31 de julio de 2001

El peligro de la credulidad

Artículo publicado en la sección "Página Quince" del diario La Nación (ver publicación original).

Penosos hechos recientes prueban, de nuevo, lo que puede traer la credulidad de las personas. "Credulidad" es acoger a la ligera cuanto se nos diga. Es dejar de lado el sentido crítico para aceptar cuanto aserto venga de quienes parecen –ese es el problema: a veces solo parecen– saber de lo que hablan.

La credulidad es tan antigua como el género humano. De ella se han servido embusteros de todo signo para sacar provecho del candor, las esperanzas y las buenas intenciones de la gente.

Considérese, por ejemplo, la astrología. La idea de que la posición de los astros determina el carácter o el destino es tan absurda y carente de pruebas, que honestamente se maravilla uno de que haya quien esté dispuesto a creerla. Pero –sobra insistir– hay no pocas personas que lo hacen, con ayuda de periódicos y revistas cuya seriedad en otros temas no se cuestiona.

De extraterrestres y duendes. O considérense las historias de secuestros por extraterrestres. Seres alienígenas viajan por el cosmos para venir a practicar horribles experimentos que inevitablemente involucran las partes privadas de sus víctimas. Estas historias, claro, solo reescriben las que antes se contaban sobre duendes y brujas: les aplicamos un barniz tecnológico, los convertimos en extraterrestres y los crédulos de hoy tragan el anzuelo. "Eminentes autoridades" amasan fortunas de ese modo. No hace mucho aún vi en venta en una librería local –a precio muy rebajado, claro– el libro 1984: El fin del mundo.

La credulidad se alimenta de la ignorancia. Ello explica que algunas historias circulen a pesar de contrariar leyes científicas básicas y a veces hasta el sentido común. Hace poco, un angustiado conocido me advertía de villanos que, según él, ponen jeringas infectadas con el virus del SIDA en los asientos de los cines. Se lo expliqué, pero el hecho de que el virus sea incapaz de sobrevivir fuera del cuerpo no pareció tranquilizarlo mucho.

La credulidad también se asocia al "síndrome de autoridad falsa". A veces pensamos que solo porque alguien es muy respetado en un campo, o es una autoridad en determinada disciplina, se erige en dueño de la verdad en todos los campos. Y creemos sin chistar lo que nos diga. Esto lo saben los publicistas y por eso hay anuncios en que celebridades alaban productos que no tienen nada que ver con su materia.

En manos de charlatanes. Pero lo más trágico viene cuando la candidez se junta con la codicia. La promesa de lucro rápido y fácil es eficaz para que gente, por lo demás prudente, caiga en manos de charlatanes. No en vano sabe la policía que la credulidad, de la mano de la avaricia, es la mejor amiga de los estafadores. Así ha sido a través de los siglos.

Todo cambia y todo sigue igual. Hoy, Internet es el medio por excelencia para sacar partido de la credulidad. En la red, los mitos y "leyendas urbanas" adquieren nueva vida. Las historias que antes circulaban de boca en boca, o de mano en mano, ahora viajan a velocidad de la luz y dan la vuelta al mundo, gracias a cualquiera que se preste para reenviarlas –de un clic– a todos sus familiares y conocidos.

Abundan en Internet historias de niños perdidos o gravemente enfermos. No hay cómo saber cuáles son ciertas y cuáles no. Pero, aunque lo sean, que el niño sane o reaparezca no impedirá que la historia siga circulando, tan fresca como el primer día. Falsas alarmas de virus informáticos e historias sobre el dinero que Microsoft nos dará por reenviar un mensaje de correo, campean junto a las clásicas advertencias sobre el fin del mundo por el alineamiento de los planetas y las cartas en cadena que cumplirán nuestro deseo si las remitimos a otras 50 personas... si no lo hacemos, nos traerá mala suerte.

En uno de sus últimos libros, el ahora difunto científico Carl Sagan explicaba que la educación y el escepticismo son la cura para la credulidad. Y advierte que el escepticismo se debe practicar constantemente. Es más, se debería enseñar en las escuelas para preparar a las personas a resistir la charlatanería. Una dosis de sano escepticismo realmente puede ponernos a salvo de farsantes y de tiranos. Y eso, definitivamente, vale la pena.

4 de julio de 2001

¿Es viable el voto electrónico?

Este artículo apareció en la revista electrónica Democracia Digital, edición de junio del 2001
y en la sección "Página Quince" del diario La Nación del 4 de julio del 2001 (ver publicación original).

El proyecto de Código Electoral preparado por el Tribunal Supremo de Elecciones (TSE; expediente legislativo número 14.268) contempla una serie de iniciativas sobre las cuales se ha venido discutiendo bastante en las últimas semanas. Hasta ahora, la más polémica de ellas había sido la relativa al llamado "voto preferencial", que ha recibido tanto manifestaciones de apoyo como de rechazo. Sin embargo, un reciente dictamen del Departamento de Servicios Técnicos de la Asamblea Legislativa ha puesto sobre el tapete, de modo crítico, otros extremos del proyecto; entre ellos, el relativo a la posibilidad de emitir el sufragio por medios electrónicos. En principio, la impugnación hecha al respecto tiene que ver con la inseguridad que se achaca a este procedimiento, en comparación con el método tradicional de votación basado en papeletas impresas.

El artículo 128 del proyecto de Código efectivamente autoriza al TSE a normar, por vía de reglamento, las condiciones referentes a los diversos aspectos del proceso eleccionario y a los mecanismos de sufragio y escrutinio de votos, “inclusive cuando los medios sean electrónicos”. Más adelante, el numeral 140 se refiere a las formas de emitir el voto, indicando que “el Tribunal podrá emplear medios electrónicos de votación, cuando llegue a determinar que son confiables y seguros. Entonces podrá prescindir de las papeletas y los procedimientos inherentes a su uso.” Finalmente, el artículo 155 dispone que “Cuando se utilicen medios electrónicos de votación, conteo o escrutinio, el reglamento respectivo deberá asegurar que se preserve el secreto del voto y la seguridad y transparencia del proceso, para cuyos efectos los partidos y grupos independientes con candidaturas inscritas, podrán acreditar adicionalmente fiscales en calidad de expertos técnicos ante las Juntas Receptoras de Votos y el Tribunal Supremo de Elecciones.

Al tema del voto electrónico ya se había referido antes -favorablemente- la Procuraduría General de la República, en su opinión consultiva OJ-037-2001. Según el criterio de dicho órgano técnico, las indicadas disposiciones del nuevo Código “(permitirán) la adopción de tecnologías más adaptadas a los requerimientos de la sociedad moderna y que al mismo tiempo, acerquen a los electores al sufragio y en general propicien una mayor participación política”.

Estos criterios contrapuestos sirven para ilustrar el hecho de que en torno al tema del sufragio electrónico existen tesis antagónicas, ya no sólo en nuestro medio sino también en la doctrina especializada de la materia electoral. ¿Cuáles son las razones que militan tanto a favor como en contra del voto por medios informatizados? A continuación una breve síntesis:

Por qué sí

Los defensores del voto electrónico ofrecen argumentos importantes y de mucho peso para explicar por qué este novedoso sistema es deseable. Entre ellos:

  • Simplicidad para el elector en la forma de votar; por ejemplo, empleando pantallas sensibles al tacto, con diseños intuitivos y mecanismos de ayuda y retroalimentación visuales y/o sonoros que la papeleta tradicional no podría ofrecer.
  • Reducción del abstencionismo, posibilitando la emisión del voto desde cualquier punto habilitado para ese efecto (incluso por Internet: desde el domicilio, el extranjero, un hospital en caso de pacientes internados, etcétera), a diferencia de los sistemas que exigen que los electores voten solamente en la circunscripción territorial en las que aparezcan inscritos, como lo hace la actual legislación de la materia.
  • Disminución de gastos de transporte de electores, derivado del factor anterior. Se sabe que este aspecto, por sí sólo, representaría muchos millones de colones.
  • Autenticidad del voto, al garantizar que el sufragio que emite el ciudadano es completamente privado y personal.
  • Como consecuencia de lo anterior, mayor pureza del sistema electoral, al eliminar las posibilidades de fraude derivadas de la manipulación física de papeletas impresas, el voto múltiple o "chorreo".
  • Eliminación del problema de la elevada generación de desechos por materiales electorales, con la consiguiente protección de los recursos naturales.
  • Máxima exactitud y rapidez en la determinación de los resultados del proceso y la información a la ciudadanía de los candidatos elegidos, mediante el escrutinio electrónico y la transmisión telemática de los cómputos electorales de cada mesa.
  • Menor carga de trabajo en el escrutinio de la votación para el personal responsable de las juntas electorales.
  • Garantías de confidencialidad y seguridad, mediante salvaguardas tecnológicas.
  • Modernización del sistema de votación, aproximando a los ciudadanos a la utilización de nuevas tecnologías como las tarjetas con banda magnética o bien las denominadas "tarjetas inteligentes".

En resumen, el voto electrónico pretende garantizar la transparencia y la seguridad de las elecciones, estableciendo objetivos como eliminar el fraude electoral, reducir el tiempo de obtención del escrutinio y facilitar el ejercicio de voto por los analfabetos, entre otros.

Por qué no

Como se explicó, la preocupación central que gira en torno al voto electrónico es la de su seguridad y fiabilidad, o -más exactamente- la alegada ausencia de ellas. En un artículo titulado "Risks of Internet Voting" (Communications of the ACM; junio 2000), Lauren Weinstein explica algunos de los principales peros del sistema. Por ejemplo, ¿cómo garantizar un riguroso mecanismo de autenticación (que, de paso, no es en realidad uno sino al menos cuatro problemas correlativos de autenticación y certificación: de la máquina desde la que opera el votante, del servidor o servidores del sistema de votación, del votante y del sistema de voto), protegiendo al mismo tiempo la garantía del secreto del sufragio?

Pero existen dificultades menos obvias. Se ha insistido, por ejemplo, en que el código fuente de todo el software involucrado en los procesos eleccionarios debería estar abierto a la inspección de expertos confiables, tanto independientes como de los partidos interesados. Pero está claro que una exigencia de este tipo crearía dificultades para la adopción de ciertas soluciones comerciales, cuyos proveedores obviamente querrán proteger sus derechos de propiedad intelectual y sus secretos industriales.

Y, desde luego, está también el inevitable riesgo de los errores y debilidades inherentes a la creación y funcionamiento de cualquier sistema informático complejo, que escapan a los procesos normales de prueba y depuración pero que -en estricta conformidad con las famosas leyes de Murphy- suelen aparecer en el momento más indeseable, que en nuestro caso sería el propio día de las elecciones. Como señala Weinstein, en última instancia, la experiencia indica que los riesgos de seguridad de los modernos sistemas telemáticos no radican tanto en los protocolos de comunicación sino en los propios servidores, en lo relativo a sus métodos de control y prevención de accesos no autorizados. Así como hemos visto serios problemas en ese sentido en el ámbito comercial, podríamos encontrarlos también en el electoral.

Otra crítica que enfrenta la adopción de mecanismos informatizados de votación es la que pronostica que su empleo estimularía la tendencia de los gobiernos a organizar plebiscitos electrónicos (un medio de democracia directa) para enfrentar la oposición parlamentaria y tratar de eludir así los mecanismos de negociación y concertación que son indispensables en los regímenes de democracia representativa como el nuestro. De esa manera, se podría llegar a minar el control político del Parlamento (Asamblea Legislativa) y la legitimidad del propio sistema electoral como un todo. Por ende, en un sistema de votación electrónica, deberán estar claramente definidos cuáles temas pueden y deben ser sometidos a consulta pública y cuáles deben permanecer dentro del ámbito de competencia exclusiva del parlamento.

Pero en definitiva, la barrera más difícil de superar quizás sea la puramente cultural. Inevitablemente habrá quienes no sientan que votan si no lo hacen en papel. Y votar por Internet podría conspirar en contra del ambiente festivo y la interacción humana que ha caracterizado a nuestras elecciones nacionales. Son factores que vale la pena tomar en cuenta y analizar con cuidado.

