El Ecuador, en abril
de 2002, expide la Ley de Comercio,
Firmas Electrónicas y Mensajes de Datos,
instrumento que da un marco jurídico a las innovaciones
tecnológicas relacionadas con la transmisión de
información utilizando medios
electrónicos. El objeto de la Ley es la de regular los
mensajes de datos, firmas electrónicas, servicios de
certificación, la contratación electrónica y telemática, la prestación de
servicios electrónicos a través de redes de información,
incluido el comercio
electrónico (e-business) y
lógicamente la protección a los usuarios de estos
sistemas de
cualquier mecanismo de distorsión.
Gracias a la expedición de esta Ley, nacen como
delitos con características propias el sabotaje (SPAM)
y los daños informáticos (CYBER CRIME). Sobre este
punto trataremos más adelante, hasta mientras diremos que
estas infracciones se incorporan al Código
Penal ecuatoriano, logrando así una protección
concreta y específica a este tipo de actos, considerados
desde abril de 2002 como delitos. Ahora bien, dentro de la
regulación propia de los mensajes de datos, también
se prevé mecanismos de protección propios en donde
se enuncian principios y
procedimientos
que se deben respetar.
La Ley establece que los mensajes de datos
tendrán igual valor
jurídico que los documentos
escritos. Estos consisten en documentos que han sido enviados por
un sistema
electrónico, a los cuales se les da plena
validez.
El artículo 5 de la Ley establece principios
sobre confidencialidad y reserva: "se establecen los principios
de confidencialidad y reserva para los mensajes de datos,
cualquiera sea su forma, medio o intención. Toda
violación a estos principios, principalmente aquellas
referidas a la intrusión electrónica, transferencia
ilegal de mensajes de datos o violación del secreto
profesional, será sancionada conforme a lo dispuesto en
esta Ley y demás normas que rigen
la materia". Se
establecen principios que armonizan con disposiciones
constitucionales. La inviolabilidad y el secreto de la
correspondencia es una garantía establecida en la Constitución Política, recogida en
el numeral 13 del artículo 23, así como el numeral
14 del artículo 24.
Todos los mensajes están amparados por estas
disposiciones, independientemente de la forma de envío y
sin consideración de su medio o intención. La
reserva protege el tratamiento de datos de carácter
personal y la
libre circulación de estos, en lo que se refiere a las
comunicaciones
comerciales y a la responsabilidad de los intermediarios. El Estado
ecuatoriano garantiza la confidencialidad mediante cualquier
forma de interceptar o vigilar esas comunicaciones por parte de
cualquier persona que no
sea su remitente o destinatario salvo que esté legalmente
autorizada. En el caso de que se violen estos principios, existen
mecanismos constitucionales de control
legal.
Con relación a la protección de datos,
para la elaboración, transferencia o utilización de
bases de
datos, obtenidas directa o indirectamente del uso o
transmisión de mensajes, se requerirá el
consentimiento expreso del titular de éstos, quien
podrá seleccionar la información que quiera
compartir con terceros. Según el segundo y tercer párrafo
del artículo 9 de la Ley, "la recopilación y uso de
datos personales responderá a los derecho de privacidad,
intimidad y confidencialidad garantizados por la
Constitución de la República y esta Ley, los cuales
podrán ser utilizados o transferidos únicamente con
autorización del titular u orden de autoridad
competente. No será preciso el consentimiento para
recopilar datos personales de fuentes
accesibles al público, cuando se recojan para el ejercicio
de las funciones propias
de la administración
pública, en el ámbito de su competencia, y
cuando se refieran a personas vinculadas por una relación
de negocios,
laboral,
administrativa o contractual y sean necesarios para el mantenimiento
de las relaciones o para el cumplimiento del contrato".
La norma protege a la elaboración, transferencia
o utilización de bases de datos, siempre enmarcada dentro
de principios de confidencialidad y privacidad. En cualquiera de
estos casos, es un requisito sine qua non el consentimiento del
titular, pero no será necesario este consentimiento
expreso cuando se trate de situaciones que generen
correspondencia entre las partes para crear una base de
datos.
Resumiendo, vemos que existen principios
constitucionales y legales de protección a la
información que consta en una base de datos. Los mensajes
que se generen, deben estar acompañados siempre de
criterios y parámetros de respeto al bien
ajeno y a la propiedad
privada. Por esto se requiere el consentimiento para que sea
posible disponer del mensaje recibido o sujeto de envío.
También es importante resaltar que se prohíben las
bases de datos y la recopilación de direcciones
electrónicas, salvo que exista un consentimiento por parte
del dueño o sea producto de
funciones propias que se desempeñen entre partes y que se
vayan generando con el transcurso del tiempo. La Ley
considera que si se recopila y usan datos personales sin el
consentimiento previo, existe una violación flagrante a
los derechos de la
privacidad, confidencialidad e intimidad que se encuentran
garantizados por la Constitución.
