatemala, 2014 UNIVERSIDAD DE SAN CARLOS DE GUATEMALA