Finalmente, está claro que la eventual introducción de medios electrónicos de votación en redes abiertas como Internet abriría todo una nueva gama de posibilidades a los desarrolladores maliciosos de software ("hackers" y "crackers"). La tentación de penetrar los sistemas electorales, crear virus o lanzar ataques de denegatoria de servicios podría ser -y de seguro será- irresistible para algunos de ellos. Aun cuando no lleguen a alterar los resultados electorales, el sólo hecho de entorpecer el desarrollo del proceso podría ser atractivo y contribuiría sin duda a poner a aquéllos en tela de juicio.

Realidades prácticas

El voto electrónico ya ha sido puesto a prueba e incluso adoptado plenamente en diversos países. Por ejemplo, se ha empleado en Bélgica a partir de 1991; en Holanda desde 1995; en Brasil y Filipinas desde 1996; así como en México, Perú y otras naciones. Experimentos de esta naturaleza viendo siendo valorados en Canadá, Argentina, Japón, India, España, Australia, Francia, Noruega y Dinamarca, entre otros. En enero y marzo del 2000, se utilizó por primera vez la votación vía Internet en las elecciones primarias de los estados de Alaska y Arizona respectivamente, de los EE.UU. En las elecciones presidenciales de noviembre del 2000 en este último país, 200 oficiales militares ubicados fuera del país fueron los primeros en emitir votos válidos por Internet.

Brasil es el país más avanzado en la implantación de sistemas de voto electrónico. En las últimas elecciones de octubre de 2000, unos 109 millones de electores emitieron el sufragio por esta vía.

Aun cuando el balance general de estas experiencias ha sido positivo, se han constatado también algunos contratiempos que pueden ir de leves a severos. Por ejemplo, en las mencionadas elecciones del estado de Arizona se recibieron quejas diversas por parte de algunos electores confundidos, al tiempo que se encontraron problemas de sobrecarga de los sistemas.

Qué hacer

Pensamos que no obstante sus evidentes complejidades, las ventajas que ofrece la posibilidad de votar electrónicamente son innegables y de mucho peso. De toda suerte, un cuidadoso y pensado proceso de implantación (por medio de planes piloto a corto y mediano plazo), de la mano de reformas legales coherentes y bien diseñadas, puede minimizar los riesgos asociados.

Lo primero es tener claro que votar electrónicamente no necesariamente equivale a votar por Internet. Aunque esto último podría ser visto como una meta deseable a futuro, es claro que podemos posponerla en favor de mecanismos menos ambiciosos pero dotados también de las ventajas del medio informático, como lo son las urnas electrónicas.

En última instancia y siguiendo al autor español Martínez Castaño, pensamos que un sistema ideal sería aquel que, como mínimo, tenga las siguientes características:

  • Que no sea posible alterar el resultado electoral, ignorando votos válidos, manipulándolos o contabilizando votos inválidos.
  • Que sólo puedan votar los electores legitimados y cada uno de ellos sólo pueda emitir un voto.
  • Que el voto sea secreto. El sistema, además, debe evitar el riesgo de coerción y el resultado de la votación debe ser privado hasta que se haya cerrado el plazo.
  • Que el votante pueda validar su propio voto a posteriori, para verificar que ha sido tenido en cuenta.

En adición a lo anterior, es importante tener presente que -como sucede en general con todas las actividades relevantes asociadas a la técnica y la tecnología- el marco jurídico debe ser lo suficientemente flexible como para adaptarse a los avances futuros. Lo recomendable sería que por medio de ley solamente se regulen los aspectos atinentes a la creación de competencias o potestades de imperio, o que impliquen regulación de derechos fundamentales, librando a la vía reglamentaria lo tocante a los detalles de implementación. Esta es la vía que adopta el proyecto de Código Electoral y por ello la juzgamos correcta.

La imposibilidad de garantizar un mecanismo cien por ciento seguro y confiable no debe llevarnos a desistir de continuar avanzando hacia el voto electrónico. Después de todo, sabemos que el método tradicional tampoco es a prueba de fallos. En mi criterio, la meta debe ser lograr un nivel razonable de seguridad, comparable como mínimo al que ofrece la papeleta impresa. Más adelante, los continuos procesos de evaluación y ajuste nos llevarán a buscar y lograr niveles más avanzados.

Una vez aprobadas las reformas legales propuestas, el TSE tendrá en sus manos la posibilidad de impulsar el siguiente estadio del interminable proceso de perfeccionamiento de nuestro régimen electoral.

5 de mayo de 2001

Potenciando la vivencia democrática

Artículo publicado en la sección "Página Quince" del diario La Nación (ver publicación original).

En su reciente obra La resistencia, Ernesto Sábato denuncia con vehemencia el empleo de la tecnología para crear mundos virtuales que, a la postre, más que acercar a las personas solo contribuyen a quebrar la posibilidad de una verdadera comunicación a la antigua: cara a cara. No soy quién para contradecir al maestro, pero sí creo que es posible optar por una visión más optimista acerca de lo que pueden brindarnos los avances técnicos y científicos.

Un terreno crucial lo constituye la exploración de las posibilidades que ofrece la tecnología en general -Internet en particular- para fomentar la vivencia democrática. Está claro que hoy el país enfrenta el desafío de buscar y poner en práctica nuevas vías para depurar y fortalecer el régimen republicano y estimular el interés y la participación de los ciudadanos, tan venida a menos, en la gestión pública.

El proyecto Democracia Digital nace de la apuesta que sus editores hacemos a que la red mundial -capaz de recoger desde lo más sublime hasta lo más grotesco que la imaginación puede crear- posee ese potencial. Aunque está orientado a una audiencia amplia, tenemos la firme esperanza de que los jóvenes -dada su casi ilimitada capacidad para soñar y aprovechar las nuevas aplicaciones que este medio ofrece- respondan con mayor energía. Después de todo, se trata de quienes tienen el futuro del país en sus manos.

Democracia Digital es una iniciativa cívica, no lucrativa y totalmente voluntaria, organizada alrededor de tres áreas temáticas centrales (que no excluyen otras vertientes de eventual interés).

Participación ciudadana. El Estado moderno heredó del príncipe medieval -entre otras características- la lejanía: el distanciamiento de los ciudadanos. El acceso a las autoridades públicas es hoy difícil y restringido. Además, la organización compleja y una burocracia devota de lo que algunos llaman tramitología hacen que la interacción ciudadano-gobierno se caracterice por la lentitud y la necesidad de superar innumerables obstáculos hasta lograr la meta deseada. Creemos que la tecnología puede acortar la brecha, posibilitando el concepto del "gobierno electrónico": un Estado que interactúa con los administrados y les presta servicios directos, por medios telemáticos.

Formación cívico-electoral. La tecnología también puede fortalecer la educación cívica, estimulando nuevas formas organizativas de cara a los distintos procesos electorales, nacionales o locales. En este plano, se puede enriquecer el debate de temas como la participación política de la mujer y de otros sectores insuficientemente representados, la reforma electoral, el voto electrónico, etc.

Transparencia política. La tecnología puede proporcionar espacio para que los ciudadanos conozcan y comparen objetivamente las diversas ofertas políticas y los temas en verdad relevantes, al margen de la propaganda tradicional. En efecto, se sabe que la propaganda por lo general solo contribuye a tender una cortina de humo sobre el debate de los aspectos medulares y apremiantes. Los partidos mayoritarios monopolizan la comunicación gracias a su mayor capacidad económica, ahogando el mensaje de las fuerzas que procuran emerger con nuevas propuestas. Por ende, Internet -quizás el medio de comunicación más igualitario y democrático de la historia- puede nivelar las oportunidades y ofrecer al elector un punto de vista más reposado y objetivo.

Democracia Digital pretende servir como centro de acopio y punto de referencia para el acceso a información actualizada y confiable sobre las tres áreas temáticas propuestas. Por ejemplo, esperamos ofrecer una perspectiva clara sobre el tema de la reforma electoral, contrastando iniciativas como el proyecto de nuevo Código de la materia y la denominada Ley de partidos políticos. En este sentido, el enfoque tiende a centrar el análisis el torno a la necesidad de fortalecer la permanencia e independencia del Tribunal Supremo de Elecciones, como garante de la pureza del sufragio.

Confiamos en que este esfuerzo halle eco entre los más diversos sectores de la sociedad, aportando sus propias reflexiones en torno a estos temas o visitando el proyecto para aprovechar los recursos que ofrece. Si se puede contribuir así un poco al combate de la apatía y el descrédito de lo político, el experimento habrá sido un éxito.

1 de marzo de 2001

La promesa del gobierno electrónico

Este artículo apareció en la revista electrónica Democracia Digital

A partir de sus orígenes en las postrimerías de la Segunda Guerra Mundial, la informática moderna ha impactado cada vez más áreas del quehacer humano. Y de esta influencia no se ha escapado el tema de la interacción entre ciudadanos y Estado, especialmente en aquél ámbito de la actividad de éste que constituye la Administración Pública en sentido estricto.

En efecto, el Estado moderno heredó del príncipe medieval -entre otras características- la de la lejanía, el distanciamiento que ordinariamente lo aleja de los administrados. El acceso a las autoridades públicas es, por lo general, difícil y restringido. Además, la organización compleja y la existencia de una burocracia que devotamente practica lo que algunos han dado en llamar "tramitología", hace que la interacción ciudadano-gobierno se suela caracterizar por la lentitud y la necesidad de superar innumerables obstáculos hasta lograr la meta deseada.

Los avances de la telemática han llevado así a pensar en la posibilidad de emplear la tecnología como un medio para acercar al Estado a los ciudadanos, tornándolo más accesible y menos complicado. Esto es importante y deseable, particularmente si recordamos que entre los principios cardinales del servicio público se encuentran los de eficiencia y adaptación a las necesidades sociales. [1]

Es de este modo, entonces, que surge el instituto del gobierno electrónico. Esta noción se basa en la idea de emplear medios informáticos no sólo para permitir a los administrados una mejor y más intensa comunicación con sus gobernantes a todo nivel, sino además para permitir la prestación directa de servicios y el sometimiento de toda clase de gestiones a los despachos administrativos, obteniendo por la misma vía la resolución correspondiente. Esto último, a su vez, da paso al concepto de registro electrónico de gestiones.

Analicemos ambas vertientes.

Comunicación gobernantes-gobernados

Se ha popularizado el establecimiento de sitios web por parte de los despachos públicos para efectos de brindar información a los ciudadanos y proporcionarles un mecanismo para dirigir a aquéllos sus peticiones, comentarios o sugerencias. Para este propósito se suele ofrecer formularios interactivos, directorios de correo electrónico o ambas cosas.

Una aplicación muy interesante de esta política se da en los parlamentos y cámaras legislativas, en los que se otorga a los ciudadanos la posibilidad de contactar a los legisladores y ofrecer su criterio no sólo sobre la labor que éstos desempeñan, sino incluso sobre las diversas iniciativas legislativas en trámite.

A través de mecanismos de esta índole, se procura intensificar la vivencia democrática y participativa, disminuyendo la ya comentada brecha entre el Estado y los particulares.

Obviamente, lo ideal es que el acceso a las dependencias públicas por esta vía se simplifique de la mayor manera posible. Una buena opción para lograrlo es estableciendo un único punto de entrada al sistema, de diseño sencillo y amistoso, a partir del cual los usuarios puedan encontrar rápidamente la información de su interés, en vez de tener que mantener catálogos propios de direcciones de red. En Costa Rica se ha venido desarrollando un proyecto en este sentido, a iniciativa del Poder Ejecutivo y cuyo lema es la creación de un "Estado digital".

El registro electrónico de gestiones

En general, por "registro electrónico de gestiones" [2] entendemos la posibilidad de someter documentos electrónicos a las dependencias públicas, por vías telemáticas.

Las ventajas que ello ofrece son claras y múltiples:

  • Al eliminar la necesidad de traslado físico del gestionante hasta la oficina pública en cuestión, se ahorra tiempo y dinero.
  • Los despachos se descongestionan, reduciendo las interminables filas en las diversas ventanillas de atención.
  • La información se captura electrónicamente en la oficina de destino, minimizando la posibilidad de error y eliminando la necesidad de digitar nuevamente los datos.
  • Se da la opción a los ciudadanos de remitir los documentos fuera de las horas normales de oficina.
  • Prescindiendo del papel, se ejerce un impacto positivo sobre el ambiente, no sólo a nivel de la destrucción de recursos escasos para producirlo sino además de la generación de desechos.