El campo de aplicación de la Ley de Comercio y
Firmas Electrónicas está dado básicamente
por relaciones contractuales amparadas en el campo civil, aunque
también, de menor manera, tiene injerencia dentro del
ámbito penal. Este ámbito está dado
concretamente dentro de lo que ésta misma considera como
infracciones informáticas. La Ley agregó al
Código Penal una serie de infracciones antes no
contempladas para sancionar este tipo de delitos.
Hay dos artículos que revisten importancia dentro
de los delitos electrónicos de SPAM y CYBER CRIME. Se
agrega a continuación del artículo 553 del
Código Penal el siguiente artículo:
"Falsificación electrónica: son reos de
falsificación electrónica la persona o personas que
con el ánimo de lucro o bien para causar un perjuicio a un
tercero, utilizando cualquier medio, ALTEREN O MODIFIQUEN
MENSAJES DE DATOS, O LA INFORMACIÓN INCLUIDA EN
ÉSTOS, que se encuentre contenida en cualquier soporte
material, sistema de
información o telemático, ya sea:
- Alterando un mensaje de datos en alguno de sus
elementos o requisitos de carácter formal o
esencial; - Simulando un mensaje de datos en todo o en parte, de
manera que induzca a error sobre su autenticidad - Suponiendo en un acto la intervención de
personas que no la han tenido o atribuyendo a las que han
intervenido en el acto, declaraciones o manifestaciones de las
que hubieren hecho".
Para tener una idea sobre la ubicación de la
norma dentro del Código Penal, el legislador ha
considerado que estos delitos se deben encasillar dentro de los
delitos contra la propiedad y concretamente dentro del delito de
robo.
Esta disposición protege al consumidor de
cualquier tipo de información que sea falsa. Cuando se
refiere a información comercial que induzca a error o
engaño, la Ley de Defensa del Consumidor establece
protecciones y sanciones para evitar que este tipo de
prácticas se generalicen, lógicamente, protegiendo
al consumidor para que no se le oferte un producto de una
calidad y
reciba otra de distinta a la ofertada. La Ley de Defensa del
Consumidor no establece de manera expresa una protección
al consumidor, pero si de manera general, principios de
aplicación que se pueden aplicar para este caso en
concreto.
Pero volviendo al tema de la norma transcrita, el
alterar y simular un mensaje de datos, bien puede ser desde el
título (SUBJECT) del mail hasta su contenido.
También protege en el caso de que exista "engaño en
relación a quien envía (remitente) del mensaje, que
haga aparecer que el e mail proviene de alguien cuando en
realidad no proviene de esa persona ni está autorizado por
el remitente aparentemente para enviar algo usando su cuenta",
utilizando sus propias palabras.
En el caso de respuestas falsas a e mails, se puede
asimilar que existe una alteración o simulación
sobre la información que se envía. Adicionalmente,
en el punto tres de este artículo, establece que cuando
personas no han tenido injerencia en el mensaje que se
envía y se hace constar su nombre, existe un delito ya que
es imprescindible el consentimiento de terceros para que se
puedan enviar mensajes. Existe esta prohibición dentro de
lo que se establece para mensajes de datos y concordamos con los
principios de confidencialidad y privacidad que están
garantizados en la Constitución y esta misma
Ley.
El artículo 61 de la Ley establece que se incluya
a continuación del artículo 415 del Código
Penal el siguiente:
Daños Informáticos: el que dolosamente, de
cualquier modo o utilizando cualquier método,
destruya, altere, inutilice, suprima o dañe, de forma
temporal o definitiva, los programas, datos,
bases de datos, información o cualquier mensaje de datos
contenidos en un sistema de información o red electrónica,
será reprimido con prisión de seis meses a tres
años y multa de sesenta a ciento cincuenta dólares
de los Estados Unidos de
Norteamérica.
La pena de prisión será de tres a cinco
años y multa de doscientos a seiscientos dólares de
los EEUU cuando se trate de programas, datos, bases de datos,
información o cualquier mensaje de datos contenido en un
sistema de información o red electrónica, destinada
a prestar un servicio
público o vinculada con la defensa nacional.
Art… Si no se tratare de un delito mayor, la
destrucción, alteración o inutilización de
la infraestructura o instalaciones físicas necesarias para
la transmisión, recepción o procesamiento de
mensajes de datos, será reprimida con prisión de
ocho meses a cuatro años y multa de doscientos a
seiscientos dólares de los Estados Unidos de
Norteamérica"
Este artículo es muy interesante ya que engloba,
a mi entender, a los dos tipos de delitos que estamos analizando:
SPAM y CYBER CRIME. Si bien no voy a entrar en un análisis profundo sobre los daños,
la propiedad y cual es el bien jurídico protegido que
afecta estos delitos, ni tampoco a analizar que es el SPAM y el
CYBER CRIME, vamos a decir que con estos dos tipos de delitos se
producen daños, los mismos que están protegidos en
este artículo.