Los lineamientos generales sobre e-filing incluyen los siguientes [3]:

  1. Las entidades gubernamentales se entienden autorizadas -pero no obligadas- a producir, recibir, aceptar, adquirir, registrar, almacenar, transmitir o retransmitir registros electrónicos. Esto siempre y cuando,

    a.- Se aseguren de que cualquier ciudadano que requiera los servicios de esas entidades pueda tener acceso a los registros según lo establezca la ley y pueda obtener copias de ellos en papel, cancelando las tasas que al efecto disponga aquélla.

    b.- No se nieguen a recibir documentos en soportes no electrónicos, como el papel, cuando la ley no establezca como obligatorio el formato electrónico. Y,

    c.- No exijan la presentación electrónica si así no lo estipula la ley.

  2. Los despachos públicos deben establecer procedimientos y controles diseñados para asegurar la autenticidad, integridad, seguridad y -cuando fuere pertinente- la confidencialidad de los registros electrónicos.
  3. En ausencia de exigencias legales específicas, se entenderá que cada oficina estará autorizada para especificar la manera y el formato por el cual los registros electrónicos serán recibidos, producidos, aceptados, adquiridos, registrados, almacenados, transmitidos o retransmitidos, así como el modo por el cual se dará acuse de su recepción.
  4. Los despachos estatales deberán publicitar ampliamente cuál es el mecanismo de recepción designado.

El registro electrónico de gestiones ha venido siendo empleado muy exitosamente desde hace algún tiempo ya en la administración tributaria de los Estados Unidos. Por este medio, los ciudadanos pueden someter electrónicamente sus declaraciones de impuestos, actividad que el fisco está obviamente muy interesado en facilitar. Otros países han seguido la tendencia. Por ejemplo, a finales de 1999 se aprobó también en Australia una amplia legislación para permitir el registro electrónico de gestiones dirigidas por los ciudadanos al gobierno. Entre los procesos gubernamentales que se busca agilizar se encuentran: la renovación de licencia de conducir, las presentación de planillas, las solicitudes de empleo, la presentación de declaraciones aduaneras, etc.

Algunas dependencias nacionales (como el INS y los bancos) vienen ensayando iniciativas en este sentido. Es de esperar que paulatinamente se incorporen cada vez más servicios.

Tendencias globales en materia de gobierno digital

Los estudiosos del tema han venido señalando la existencia de una serie de etapas definidas en el proceso de digitalización de los servicios estatales. En efecto, “... en el establecimiento de este nuevo gobierno electrónico podemos apreciar cuatro etapas básicas, según los analistas de la revista The Economist: (i) la etapa de presentación de información, en la cual las diferentes agencias gubernamentales ofrecen información sobre sí mismas a través de la red al público en general; (ii) en una segunda etapa la comunicación se torna bidireccional, permitiendo al público usuario remitir vía electrónica información propia; (iii) en la tercera etapa se permite un intercambio más efectivo entre el gobierno y los administrados, permitiendo por ejemplo, el pago de una tasa administrativa o la obtención de un certificado vía electrónica; (iv) en la cuarta y última etapa todos los servicios gubernamentales son integrados en un solo portal el cual reúne condiciones de funcionalidad y facilita información en forma completa sobre el gobierno.” [4]

Apuntes finales

No cabe duda de que, para hacer posible la promesa del gobierno digital, se requiere de una serie de importantes ajustes a nivel de infraestructura técnica y jurídica. En especial, se ha destacado la necesidad de promover toda una nueva cultura de la prestación de servicios de la Administración por vía telemática. Para lograrlo, se requiere garantizar, entre otros factores: a.- el acceso pleno de los ciudadanos a la Internet (lo cual incluye familiarizar a los niños y jóvenes con la red desde la escuela y colegio); y, b.- la modernización de las estructuras estatales para su traslado a la esfera digital. [5]

Se podría criticar -y, de hecho, se ha criticado- que estos mecanismos tan sólo tienden a aumentar la brecha entre los administrados que tienen la capacidad y conocimiento necesarios para emplear la tecnología y quienes no los poseen. Si bien ello puede resultar cierto, también lo es que crecientemente vienen desarrollándose diversos programas para acercar a los ciudadanos de menores recursos al uso de la tecnología. En última instancia, habría que admitir de todos modos que aun cuando no fuera así, estas personas también podrían beneficiarse a través de la disminución de las colas de espera en las oficinas gubernamentales, porque los ciudadanos que empleen los medios electrónicos no tendrán que acudir a estos despachos a formalizar sus gestiones.

En conclusión, la promesa del gobierno electrónico es la de acercar el Estado a los ciudadanos, superando el distanciamiento que lo ha caracterizado desde hace siglos, abriendo toda una nueva gama de servicios y medios para posibilitar la más plena satisfacción de necesidades y realización de expectativas. Sin duda alguna, se trata de una de las más claras tendencias del siglo que recién inicia.

Notas

  1. Artículo 4 de nuestra Ley General de la Administración Pública.
  2. Conocido en la jerga informática inglesa como "electronic filing" o "e-filing".
  3. Tomamos como referencia lo dispuesto al efecto en la "Electronic Signatures and Records Acts", promulgada en el estado de Nueva York, EE.UU., en el año 2000.
  4. FERNÁNDEZ ORIGGI, Ítalo. "El Gobierno en la Era Digital, E-goverment". En Revista Electrónica de Derecho e Informática, publicación electrónica. Agosto del 2000.
  5. VELARDE KOECHLIN, Carmen Milagros. "Hacia una Democracia Digital, Propuestas de Aplicación". En Revista Electrónica de Derecho e Informática, publicación electrónica. Noviembre del 2000.

2 de noviembre de 2000

Regulaciones actuales y proyectos de reforma sobre delitos informáticos en Costa Rica

Este artículo apareció originalmente en el número 29 de la Revista Electrónica de Derecho Informático. Actualizado el 30 de agosto del 2012.

Introducción

En febrero del año 2000, se realizó en San José de Costa Rica un encuentro de Ministros de Justicia del continente americano. Uno de los temas tratados en esa reunión fue el creciente fenómeno de la delincuencia informática. Como acuerdo concreto, se dispuso intensificar los esfuerzos por establecer un frente común de combate a la ciberdelincuencia, reconociendo su cada vez mayor carácter internacional. Poco después, una conferencia del grupo G-8 de países industrializados hizo eco de esta misma preocupación, a la vez que la Unión Europea anunció la aprobación de un tratado sobre la materia, el "Convenio europeo sobre ciberdelincuencia". Se inició así una serie de importantes innovaciones jurídicas a nivel legislativo, alrededor del mundo.
Es oportuno, consecuentemente, realizar un repaso de la situación actual y de las perspectivas a corto plazo en el tratamiento normativo del delito informático en nuestro país.
A manera de preliminar y con el propósito de brindar un contexto sistemático al tema, haremos primero una breve reflexión sobre las diversas tendencias legislativas observadas en lo que toca a la tipificación de los delitos informáticos en los distintos sistemas jurídicos. Posteriormente brindaremos un vistazo de la situación actual costarricense en la materia, para concluir repasando las principales propuestas de reforma jurídica que encontramos en la agenda del legislador patrio.

Técnicas legislativas frente a la delincuencia informática

En el actual Derecho Informático vemos desarrollar al menos dos amplias polémicas en torno al tema de interés. De una parte, se discute sobre si los delitos informáticos realmente son nuevas modalidades de criminalidad o si estamos solamente ante una forma novedosa de cometer delitos tradicionales. Para aquellos que se inclinan por la primera postura, se plantea además el problema de la unidad o multiplicidad de la delincuencia informática; esto es, de si existe tal cosa como un único "delito informático" o si se trata de tipos heterogéneos, que ameritan un tratamiento individualizado. En general, de la postura que se adopte respecto de ambas interrogantes dependerá la clase de técnica adoptada para normar sobre esta materia.
Podríamos así establecer tres tendencias legislativas básicas [1]:
  1. Allí donde se estime que la delincuencia informática simplemente viste con un nuevo ropaje a conductas criminales previamente conocidas y tipificadas, se optará por reformar o agregar secciones o incisos a las figuras penales preexistentes para contemplar las nuevas modalidades tecnológicas de su comisión (ejemplos: Paraguay y, en cierta medida, España).
  2. En los ordenamientos que se prefiera pensar en el ciberdelito como una nueva clase de conducta criminal, de carácter unitario, se procurará normarlo mediante el diseño de un tipo penal nuevo (llámese "delito informático" o de otra manera) que se adicionará al respectivo Código Penal.
  3. Finalmente, en el caso de que exista una inclinación a visualizar la delincuencia informática no sólo como una manifestación novedosa sino, además, como una que presenta múltiples facetas y vías de comisión, probablemente se elegirá agregar un capítulo separado sobre delincuencia informática al Código Penal o las respectivas leyes especiales que lo pretendan reglar (capítulo separado: Bolivia, Francia; leyes especiales: Venezuela, Chile, Estados Unidos, Alemania).
Como es de esperar, cada alternativa presenta sus pros y contras. Sin embargo, pareciera que la segunda es la menos favorecida, visto lo difícil que resulta pretender encontrar una redacción tan comprensiva y general como para que cubra con efectividad todas aquellas circunstancias en que la informática puede intervenir en la configuración de un ilícito. Por ejemplo, un proyecto de ley del Ministerio de Justicia de Chile, de 1986, [2] pretendía tipificar el "delito informático" con una redacción tan abigarrada que resultaba virtualmente inmanejable. [3] Personalmente coincido en que el hecho fundamental de que la informática pueda servir tanto de objeto de la conducta criminal como de simple medio para su comisión, en sí mismo desvirtúa la posibilidad de darle una regulación unitaria al fenómeno de la ciberdelincuencia, restándole viabilidad jurídica a esta corriente legislativa.

Situación actual en Costa Rica

Establecido el marco conceptual anterior, podemos especificar que el legislador costarricense (al igual que el de Argentina y Brasil) se ha inclinado por un sistema mixto; es decir, que combina más de una de las tendencias citadas, lo cual ha conducido a situaciones de notoria inconsistencia normativa.
El desarrollo positivo nacional en materia de cibercriminalidad es escaso, como probablemente sea la tónica en la mayoría del área latinoamericana. Hasta el momento, solamente unas pocas leyes prevén figuras de esta naturaleza. A ellas se une la normativa sobre derechos de autor, que desde una óptica general tutela al software y que, por ende, algún interés presenta también para el tema bajo examen.
Examinemos a continuación las normas mencionadas.

Código de Normas y Procedimientos Tributarios

El Código de Normas y Procedimientos Tributarios [4] -junto con otras disposiciones de la misma materia- pasó por un importante proceso de ajustes legislativos, particularmente y en cuanto interesa, los introducidos por ley número 7535 ("Ley de Justicia Tributaria") del 1 de agosto de 1995; y la número 7900, publicada en el diario oficial La Gaceta del 17 de agosto de 1999.
Es así como en su Título 3 ("Hechos Ilícitos Tributarios"), Capítulo 3 ("Sanciones Penales") encontramos la Sección 2 ("Delitos Tributarios"), con cuatro preceptos de importancia:
  • El artículo 94 establece sanciones por acceso desautorizado a la información. Será castigado, con prisión de uno a tres años, quien, por cualquier medio tecnológico, acceda a los sistemas de información o las bases de datos de la Administración Tributaria, sin la autorización correspondiente.
  • De acuerdo con el numeral 95 ("Manejo indebido de programas de cómputo"), se impondrá pena de tres a diez años de prisión, a quien -sin autorización de la Administración Tributaria- se apodere de cualquier programa de cómputo utilizado por aquélla para administrar la información tributaria y sus bases de datos; lo copie, destruya, inutilice, altere, transfiera o lo conserve en su poder, siempre que la aplicación haya sido declarada de uso restringido, mediante resolución.
  • La sanción para quien facilite su código y su clave de acceso, asignados para ingresar a los sistemas de información tributarios, para que otra persona los use, es de prisión de tres a cinco años (artículo 96). Si ello ocurriere culposamente, la prisión será de seis meses a un año (artículo 97).

Ley General de Aduanas

La vigente Ley General de Aduanas [5] incorpora un Título 10, denominado "Delitos Aduaneros, Infracciones Administrativas y Tributarias". Éste, a su vez, contiene un Capítulo 2, titulado "Delitos Informáticos", con dos artículos.
  • Conforme al artículo 221, se reprimirá con prisión de uno a tres años a quienes:
    a) Accedan, sin la autorización correspondiente y por cualquier medio, a los sistemas informáticos utilizados por el Servicio Nacional de Aduanas.
    b) Se apoderen, copien, destruyan, inutilicen, alteren, faciliten, transfieran o tengan en su poder, sin autorización de la autoridad aduanera, cualquier programa de computación y sus bases de datos, utilizados por el Servicio Nacional de Aduanas, siempre que hayan sido declarados de uso restringido por esta autoridad.
    c) Dañen los componentes materiales o físicos de los aparatos, las máquinas o los accesorios que apoyen el funcionamiento de los sistemas informáticos diseñados para las operaciones del Servicio Nacional de Aduanas, con la finalidad de entorpecerlas u obtener beneficio para si o para otra persona. Y,
    d) Faciliten el uso del código y la clave de acceso asignados para ingresar en los sistemas informáticos. La pena será de seis meses a un año si el empleo se facilita culposamente.
    Como se nota, un mismo tipo reúne la previsión de acciones múltiples: la penetración no autorizada de sistemas (en el inciso a), la sustracción o reproducción ilícita de software junto con el sabotaje informático (en el inciso b) y el daño informático (inciso c). Por su parte, el último precepto contempla una conducta que podría discutirse si debe quedar regulada como un tipo autónomo (de la clase que algún sector de la doctrina penalista califica de "delitos de peligro") o si pareciera más bien una modalidad de participación (en carácter de complicidad) en un ilícito informático cometido por terceros.
    Nótese que hay reiteración de figuras respecto de las contempladas en el Código Tributario, previamente citado, solo que con una sanción mayor. A esto nos referíamos al comentar acerca de los peligros de promulgar normas especiales -en vez de una regulación general- en materia tan delicada. La incongruencia legislativa nos parece evidente e injustificable, desde que las materias tributaria y aduanera son áreas estrechamente entrelazadas del Derecho Financiero. No percibimos entonces la razonabilidad de sancionar diferenciadamente un mismo injusto penal.
  • Por su parte, el numeral 222 ibidem prevé una agravante (pena de tres a cinco años) cuando, respecto de las causales del artículo anterior, concurran las siguientes circunstancias:
    a) Que intervengan en el hecho tres o más personas, en calidad de autores. O,
    b) Que intervenga, en calidad de autor, instigador o cómplice, un funcionario público en ejercicio de sus funciones, con ocasión de ellas o con abuso de su cargo.
    A pesar de que el segundo supuesto es claro y razonable, nos ofrece duda el primero. Al menos a primera vista pareciera irrelevante el número de coautores del delito para efectos de agravación de la pena en este caso. [6] Lo pertinente podría ser sancionar el ilícito informático en sí y -si correspondiera- contemplar la intervención de múltiples autores bajo una figura separada, como por ejemplo en Costa Rica, el delito de asociación ilícita. [7]

Legislación sobre propiedad intelectual

La Ley de Derechos de Autor y Derechos Conexos [8] también ha venido pasando por una serie de reformas relevantes. En el terreno informático, nos conciernen las modificaciones introducidas en ese texto mediante las leyes número 7397 de 28 de abril de 1994, 7979 de 22 de diciembre de 1999 y 8039 de 12 de octubre del 2000.
La LDA considera al software como una "obra literaria o artística" (artículo 1). Por ende, a las infracciones a la propiedad intelectual sobre el software se aplican las sanciones genéricamente previstas para las obras en sentido amplio. En particular, el artículo 119 -hoy derogado- contemplaba la imposición de la pena de prisión, de uno a tres años, por diversos ilícitos en este terreno, dentro de los cuales se incluían las infracciones relativas a los bienes informáticos, como la llamada "piratería de software".
Aunque tampoco específicamente relativa a los bienes digitales, la mencionada ley número 8039 ("Ley de Procedimientos de Observancia de los Derechos de Propiedad Intelectual") ha venido a sustituir a ese precepto de la LDA con sus artículos 51 a 63, que regulan ahora todo lo referente a las sanciones para los delitos contra los derechos de autor y derechos conexos, manteniendo eso sí las penas previas de uno a tres años de prisión.

Ley de Administración Financiera de la República y Presupuestos Públicos

Se trata de la ley Ley No. 8131 de 18 de setiembre del 2001. Su artículo 110 establece la responsabilidad administrativa de los funionarios públicos, independientemente de la responsabilidad civil o penal, entre otras causas, por:
  • El ingreso, por cualquier medio, a los sistemas informáticos de la Administración Financiera y de Proveeduría, sin la autorización correspondiente (inciso m).
  • Obstaculizar el buen desempeño de los sistemas informáticos de la Administración Financiera y de Proveeduría, omitiendo el ingreso de datos o ingresando información errónea o extemporánea (inciso n). Y,
  • Causar daño a los componentes materiales o físicos de los aparatos, las máqui-nas o los accesorios que apoyan el funcionamiento de los sistemas informáticos de la Administración Financiera y de Proveeduría (inciso ñ).
Por su parte, el artículo 111 ibidem señala:
"Artículo 111.— Delito informático. Cometerán delito informático, sancionado con prisión de uno a tres años, los funcionarios públicos o particulares que realicen, contra los sistemas informáticos de la Administración Financiera y de Proveeduría, alguna de las siguientes acciones:
a) Apoderarse, copiar, destruir, alterar, transferir o mantener en su poder, sin el debido permiso de la autoridad competente, información, programas o bases de datos de uso restringido.
b) Causar daño, dolosamente, a los componentes lógicos o físicos de los aparatos, las máquinas o los accesorios que apoyan el funcionamiento de los sistemas informáticos.
c) Facilitar a terceras personas el uso del código personal y la clave de acceso asignados para acceder a los sistemas.
d) Utilizar las facilidades del Sistema para beneficio propio o de terceros."
Finalmente, los artículos 114 y 117 establecen la correlativa responsabilidad civil de los funcionarios o particulares involucrados, respectivamente.

Código Penal

Como fruto de la reunión de Ministros a que se aludió al inicio, la Procuraduría General de la República preparó un proyecto de ley que el Poder Ejecutivo envió a conocimiento de la Asamblea Legislativa y que fue aprobado mediante ley 8148 de 24 de octubre del 2001. El proyecto contemplaba la adición de cuatro preceptos al Código Penal (de los cuales en definitiva solo se adoptó tres), junto con una reforma asociada a la denominada "Ley sobre Registro, Secuestro y Examen de Documentos Privados e Intervención de las Comunicaciones". [9]
a.- Se adicionó en primer término un nuevo artículo 196 bis al Código, cuyo texto establece:
"Artículo 196 bis.- Violación de comunicaciones electrónicas.
Será reprimida con pena de prisión de seis meses a dos años, la persona que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere, accese, modifique, altere, suprima, intercepte, interfiera, utilice, difunda o desvíe de su destino, mensajes, datos e imágenes contenidas en soportes: electrónicos, informáticos, magnéticos y telemáticos. La pena será de uno a tres años de prisión, si las acciones descritas en el párrafo anterior, son realizadas por personas encargadas de los soportes: electrónicos, informáticos, magnéticos y telemáticos."
Es interesante notar que el proyecto original era bastante más extenso, pues rezaba:
"Artículo 196 bis.- Violación de comunicaciones electrónicas.
Será reprimido con pena de prisión de uno a cuatro años la persona que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus mensajes de correo electrónico o cualesquiera otro tipo de telecomunicación de tipo remoto, documentos magnéticos, intercepte sus telecomunicaciones, o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen o de cualquier otra señal de comunicación telemática para lograr ese objetivo.
Las mismas penas se impondrán al que, sin estar autorizado, accese, se apodere, utilice, modifique o altere, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado, ya sea en perjuicio del titular de los datos o de un tercero.
Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores.
Será castigado con las penas de prisión de uno a tres años, el que, con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento, realizare la conducta descrita en el párrafo anterior.
Si los hechos descritos en los párrafos 1 y 2 de este artículo se realizan por las personas encargadas o responsables de los ficheros, soportes informáticos, electrónicos o telemáticos, archivos o registros, se impondrá pena de prisión de dos a seis años.
Si los hechos descritos en este artículo se realizan con fines lucrativos, la pena será de prisión de cuatro a siete años.
Lo dispuesto en este artículo será aplicable al que descubriere, revelare o cediere datos reservados de personas jurídicas, sin el consentimiento de sus representantes."
A manera de comentario, viene a la mente el problema de titular la norma como una "violación de comunicaciones electrónicas", cuando no todas las conductas descritas están estrictamente asociadas a una comunicación de esa naturaleza. El tipo se podría configurar incluso en ausencia de ella (por ejemplo, la persona que, aprovechando que la víctima ha dejado su computadora personal momentáneamente desatendida, hurga en sus archivos personales) o con posterioridad a su conclusión.
Por otra parte, nos hubiera parecido importante seguir la tendencia de otros ordenamientos, en que se agrava la sanción cuando los datos reservados que se cede o revela aluden a factores personalísimos como la ideología, creencias religiosas, preferencias sexuales, origen étnico o racial, o se refieren a menores o incapaces.
Finalmente, valga destacar la mala técnica legislativa de señalar que la conducta punible la sufre la víctima "sin su consentimiento", lo cual debería ser obvio, dado que si media su anuencia, no habría delito.
b.- Se agregó igualmente -con cambios mínimos frente al proyecto- un nuevo artículo 217 bis, con el siguiente texto:
"Artículo 217 bis.- Fraude informático.
Se impondrá pena de prisión de uno a diez años a la persona que, con la intención de procurar u obtener un beneficio patrimonial para sí o para un tercero, influya en el procesamiento o el resultado de los datos de un sistema de cómputo, mediante programación, empleo de datos falsos o incompletos, uso indebido de datos o cualquier otra acción que incida en el proceso de los datos del sistema."
Como se nota, la previsión omite la modalidad agravada -tipificada en otros países- del fraude fiscal informático, en el que la víctima del acto es la Administración tributaria o aduanera. Nótese, además, que este ilícito no resultaría idóneo para sancionar los supuestos de hurto informático.
c.- Al artículo 229 se proponía agregar un inciso 5), con este texto:
"5) Cuando el daño recayere sobre el soporte físico de un sistema de cómputo o en sus partes o componentes."
Esta parte del proyecto no se aprobó. De toda suerte, valga comentar que habría sido importante distinguir el caso del daño que recaiga sobre equipos dedicados a servicios públicos especialmente sensibles (por ejemplo, el Registro Nacional, el suministro eléctrico, etc.).
d.- Finalmente, se adicionó al mismo Código un nuevo artículo 229 bis, estableciendo:
"Artículo 229 bis.- Alteración de datos y sabotaje informático.
Se impondrá pena de prisión de uno a cuatro años a la persona que por cualquier medio accese, borre, suprima, modifique o inutilice sin autorización los datos registrados en una computadora.
Si como resultado de las conductas indicadas se entorpece o inutiliza el funcionamiento de un programa de cómputo, una base de datos o un sistema informático, la pena será de tres a seis años de prisión. Si el programa de cómputo, la base de datos o el sistema informático contiene datos de carácter público, se impondrá pena de prisión hasta de ocho años. "
Con esta norma ocurrió algo interesante. En efecto, menos de un año después de su promulgación, la Asamblea Legislativa -mediante ley número 8250 de 2 de mayo del 2002- promulgó otro artículo 229 bis, relativo al "Abandono dañino de animales". En buena teoría, podría pensarse que este gazapo legislativo (puesto que seguramente se dio por error) provocó la derogatoria tácita del tipo "Alteración de datos y sabotaje informático". Hubo quienes sostuvieron, sin embargo, que se debía ver como un simple error material y que la nueva norma debía entenderse como un artículo 229 ter. El problema es que, mediante sentencia número 2007-18486 de las 18:03 horas del 19 de diciembre del 2007, la Sala Constitucional declaró la norma en cuestión (esto es, el "Abandono dañino de animales") inconstitucional. ¿En qué quedaría entonces el tipo del sabotaje informático? La solución deberán darla eventualmente los tribunales de justicia, en ejercicio de su función exegética de la ley. [10]
En todo caso, en lo que a alteración de datos se refiere, la norma -con excesiva rigurosidad, me parece- no hace la distinción que hacen otros ordenamientos, en el sentido de dejar en el terreno de las infracciones administrativas o disciplinarias la conducta de quien realiza la adulteración sin ánimo lucrativo ni perjuicio de terceros (ejemplo: el estudiante que altera sus calificaciones para lograr la aprobación de un curso académico).
e.- Como anticipamos también arriba, la reforma contemplaba también un ajuste paralelo en el texto del párrafo primero del artículo 9 de la Ley sobre Registro, Secuestro y Examen de Documentos Privados e Intervención de las Comunicaciones, en la forma siguiente:
"Articulo 9.- Autorización de intervenciones.
Los Tribunales de Justicia podrán autorizar la intervención de comunicaciones orales, escritas o de cualquier otro tipo, dentro de los procedimientos de una investigación policial o jurisdiccional, cuando involucre el esclarecimiento de los siguientes delitos: el secuestro extorsivo, los previstos en la Ley sobre Sustancias Psicotrópicas, Drogas de Uso no Autorizado y actividades conexas y cualquier otro delito vinculado con el uso de comunicaciones telemáticas, comunicaciones de tipo remoto, correo electrónico o cualesquiera otro tipo, documentos magnéticos, o la utilización de artificios técnicos de escucha, transmisión, grabación, reproducción del sonido o de la imagen, cualquier señal de comunicación telemática y en general cualquier delito que utilice como instrumento o tenga por objetivo los accesos no autorizados a computadoras o sistemas informáticos."
Esta parte del proyecto no se aprobó.