Para ejemplificar, pensemos que un virus entra al
sistema y daña o elimina toda la información que
ahí estaba contenida, y por otro lado, gracias al spam que
ingresa al sistema, la información colapsa. En estos
casos, la existencia de sabotaje es incuestionable y; por otro
lado, existe un daño causado. De esta manera, el autor del
crimen se enmarca dentro de la tipificación del delito de
daños informáticos. Es evidente que este
artículo abarca mucho más que un virus o un colapso
de información, sin embargo lo importante es que
determinamos que el delito está tipificado, lo que
garantiza una protección mayor al consumidor en el caso de
que se pueda probar de algún modo quien fue el culpable
del delito electrónico.
Hay otra disposición que no deja de ser
interesante. Dentro de los nuevos artículos que se
incorporan al Código Penal ecuatoriano consta el
siguiente:
"Obtención y utilización no autorizada de
información.- La persona o personas que obtuvieren
información sobre datos personales para después
cederla, publicarla, utilizarla o transferirla a cualquier
título, sin la autorización de su titular o
titulares, serán sancionadas con pena de prisión de
dos meses a dos años y multa de mil a dos mil
dólares de los Estados Unidos de
Norteamérica".
Esta artículo establece como delito a la
recolección indiscriminada de cuentas de emails
y la prohibición de ventas o
comercialización no autorizada de cuentas
de mail, para fines netamente comerciales.
Sobre el envío de comerciales no solicitados o
que en los mensajes, cuando se envía propaganda, se
establezca alguna señal (ADV en Estados Unidos), no hay
una regulación específica sobre el tema, por lo que
consideraría que no hay limitación ni
regulación alguna que obligue a especificar a quien
envía que el mensaje contiene propaganda. La única
limitación que puede existir es el respeto hacia terceros
y principios constitucionales que garanticen un respeto al
consumidor, pero ni siquiera así, ya que me parece muy
difuso si no existe una norma concreta al respecto.
De esta manera se ha hecho un amplio esbozo sobre la Ley
de Comercio Electrónico, Firmas Electrónicas y
Mensajes de Datos y la manera como la legislación
ecuatoriana protege este tipo de actos dándoles la
categoría de delitos.
De todos modos, quiero repasar puntualmente ciertas preguntas que
son usualmente formuladas, con el fin de que estos temas sean
resueltos de la manera más clara posible:
"Si podemos usar otras normas para atacar el envío de
spam, como por ejemplo, leyes de
protección de consumidores o sobre privacidad"
Si bien la Ley de Defensa del Consumidor establece normas
generales sobre inducir a error o engaño relacionado con
propagando o difusión de información, la ley
compete en estos casos, por ser una ley específica sobre
la materia, va a ser la Ley de Comercio Electrónico. Como
vimos anteriormente, el SPAM está regulado por la Ley de
la materia.
"Hay leyes sobre spam o emails que traten con temas
particulares como pornografía, distribución de un virus u otro
código malicioso, u oferta de
bienes
ilegales"
Dentro de la Ley de Comercio Electrónico, sobre
distribución de virus u otro código malicioso, se
regulan dentro de las disposiciones ya analizadas. En el caso de
pornografía u oferta de bienes ilegales, no existe ninguna
prohibición ni norma al respecto relacionada directamente
con la difusión a través de medios
electrónicas de manera específica, pero en el
Código Penal de manera más amplia, dentro de los
delitos sexuales, considera como un atentado contra el pudor a
este tipo de manifestaciones, sin importar el medio que se
utilice. La ley se expidió recientemente, por lo que no
hay ningún fallo jurisprudencial o doctrina que avalen
este criterio. Sin embargo, hay normas constitucionales que
protegen la honra, la moral, las
buenas costumbres, la libertad, la
falta al decoro y la dignidad personal, que se ven alterados con
el envío de este tipo de información.
"Hay leyes en contra del hacking"
Salvo las normas que se establecen en la Ley de Comercio
Electrónico, no hay normas adicionales al respecto.
"Hay proyectos de ley
en el Congreso sobre estos temas"
La Ley fue aprobada el 11 de abril de 2002 por el
Congreso Nacional y se publicó en el Registro Oficial
Suplemento No. 557 de 17 de abril del mismo año. Por el
momento, no hay ningún proyecto de ley
sobre la materia.
Autor:
Esteban Ortiz Mena