Propuestas de lege ferenda

Proyecto de reforma de 1996

A la Asamblea Legislativa (Parlamento costarricense) fue sometido en 1996 un proyecto de ley, mediante el cual se proponía la reforma de seis artículos del Código Penal, a fin de incluir una disciplina más general del delito informático en nuestro país. Aunque la enmienda no prosperó, es la primera de su género de que tenemos noticia en nuestro medio.

Proyecto de reformas al Código Penal

De iniciativa del Poder Ejecutivo (y, según entendemos, aprovechando en parte el proyecto anteriormente citado), se envió a la Asamblea una "Ley de reformas al Código Penal". [11] Por desgracia y, como resultado de una inadecuada tramitación, la iniciativa quedó archivada en julio del 2009 [12].
En lo que a delitos informáticos se refiere, el proyecto original incluía las siguientes disposiciones de interés:
"Artículo 187: Tratamiento ilícito de datos personales y comunicaciones.
Será sancionado con pena de prisión de uno a cuatro años quien se apodere, abra, accese, imponga, copie, transmita, publique, recopile, use, intercepte, retenga, suprima, oculte, desvíe o dé un tratamiento no autorizado a las comunicaciones, imágenes o datos de otra persona física o jurídica no públicos o notorios, a soportes informáticos, a programas de cómputo o a sus bases de datos."
"Artículo 191: Circunstancias de agravación
Las penas de los artículos anteriores se elevarán según lo dispuesto en el artículo 79, cuando la conducta se realice:
1. Por un servidor público con motivo de sus funciones, cualquiera que sea su grado de participación;
2. Con desobediencia a las autoridades judiciales;
3. Prevaleciéndose el autor o partícipe de su vinculación con una empresa o institución, pública o privada, encargada de comunicaciones;
4. Por las personas encargadas o responsables de los ficheros, soportes informáticos, archivos o registros; y
Con el fin de establecer perfiles discriminatorios de personalidad."
Nótese como, en este caso, se omitía -correctamente- la referencia al número de autores como un factor agravante.
"Artículo 222: Hurto calificado agravado
El hurto se sancionará con pena de prisión de tres meses a tres años, si el valor de lo sustraído no excede de cinco veces el salario base, y de uno a ocho años, si es mayor de esa suma, en los siguientes casos:
(...)
3. Cuando se hace uso de procedimientos o mecanismos que sin ejercer fuerza permitan el acceso o ingreso, tales como ganzúas, llaves, claves, tarjetas magnéticas o perforadas, mandos u otros instrumentos que cumplan esa función;
(...)
8. Cuando se realice por medio de la manipulación de datos o de la intervención en soportes de información electrónicos, magnéticos o de otras tecnologías."
Se incorporaba aquí el concepto de la "llave falsa", propia del hurto tradicional, para hacerla extensiva al hurto informático cometido -entre otros- mediante el empleo de contraseñas o tarjetas magnéticas.
"Artículo 230: Estafa calificada agravada
Las penas de la estafa se aumentarán de conformidad con el artículo 79, en las siguientes circunstancias:
(...)
4. Cuando se realice mediante manipulación que interfiera el resultado de un procesamiento o transmisión informática de datos.
(...)"
Al pretender introducir la figura del fraude informático, no sólo no quedaba clara en la propuesta la relación entre este tipo y el inciso 8 del previamente transcrito, sino que -peor aún- se olvidaba que este ilícito también es susceptible de ser cometido a través de la manipulación de los datos de entrada o bien de su procesamiento, propiamente dicho, en adición al que se pueda efectuar de los resultados de este último.
"Artículo 242: Daño calificado agravado
La sanción será prisión de seis meses a tres años, cuando el daño se produzca en las siguientes circunstancias:
(...)
4. Cuando recaiga sobre documentos, archivos electrónicos, magnéticos o de nuevas tecnologías, programas de computadora o sus bases de datos; o los componentes de los aparatos, máquinas o accesorios que apoyan el funcionamiento de sistemas informáticos."
Se buscaba fusionar el daño informático (al hardware) con el sabotaje informático (al software), cosa innecesaria e inconveniente, desde que se trata de conductas completamente diferentes: una tiene por objetivo el equipo físico y se comete por medios físicos también -por ejemplo, dejando caer la computadora-; la otra ataca al sistema de información (que es inmaterial) y se comete por medios lógicos -por ejemplo, implantando un virus informático-.
Como comentario global, se puede observar que el proyecto inicial se orientaba claramente hacia circunscribir a nuestro país dentro de la primera tendencia legislativa que identificamos supra.
Ahora bien, como resultado de las consabidas negociaciones y propuestas legislativas, entiendo (puesto que no dispongo de la última versión) que la redacción final presentaba sustanciales variaciones respecto del proyecto original. Se me ha indicado que en lo que a delitos informáticos se refiere, la propuesta actual se orientaba hacia incluir solamente las siguientes disposiciones:
  • Lesiones a la autodeterminación informativa: arts. 191-193, 196
  • Publicación y reproducción de ofensas por medios electrónicos: arts. 207, 208
  • Hurto informático: art. 238-8
  • Fraude informático: arts. 245-5 (?) y 252
  • Daño agravado: art. 261-4
De ser así, habríamos echado de menos una previsión de figuras tales como la intrusión simple, el fraude fiscal informático, sabotaje informático, apropiación de servicios, denegación de servicios y "spamming".

Proyecto de la ex-diputada Núñez Chávez

En La Gaceta del 6 de octubre 10 del 2003 apareció un proyecto de "Ley de Delito Informático" (exp. 15.397) presentado por la entonces diputada María Elena Núñez Chávez [13]. Los tipos penales que sanciona son: fraude por computadora, falsificación de información, accesos no autorizados a servicios y sistemas informáticos, reproducción no autorizada de programas informáticos de protección legal, sabotaje informático, estafa electrónica, pesca u olfateo de claves secretas de acceso, uso ilegítimo de contraseñas de acceso, uso ilegítimo de sistemas informáticos ajenos, delitos informáticos contra la privacidad y difusión de pornografía infantil.
Se trata de una iniciativa muy completa y bien redactada. Esperaríamos que eventualmente sea adoptada y refundida más bien dentro de un futuro Código Penal, a fin de centralizar el tratamiento de estas figuras.

Convenio europeo sobre ciberdelincuencia

Como es sabido, el Consejo de Europa aprobó en noviembre del 2001 un "Convenio sobre la Ciberdelincuencia", que es el primer instrumento multinacional diseñado para atacar el problema de los delitos cometidos por medio de la red. Está abierto a otros Estados no europeos que sean invitados a suscribirlo. Entró en vigencia el 1 de julio del 2004.
En el Alcance N° 119 a La Gaceta N° 163 del 24 de agosto del 2012, apareció publicado el expediente legislativo N° 18.484, por medio del cual el Poder Ejecutivo sometió a la Asamblea Legislativa la aprobación de la adhesión de Costa Rica al Convenio. El asunto se encuentra a la fecha bajo estudio de la Comisión Permanente Especial de Relaciones Internacionales y de Comercio Exterior.

Proyecto de la diputada Vásquez Badilla

En La Gaceta Nº 113 del 13 de junio del 2007 apareció otro proyecto de "Adición de nuevos artículos al Código Penal para regular el delito informático", expediente Nº 16.546, de la diputada Lorena Vásquez Badilla [14]. Allí se propone:
a.- Adicionar un nuevo artículo 216 bis al Código Penal, que se leerá de la siguiente manera:
"Artículo 216 bis.- ESTAFA MEDIANTE TARJETA DE CRÉDITO O DÉBITO
Quien, mediante engaño, utilizare una tarjeta de crédito o débito con el ánimo de obtener para sí, o para un tercero, beneficios patrimoniales, será sancionado con pena de prisión de uno a cuatro años."
b.- Agregar un nuevo artículo 218, con el siguiente contenido:
"Artículo 218.- FRAUDE INFORMÁTICO CON TARJETA DE CRÉDITO O DÉBITO
Quien, con el ánimo de obtener un beneficio patrimonial para sí, o para un tercero, altere, suprima o incorpore en una tarjeta de crédito o débito, datos falsos, ocasionando con ello un perjuicio económico a su legítimo propietario, será sancionado con pena de prisión de uno a seis años.
El perjuicio patrimonial se calculará de conformidad con lo establecido por la Ley Nº 7337, de 5 de mayo de 1993."
c.- Finalmente, adicionar un artículo 218 bis al Código Penal, que se leerá de la siguiente manera:
Artículo 218 bis.- FRAUDE NACIONAL, INDUSTRIAL Y PERSONAL
Quien, mediante procesamiento de datos en una cuenta electrónica, manipule, suprima, facilite, altere o modifique de cualquier forma información, con el ánimo de obtener o procurar un beneficio propio o para un tercero, será sancionado con pena de prisión de dos a ocho años."
Como se ve, se trata de disposiciones muy puntuales, referidas más que nada a los crecientes problemas suscitados con el empleo fraudulento de tarjetas electrónicas bancarias. Lo que en definitiva no comprendo es el sentido del título de la última figura ("Fraude nacional, industrial y personal"), por demás inusual.

Proyecto de nuevo Código Penal

En La Gaceta N° 212 del 2 de noviembre del 2009 se publicó un nuevo proyecto de Código Penal, expediente Nº 17.514 [15], que contiene varias previsiones importantes en materia de delitos informáticos. Entre ellas:
  • Un Título IV, sobre "Delitos contra el ámbito de intimidad y la autodeterminación informativa".
  • La publicación de ofensas, que se configura cuando "se realice con publicidad por medio de la imprenta, la televisión, la radiodifusión, redes de información o por cualquier otro medio de eficacia semejante" (artículo 208).
  • Una nueva modalidad de hurto agravado, que se comete "Cuando se realice por medio de la manipulación de datos o de la intervención en soportes de información electrónicos, magnéticos o de otras tecnologías" (artículo 239, inciso 8).
  • Estafa agravada, "cuando se realice mediante manipulación que interfiera el resultado de un procesamiento o transmisión informática de datos" (artículo 246, inciso 5).
  • Fraude informático, que sanciona "a la persona que, con la intención de procurar u obtener un beneficio patrimonial para sí o para un tercero, influya en el procesamiento o el resultado de los datos de un sistema de cómputo, mediante programación, empleo de datos falsos o incompletos, uso indebido de datos o cualquier otra acción que incida en el proceso de los datos del sistema" (artículo 253). Y,
  • Un nuevo tipo de daño agravado, "Cuando recaiga sobre documentos, archivos electrónicos, magnéticos o de nuevas tecnologías, programas de computadora o sus bases de datos; o los componentes de los aparatos, máquinas o accesorios que apoyan el funcionamiento de sistemas informáticos" (artículo 262, inciso 6).
Algunos comentaristas nacionales -como el profesor Alfredo Chirino Sánchez [16]- han destacado que el proyecto de Código padece de importantes limitaciones en esta materia, debido al hecho de que parte de un intento de preveer los tipos de delitos informáticos únicamente sobre la base de conductas tradicionales previas, lo cual representa un enfoque claramente restrictivo.

Proyecto del diputado Luis A. Barrantes

Según informó el diario La Prensa Libre del 3 de marzo del 2010, dicho congresista presentó, bajo el expediente legislativo N° 17.613, un proyecto de ley denominado "Reforma a varios artículos del Código Penal y adición de un nuevo capítulo denominado 'Delitos informáticos'" [17]. En julio del 2012, el proyecto fue aprobado y se convirtió en “Ley de Delitos Informáticos”, N° 9048, que reforma diversos preceptos del Código Penal. La nueva legislación, que no ha entrado aun en vigencia pues a la fecha no ha sido publicada en el diario oficial La Gaceta, ha generado controversia por el contenido de algunas de sus disposiciones, que –según sus críticos– afecta el ejercicio de la libertad de prensa. El Gobierno de la República manifestó su disposición a revisar el texto y reformarlo de ser necesario [18]. Esto se concretó el 30 de agosto del 2012, con la publicación en el Alcance N° 121 a La Gaceta N° 167 (documento PDF, 224 kb) del proyecto de ley, expediente legislativo N° 18.546, titulado "Reforma de los tipos penales establecidos en los artículos 167, 196, 196 bis, 231, 236 y 288 del Código Penal". Por este motivo, no incluyo las reformas aun como legislación vigente y opto por postergar cualquier comentario al respecto.

Conclusión

Costa Rica requiere de una importante actualización legislativa en materia de delincuencia informática. Los proyectos presentados al efecto se orientan en esa dirección, pero al parecer no aprovechan las investigaciones y experiencia de otros ordenamientos que llevan la delantera en este terreno.
Por ello, estimamos importante y urgente el aporte de mayores criterios, así como la realización de actividades de análisis académico del tema, con el fin de obtener una panorámica completa del fenómeno de la ciberdelincuencia, que a la par de complejo, solamente da muestras de un crecimiento cada vez más acelerado.

Agradecimiento

El autor agradece a las colegas, Licda. Andrea Hulbert Volio y Licda. Saray Peralta Aguilar, su lectura previa y comentarios a la versión original de este trabajo.

Notas

  1. Los ordenamientos jurídicos citados como ejemplos provienen de RIQUERT, Marcelo A. "Estado de la legislación contra la delincuencia informática en el Mercosur", en Revista Electrónica de Derecho Informático, marzo 2008.
  2. Citado en CORREA, Carlos y otros. Derecho Informático. Ediciones Depalma, Buenos Aires, 1994. Página 298.
  3. Según el proyecto, “cometerá delito informático la persona que maliciosamente use o entre a una base de datos, sistema de computadores o red de computadoras o a cualquier parte de la misma con el propósito de diseñar, ejecutar o alterar un esquema o artificio, con el fin de defraudar, obtener dinero, bienes o información. También comete este tipo de delito el que maliciosamente y a sabiendas y sin autorización intercepta, interfiere, recibe, usa, altera, daña o destruye una computadora, un sistema o red de computadoras, un soporte lógico o programa de la computadora o los datos contenidos en la misma, en la base, sistema o red.” En definitiva, Chile optó en 1993 por una ley especial, de escasos cuatro artículos, siempre con el propósito de establecer una regulación general sobre el tema (nos referimos a la ley número 19.223 de 28 de mayo de 1993).
  4. También llamado Código Tributario; ley número 4755 de 29 de abril de 1971.
  5. Ley número 7557 de 20 de octubre de 1995.
  6. A diferencia de lo que sucede, por ejemplo, en los delitos de robo o violación, en los que la participación de varias personas como autoras claramente justifica una punibilidad mayor.
  7. Artículo 274 del Código Penal.
  8. Número 6683 de 14 de octubre de 1982.
  9. Ley número 7425 de 9 de agosto de 1994.
  10. En el "Observatorio Judicial" (boletín de prensa electrónico del Poder Judicial) del 6 de enero del 2009, aparece un comentario titulado "La (I)responsabilidad en el acto de legislar (a propósito de los errores en la 'nueva' Ley de Tránsito)", de la Licda. Rosaura Chinchilla Calderón, Jueza de Casación Penal de San José. En él hace el siguiente comentario: "(Por) ley N° 8148 de 24 de octubre del 2001 se creó un artículo 229 bis denominado 'Alteración de datos y sabotaje informático' y luego, por ley Nº 8250 de 02 de mayo de 2002 se 'volvió a crear' el artículo 229 bis previendo, ahora, el abandono dañino de animales. El contenido de ambos es radicalmente diferente. Entonces, si partimos que la ley posterior deroga la anterior y en aplicación del principio de legalidad, la primera reforma, que no tenía relación con la temática abarcada en la segunda, quedó tácitamente derogada porque el legislador no supo introducir adecuadamente la segunda norma".
  11. Se trata del expediente número 11.871, proyecto inicialmente publicado en La Gaceta Nº 82 del 29 de abril de 1994.
  12. Véase mi artículo "Delitos informáticos impunes", en La Nación del 8 de agosto del 2009.
  13. Se puede descargar el proyecto desde el sitio web de la Asamblea (en formato Word).
  14. Descargar el proyecto desde el sitio de la Asamblea Legislativa (en formato Word).
  15. Se puede ver en el sitio web de la Imprenta Nacional.
  16. Comentarios verbales efectuados durante la mesa redonda "Delitos informaticos: necesidad de nuevas formas de regulacion", el 10 de noviembre del 2009, en el Colegio de Abogados de Costa Rica.
  17. El proyecto original fue publicado en La Gaceta Nº 49 del 11 de marzo del 2010.
  18. Véase, por ejemplo, este artículo de prensa.

1 de noviembre de 2000

Propiedad intelectual de las bases de datos

Este artículo apareció publicado en el número 28 de la Revista Electrónica de Derecho Informático. También aparece en el libro "Derecho informático y comercio electrónico. Doctrina y legislación." Publicado por la Facultad de Derecho y Ciencias Políticas de la Universidad Inca Garcilaso de la Vega, Lima, Perú, 2002.

Resumen: Durante la década pasada, surgió la discusión jurídica en torno a si una base de datos es susceptible o no de recibir protección bajo el derecho autoral, en forma separada de la que goza la aplicación empleada para gestionarla. En este artículo discutimos las razones por las que la respuesta debe ser afirmativa, con las condiciones y restricciones que también señalamos.

Introducción

Es ocioso insistir acerca de la influencia directa y creciente que la informática moderna ejerce sobre las diversas áreas sustantivas de la ciencia jurídica. Y el campo del derecho autoral ciertamente que no es excepción. Numerosos libros y artículos atestiguan acerca de las preocupaciones que genera el tema de la tutela de la propiedad intelectual del software. E intensos debates se desarrollan alrededor de la cuestión de si las creaciones tecnológicas merecen o no un tratamiento jurídico idéntico al que ha correspondido durante largo tiempo para las tradicionales obras literarias, científicas y artísticas.

En esta oportunidad, centraremos nuestro examen al campo específico de las bases de datos, herramienta fundamental de la tecnología de la información en nuestra era. Luego de algunas precisiones terminológicas, plantearemos las cuestiones jurídicas centrales, a saber: ¿las bases de datos pueden y deben ser protegidas o no por el instituto de la propiedad intelectual? ¿Cuáles son los problemas puntuales que ello plantea? Finalizaremos con algunas breves conclusiones sobre el particular.

Conceptos básicos

Gran parte de la gestión informática en las empresas y organizaciones modernas gira en torno a las bases de datos. En tiempos en que la información ha llegado a convertirse en uno de los activos más preciados, la tecnología de bases de datos se viene aplicando a la solución de problemas tanto viejos (manejo de inventarios, contabilidad, planillas, administración de recursos humanos, etcétera) como novedosos (en especial, en el campo del comercio electrónico).

Antes de avanzar más con el tratamiento del tema que nos ocupa, interesa aclarar algunas nociones técnicas fundamentales, en beneficio de los lectores sin formación específica en este campo. En particular, debe precisarse la distinción que existe entre "bases de datos" y "sistemas administradores de bases de datos".

En síntesis:

  • Una base de datos (en adelante "BD") es una colección sistemática, estructurada, de datos (y a veces también de procedimientos asociados a ellos), almacenados electrónicamente y relativos a personas, objetos, eventos, etc.
  • Un sistema administrador de bases de datos (en lo sucesivo "SABD"), por su parte, es el software de aplicación que se encarga de gestionar una base de datos, para incluir, modificar, suprimir o recuperar la información en ella contenida.

Formulemos una simple analogía para una mejor comprensión de la diferencia entre ambos conceptos:

Piénsese, en efecto, en una actividad rutinaria como ir a buscar un libro a una biblioteca. En este caso, posiblemente debamos ir hasta un mostrador, adonde indicaremos a una persona -el bibliotecario- cuál es el libro deseado. Esa persona irá hasta el sitio adonde se almacenan los libros, localizará el título solicitado y -asumiendo que esté disponible- nos lo presentará en el mostrador. Los aspectos destacables de esta sencilla transacción incluyen los siguientes (todos obvios, pero permítasenos aun así ponerlos de relieve para lo que sigue más abajo):

  1. El bibliotecario es capaz de encontrar la obra en cuestión, entre posiblemente varias centenas o miles de otros títulos, porque éstos se encuentran organizados de alguna manera racional que facilita su búsqueda.
  2. Como usuario de la biblioteca, desconozco -y probablemente no me interesa tampoco- cuál es ese esquema de distribución de los libros. Lo importante es que el bibliotecario lo domina a fondo y que por ello puede encontrar y entregarme la obra solicitada.
  3. No tengo que preocuparme en absoluto por cómo podré buscar en el futuro los nuevos libros que lleguen a la biblioteca, o por cuáles se encuentran prestados a otros usuarios, o cuántos hay en total, o cuáles sean eliminados por mal estado o cualquier otro motivo. De nuevo, para todo eso está el bibliotecario.

Pues bien, en esta sencilla analogía, la BD equivale a la colección de cientos o miles o más de libros, mientras que el SABD está representado por el bibliotecario. A través de un SABD, podemos almacenar electrónicamente los datos que nos interesa conservar para algún propósito dado, con la confianza de que por medio de él podremos incluir nuevos datos en el futuro, modificar los datos existentes o borrar los que ya no queramos conservar. De tanto o mayor importancia es el hecho de que, empleando el SABD, podemos formular preguntas [1] y extraer información útil de la colección de datos, tanto cualitativa (ejemplo: ¿cuál es el libro más solicitado por los usuarios de la biblioteca?) como cuantitativa (¿cuántas personas no han devuelto títulos prestados de fecha de entrega vencida?).

La tecnología de las BD viene desarrollándose con mayor ímpetu aproximadamente a partir de los años sesenta, atravesando una serie de fases que se distinguen por el modelo dominante en cada cual. Así, inicialmente atravesamos por las etapas de las BD jerárquicas y de redes. Durante los años setenta y a raíz del trabajo revolucionario que a nivel teórico desarrolló E.F. Codd, nació la era de las BD relacionales, que en gran medida se prolonga hasta los últimos años. Actualmente nos encontramos en la fase de predominio de las llamadas BD objeto-relacionales y que se espera que dé paso, a su vez, a una etapa de preponderancia de las BD orientadas a objetos. [2]

Enfoque jurídico

Una de las áreas de más dinamismo del naciente Derecho Informático es la que concierne a la tutela jurídica del software en general y, muy especialmente, al aseguramiento de los derechos de autor sobre las aplicaciones computacionales. Mucho se ha escrito y debatido al respecto, incluso en torno a la cuestión misma de si el software califica realmente o no como una "obra" en el sentido que tradicionalmente ha dado a ese término el derecho autoral.

En este trabajo partimos de la premisa de que las referidas aplicaciones, en cuanto secuencias de instrucciones ejecutables por un sistema informático, indudablemente merecen el amparo de la ley. [3] Desde esta óptica, no nos ofrece mayor dificultad lo referente a la defensa de los derechos e intereses de los autores de un SABD. En efecto, se trata en la especie de un software de aplicación que recibe el mismo tratamiento que cualquier otro programa informático. La cuestión que nos ocupa aquí radica, más bien, en si la colección misma de datos (o sea, la BD) es o no susceptible de recibir un reconocimiento similar.

La respuesta de la doctrina es pacíficamente afirmativa, pero precisando que lo que se protege no son los datos en sí mismos, sino la compilación que representan, siempre que de ella pueda decirse que es original y creativa.

Para comprenderlo, baste un sencillo ejemplo. Considérese, en efecto, la guía telefónica. Ésta representa, sin duda, una típica base de datos, que incluye los nombres de todos los abonados del servicio y su respectivo número de teléfono. ¿Cabría entonces registrarlo como una obra protegida? Indudablemente que no, porque en esta compilación no hay originalidad ni creatividad: se trata de la mera sumatoria de todos los datos pertinentes, siguiendo un orden alfabético que nada tiene de innovador. Pero piénsese ahora en una base de datos que, luego de un largo y duro trabajo arqueológico, produzca un catálogo completo y detallado sobre las piezas arqueológicas de nuestro país, clasificadas en función del pueblo indígena que las creó e incluyendo datos sobre zona geográfica de localización, período histórico al que corresponden, etc. En este caso, no nos cabe duda de que tal compilación sí merecería la tutela del derecho autoral, en reconocimiento de su originalidad y de su creatividad.

Nótese, entonces, la diferencia clara que existe entre una base de datos puramente inclusiva y otra que es el fruto de la selectividad en su construcción.

Ahora bien, el hecho de que lo tutelado sea la compilación y no los datos en sí es lógico, ya que no sólo es frecuente que éstos incluyan información que no es ni original ni creativa, sino que puede resultar incluso de dominio público (como, en lo que a nuestro campo interesa, serían textos normativos, sentencias, etc.). [4]

Marco normativo

Al igual que ocurre respecto del derecho autoral en general, la tutela jurídica de las bases de datos deriva de un cúmulo de disposiciones normativas internacionales, regionales y nacionales.

Plano internacional

En sí mismo, el Convenio de Berna para la Protección de las Obras Literarias y Artísticas de 1971 -como es de esperar a partir de la época de su promulgación- no se refiere explícitamente a las bases de datos. [5] No obstante, el lenguaje amplio de algunos de sus preceptos (concretamente los artículos 2.1 y 2.5) permiten entenderlas como "colecciones", susceptibles de recibir protección equiparable a la de las obras literarias y artísticas en general. Así lo expresó el Comité de Expertos de la OMPI durante una sesión realizada en 1994. [6]

Ese mismo año, la OMPI emitió el denominado "Acuerdo sobre los ADPIC" (Acuerdo sobre los Aspectos de los Derechos de Propiedad Intelectual relacionados con el Comercio), cuyo numeral 10.2 -transcrito casi literalmente- dio paso al actual artículo 5 del "Tratado de la OMPI sobre derecho de autor", adoptado por la Conferencia Diplomática sobre ciertas cuestiones de derecho de autor y derechos conexos, realizada en Ginebra el 20 de diciembre de 1996 y que, en este sentido, constituye el precepto internacional de mayor interés en la materia. Establece dicha norma:

"Artículo 5.- Compilaciones de datos (bases de datos). Las compilaciones de datos o de otros materiales, en cualquier forma, que por razones de la selección o disposición de sus contenidos constituyan creaciones de carácter intelectual, están protegidas como tales. Esa protección no abarca los datos o materiales en sí mismos y se entiende sin perjuicio de cualquier derecho de autor que subsista respecto de los datos o materiales contenidos en la compilación."

La Conferencia también adoptó en esa oportunidad una "declaración concertada", que en cuanto nos interesa aclara que “"El ámbito de la protección de las compilaciones de datos (bases de datos) en virtud del Artículo 5 del presente Tratado, leído junto con el Artículo 2, está en conformidad con el Artículo 2 del Convenio de Berna y a la par con las disposiciones pertinentes del Acuerdo sobre los ADPIC."

Plano regional

A nivel regional, los preceptos aplicables a la materia obviamente dependerán del ámbito territorial relevante. Entre algunas disposiciones de interés destacan [7]:

  • El artículo 4 de la Decisión 351 del Acuerdo de Cartagena, que contiene el "Régimen común sobre derecho de autor y derechos conexos", concertado el 17 de diciembre de 1993 entre Bolivia, Colombia, Ecuador, Perú y Venezuela.
  • El artículo 1705.1 del "Tratado de Libre Comercio de América del Norte", alcanzado entre los gobiernos de Canadá, Estados Unidos y México el 8 de diciembre de 1993.
  • La Directiva de la Comunidad Europea sobre bases de datos ("Directiva 96/9/EC del Parlamento Europeo y del Consejo, de 11 de marzo de 1996, sobre la protección jurídica de las bases de datos"). Al respecto, valga destacar que este ordenamiento incluso va más allá, al contemplar un régimen sui generis de tutela de las bases de datos que extiende y complementa el marco general del derecho autoral.

Plano nacional

La legislación interna de la mayoría de los Estados miembros de la OMPI contiene disposiciones que resultan directa o indirectamente aplicables a las bases de datos y, en este sentido, Costa Rica no es excepción.

Nuestro país es signatario de la Convención de Berna y, recientemente, también del Tratado de la OMPI sobre Derecho de Autor, incorporado al ordenamiento interno por ley número 7968 de 16 de diciembre de 1999.

En el nivel de la legislación local, nuestro principal marco normativo en esta materia lo provee la Ley de Derechos de Autor y Derechos Conexos (número 6683 de 14 de octubre de 1982 y sus reformas). En especial, nos conciernen las modificaciones introducidas en ese texto mediante las leyes número 7397 de 28 de abril de 1994 y 7979 de 22 de diciembre de 1999, que se refieren específicamente a los programas de cómputo y a las bases de datos. Es así que dispone, escuetamente, la citada ley:

"Artículo 8.- (...) Las bases de datos están protegidas como compilaciones."

Más adelante, al señalar los procedimientos de inscripción de obras de esta naturaleza en el Registro de Derechos de Autor, se indica:

"Artículo 103.- Para inscribir una producción, el interesado presentará, ante el Registrador, una solicitud escrita con los siguientes requisitos:

(...)

5) Cuando se trate de inscribir un programa de cómputo o una base de datos, la solicitud se presentará con cualquiera de los siguientes elementos: el programa, la descripción o el material auxiliar."

Técnicamente, aunque una base de datos puede contener segmentos de código ejecutable, [8] no pensamos que para lograr la indicada inscripción sea necesario aportar su código fuente. En efecto, puesto que lo que se protege es la compilación como tal y no el contenido de la BD, lo único que podría tener interés a efectos de registro sería el diseño lógico de sus componentes (tablas, relaciones, objetos, etc.), debidamente documentado.

Conclusión

Las bases de datos son indudablemente acreedoras de la protección jurídica otorgada a las obras tecnológicas en general, tutela que es distinta e independiente de la que se confiere a las aplicaciones empleadas para crearlas o administrarlas. Para ese efecto, no obstante, es necesario que la compilación no sea puramente inclusiva, sino que debe existir un criterio de selectividad que brinde a la colección de datos los indispensables atributos de originalidad y creatividad.

Notas

  1. "Consultas", en el lenguaje de BD.
  2. Una discusión resumida acerca de qué son las BD orientadas a objetos y, en concreto, acerca de sus posibles aplicaciones en el ámbito judicial, aparece en: HESS ARAYA, Christian. Creación de una base de datos de jurisprudencia constitucional, orientada a objetos.
  3. Aunque quede abierta la cuestión de si ello debe hacerse por medio del instituto de la propiedad intelectual o bien -como lo prefieren numerosos estudiosos de la materia- a través de un nuevo régimen sui generis.
  4. Sobre la problemática jurídica de las bases de datos de textos legales, véase: GUASCH DÍAZ, Diego Manuel: "La extracción de Normas de Boletines Oficiales en papel y de ediciones en Internet. Algunas Consideraciones Jurídicas relevantes par las Empresas de Bases de Datos". En Revista Electrónica de Derecho e Informática. Madrid, 2000.
  5. OMPI. Legislación nacional y regional existente relativa a la propiedad intelectual en materia de bases de datos. Memorándum preparado por la Oficina Internacional. Junio de 1997.
  6. Idem. Véase el documento BCP/CE/IV/3, párrafo 46, en el sitio web de la OMPI.
  7. Idem.
  8. En forma de procedimientos almacenados ("stored procedures") o métodos, según se trate de bases de datos relacionales u orientadas a objetos, respectivamente.

1 de julio de 2000

Derecho a la privacidad y cookies

Este artículo aparece publicado en el número 24 de la Revista Electrónica de Derecho e Informática. También aparece en el libro "Derecho informático y comercio electrónico. Doctrina y legislación." Publicado por la Facultad de Derecho y Ciencias Políticas de la Universidad Inca Garcilaso de la Vega, Lima, Perú, 2002.

Resumen: Aun cuando en torno a las llamadas cookies existe un importante grado de incomprensión y desconocimiento, lo cierto es que -bajo determinadas circunstancias- pueden ser usadas de un modo lesivo del derecho a la intimidad de los navegantes de la red Internet. En este artículo intentamos brindar una perspectiva técnica y jurídica sobre qué son y cuáles son las implicaciones concretas que de ellas derivan para la disciplina del derecho informático.

Introducción

A pesar de ser una de las herramientas informáticas más usadas actualmente en la Internet, lo cierto es que las cookies [1] son también de las más incomprendidas, convirtiéndolas frecuentemente en objeto de mitos y medias verdades. Este desconocimiento no sólo afecta al público en general sino -de manera más preocupante aún- a los juristas, legisladores y muchas otras personas con poder de decisión en lo que se refiere al enunciado de políticas de telecomunicaciones y tecnología de la información.

Desde el punto de vista estrictamente técnico, el potencial benéfico de las cookies es muy grande. Ofrecen la posibilidad de brindar a los usuarios de la red una serie de servicios y ventajas que de otro modo no tendrían. Desde la óptica jurídica, sin embargo, pesa sobre ellas la sombra de servir como un instrumento maligno para invadir la intimidad de las personas; característica que, como veremos, es sólo parcialmente cierta. Es por ello que, para los estudiosos del derecho informático, una adecuada comprensión de lo que las cookies son (e, igualmente importante, de lo que no son), nos parece fundamental para dar al tema del derecho a la intimidad en la red -uno de los más candentes y apremiantes de hoy- el tratamiento que corresponde y merece.

En este trabajo, comenzaremos por examinar brevemente en qué consiste esta herramienta y para qué se usa, desde el punto de vista informático. Luego repasaremos las críticas que le han sido dirigidas desde la perspectiva de la temática de la intimidad, intentando establecer cuáles son ciertas y cuáles meramente fruto de la ficción o de la candidez. Finalmente analizaremos algunas de las soluciones propuestas para los problemas reales que derivan del empleo de las cookies, en el plano tanto técnico como jurídico.

¿Qué es una cookie?

La "World-Wide Web" (WWW), el componente multimedial de la Internet, fue diseñada, construida y funciona hoy bajo un modelo llamado de cliente-servidor. En él, las computadoras de los usuarios son los "clientes", que mediante un programa visualizador o navegador [2], envían peticiones a otras computadoras (los "servidores"), para que éstas les envíen de regreso los documentos y demás componentes que conjuntamente conforman una "página web".

Estas interacciones entre clientes y servidores se conocen técnicamente como conexiones sin estado. A diferencia de lo que ocurre, por ejemplo, durante una conversación telefónica (en la que el vínculo entre el aparato telefónico de la persona que llama y el de la persona llamada se mantiene de modo continuo durante el transcurso de la conversación), las conexiones en la WWW tienen un carácter más bien intermitente: una vez que el servidor termina de enviar al cliente la información solicitada, el enlace entre ambos se quiebra. Si se quiere, podríamos decir que, a partir de ese momento, el servidor "olvida" al cliente. Si éste formula un nuevo requerimiento (de otra o incluso de la misma página web enviada anteriormente), ambas máquinas deben establecer una nueva conexión, identificándose una a otra de nuevo, como si nunca se hubiesen comunicado antes.

Esta arquitectura nos puede parecer curiosa, pero no obstante es la responsable de la gran versatilidad de la WWW. Sin ella, los servidores web no podrían atender a la gran cantidad de usuarios de Internet que ingresan simultáneamente a los sitios más populares. En efecto, si las conexiones fuesen permanentes, ocurriría de algún modo lo mismo que pasa cuando intentamos llamar por teléfono a una persona, cuando ésta se encuentra conversando en el mismo momento con otra: no recibiríamos la información deseada y tendríamos que esperar a que el servidor se libere.

Pero esa misma característica de las conexiones sin estado, tan eficiente desde el punto de vista telemático, comporta un serio inconveniente desde la perspectiva humana. La intermitencia de las conexiones, a medida que el visitante navega de una página a otra dentro de un mismo sitio web o cuando regresa a él después de un tiempo, se convierte en un obstáculo a la sensación de continuidad que se podría querer ofrecer al usuario.

Las personas por lo general no nos avenimos bien a la fría eficiencia de las máquinas. Por ello, a medida que la WWW ha avanzado y madurado, las empresas y organizaciones han percibido la importancia de tratar de implementar mecanismos que contribuyan a crear la sensación de un trato más "personalizado" para sus visitantes. Esto es particularmente cierto tratándose de los sitios de comercio electrónico, que -como cualquier otra empresa- dependen en gran medida de atraer y retener la lealtad de sus clientes mediante la excelencia de su servicio. Por ejemplo, dichos sitios querrían aprovechar algunos datos personales sobre sus clientes, así como tomar nota de sus particulares preferencias, con el fin de brindarles una más enriquecedora experiencia durante sus sucesivas visitas. Se querría también simular lo más estrechamente posible la visita a un comercio del "mundo real", en el que los consumidores pueden recorrer las estanterías, examinar los diversos productos e ir colocando sus selecciones en un "carrito" de compras antes de dirigirse a la caja para pagar. Justamente para llenar esta necesidad es que se ha dado paso a la creación y empleo de las cookies.

La función básica de una cookie es simple: permitirle a un servidor almacenar y más adelante recuperar una pequeña cantidad de información en la máquina cliente. Esos datos siempre están asociados a un sitio web y a un programa navegador en particular, lo cual implica que una cookie creada por un servidor en un momento dado sólo le será accesible en el futuro si el visitante regresa al sitio web usando la misma computadora y el mismo navegador. La información es guardada en un archivo de texto, y puede contener sólo aquellos datos que la aplicación servidora expresamente determine. Eso, desde luego, podría incluir alguna información personal, así como códigos de usuario y contraseñas. [3] También es frecuente almacenar la fecha de la última visita, o bien algunos datos que permitan "recordar" lo que el usuario hizo o adquirió en esa oportunidad. En el momento en que la persona regresa al sitio en cuestión, su programa navegador envía el contenido de la cookie al servidor, que puede entonces interpretarlo y usarlo de un modo preestablecido, como, por ejemplo, mostrando un saludo personalizado al visitante.

Expuesto así someramente lo que una cookie es, analicemos ahora lo que no es, en procura de desterrar algunos de los mitos que las rodean. En primer término, es importante subrayar que no pueden capturar información personal de un usuario que no esté dispuesto a cederla voluntariamente. Además, no pueden transmitir un virus informático, porque no contienen más que texto estático. No sólo por sus características intrínsecas sino además por su muy reducido tamaño, estas estructuras no tienen la posibilidad de almacenar código ejecutable que pueda actuar como un virus. Finalmente, un servidor no tiene acceso más que a los datos contenidos en la cookie creada por él. En especial, no pueden hurgar por el disco fijo, extrayendo documentos u otros archivos sensibles de la computadora del usuario. De hecho, algunas cookies ni siquiera son almacenadas en disco; existen solamente en la memoria de la computadora y por el término de la actual sesión del programa navegador, desapareciendo tan pronto éste se descarga. [4]

Para concluir este aparte, se debe recalcar que la mayoría (si no todas) las aplicaciones recientes de navegación en la web, permiten que el usuario elija una opción que impedirá el almacenamiento de cookies en su computadora, o que por lo menos lo alerte cuando esté por ocurrir. Esto se puede activar o desactivar fácilmente como parte de sus preferencias de uso de la respectiva aplicación.

Afectaciones al derecho a la privacidad por el uso de cookies

A muchas personas molesta el mero hecho de que un servidor web tenga la capacidad de almacenar información, por poca que sea, en su computadora. Lo consideran una especie de invasión de su propiedad y de su espacio personal. Sin embargo, como se dirá, la verdadera amenaza a la intimidad que puede derivar del uso (más bien, del abuso) de la tecnología de cookies es mucho mayor de lo que esas personas posiblemente siquiera imaginen.

Como ha quedado claro de la sección precedente, el empleo de cookies es de evidente provecho para la empresa u organización que opera un sitio web, no sólo en cuanto permite ofrecer el grado de personalización del que hablábamos arriba, sino también -y quizás de mayor importancia- porque le permite realizar ciertos análisis de mercadotecnia y así conocer más acerca del perfil y los hábitos de consumo de sus clientes. Dependiendo del punto de vista de cada quien, esto podría parecer bueno o malo. Por ejemplo, la información contenida en una cookie puede ser empleada para la aplicación de publicidad dirigida: si se sabe que el visitante de un sitio web ha adquirido, digamos, libros sobre el cuidado de bebés, esto podría dar lugar a que en la misma o futuras visitas le sean presentados una serie de mensajes publicitarios sobre bienes o servicios asociados a ese mismo tema, con la esperanza de despertar su interés e intención de compra. Y, desde luego, el conocimiento así adquirido del consumidor también puede ser vendido o cedido a terceros. A través de técnicas de esta índole, es claro que eventualmente podríamos encontrarnos en presencia de la problemática que se examina a propósito de los grandes temas del derecho a la autodeterminación informativa y su instrumento aparejado, el recurso de hábeas data.

Si bien, como se explicó antes, se tiene siempre a mano la posibilidad de desactivar la creación de cookies en nuestra computadora, lo cierto es que esto no siempre es deseable y, de hecho, podría resultar perjudicial. En efecto, al hacerlo, se bloquearía tanto su empleo pernicioso como el benéfico. [5] Para entender mejor la cuestión, es importante establecer una distinción entre lo que podríamos denominar cookies locales y remotas.

  • Una cookie local es aquella clase que hemos venido analizando hasta ahora: la que crea en nuestra computadora el servidor del sitio web que estamos visitando, con cualquiera de los fines ya señalados. Algunos sitios dependen de ellas al punto de que no trabajar correctamente si se deniega su creación. [6]
  • También es posible la creación y recuperación remota de cookies. Cuando el sitio web que visitamos despliega publicidad de terceros, vía los llamados "banners" o "applets" Java, esos mensajes comerciales también poseen la capacidad de ejecutar código que puede grabar una cookie en nuestra computadora, y recuperarla posteriormente.

Desde la óptica del tema de la privacidad, interesa destacar que es justamente a través del uso de cookies remotas que se posibilita el funcionamiento de las llamadas "redes de seguimiento". [7] Estas funcionan cuando una empresa de mercadeo coloca mensajes publicitarios suyos en múltiples sitios populares de Internet con el fin de crear y luego recuperar cookies en las computadoras de los visitantes. Analizando estos datos, les es posible "seguir" a un usuario a medida que navega por esos sitios, vigilando sus acciones, acumulando información personal, controlando cuales bienes o servicios adquiere, etc. Es obvio que la posibilidad de crear perfiles sobre hábitos de consumo y recolectar datos personales crece así exponencialmente. Con solo navegar algunos minutos por estos lugares, ignorando por completo lo que sucede, la persona va dejando un clarísimo rastro electrónico, a la vez que cede -valga reiterar que involuntariamente- un tesoro de información a las empresas comercializadoras.

Las implicaciones jurídicas para el derecho de autodeterminación informativa y la privacidad en general son más que obvias.

¿Cómo enfrentar el problema?

Soluciones tecnológicas

La tecnología frecuentemente tiene la capacidad de contrarrestar los problemas que ella misma crea. La primera solución, ya mencionada, fue la posibilidad que se ofreció a los usuarios de desactivar selectiva o totalmente el almacenamiento de cookies. Sin embargo, tal como se explicó también, esta vía es bastante radical y a la postre más bien puede coartar las posibilidades del consumidor de recibir las ventajas y beneficios del uso correcto y ético de las cookies.

Por esta razón, otras posibilidades han ido apareciendo paulatinamente. Por ejemplo, ya hay aplicaciones capaces de distinguir entre el acto de creación de una cookie local y una remota. Se puede elegir así, a discreción del usuario, si bloquear la segunda, ambas o ninguna. [8] También se ha propuesto un estándar denominado P3P ("Platform for Privacy Preferences"). Esta iniciativa sería incorporada dentro de los principales programas navegadores, con el propósito de permitir a los usuarios decidir cuánta información personal desean entregar a un sitio web. A través de P3P, el consumidor puede aprobar o improbar la transferencia de información personal, de acuerdo con preferencias fijadas de antemano. Por ejemplo, se podría establecer que no se transmitan datos de esta naturaleza a sitios que los venden a terceros. [9]

Está claro que el empleo de soluciones técnicas de este tipo, aparejado al incentivo de las alternativas de autorregulación que mucha de la industria informática responsable viene propugnando, ofrece una vía idónea para al menos minimizar el problema. Sin embargo, es igualmente indudable que no todas las empresas y organizaciones poseen esta buena disposición. En esa medida, un conjunto claro y completo de regulaciones normativas debe entrar a llenar los espacios restantes.

Soluciones jurídicas

Desde la perspectiva de la mayoría de los ordenamientos jurídicos, nada de lo que se haga con las cookies, bueno o malo, posee mayor regulación legal. Sin embargo, diversas personas y entidades de tutela de los derechos civiles en países como los Estados Unidos ya han comenzado a preocuparse por el problema y a requerir la intervención de las autoridades para poner alguna clase de freno al "cosechado" de datos personales por medio de cookies.

En la medida en que, como se sabe, el ciberespacio no conoce fronteras políticas ni barreras geográficas, es evidente que el ideal sería que este tema forme parte de las diversas iniciativas para la creación de regulaciones de ámbito internacional en materia de comercio electrónico. Después de todo, la intimidad es un derecho fundamental, reconocido y tutelado internacionalmente en los diversos instrumentos sobre derechos humanos. La autodeterminación informativa, como corolario suyo que es, está siendo incorporada también cada vez más en los diversos textos normativos. Por ende, no se ve por qué no pueda y deba existir también un enfoque global del tema del abuso en el empleo de las cookies, en procura de soluciones integrales.

Notas

  1. La palabra cookie significa, literalmente, "galleta". Se trata de típica jerga informática angloparlante. Sin embargo, preferimos no traducirla aquí al castellano por la misma razón por la que no se suele hacerlo tampoco con otras expresiones como "hardware" o "CD-ROM", cuya usanza literal se ha difundido ampliamente a nuestro vocabulario informático.
  2. Tales como el Netscape Navigator, Microsoft Internet Explorer, Opera, Lynx, Mosaic, etc.
  3. Esto es lo que ocurre cuando se automatiza el ingreso a un sitio web protegido por medio de una clave. El servidor grabará el dato en la computadora cliente, de manera que en las visitas futuras se recuperará automáticamente la clave, ahorrando al visitante la molestia de tener que reescribirla cada vez que regresa a ese sitio web. A pesar de la evidente comodidad de este mecanismo, no es menos obvio que no debe ser empleado en computadoras accesibles a más de una persona (muy especialmente las de las populares cabinas públicas de acceso a la Internet o cibercafés), ya que en tal caso todos los usuarios podrían acceder al servicio en cuestión como si fueran el legítimo titular.
  4. Así es como suelen funcionar los llamados "carritos de compras".
  5. Y la opción de aceptar selectivamente las cookies tampoco resuelve el problema, no sólo por lo tedioso que resulta sino porque, de todos modos, los usuarios no sofisticados carecen de criterio para determinar cuáles autorizar y cuáles no.
  6. Por ejemplo, los diversos sitios que ofrecen correo electrónico gratuito vía una interface web, como los populares Yahoo, Hotmail, etc.
  7. "Tracking network".
  8. Nos referimos en particular al "Privacy Companion", que la empresa IDcide ha puesto gratuitamente a disposición del público. Nótese, sin embargo, que al momento de escribir estas líneas, se encuentra disponible solamente para el Internet Explorer de Microsoft. Es probable que más adelante sea ofrecido para otras aplicaciones.
  9. Puede verse un análisis de P3P desde el punto de vista jurídico, elaborado por el World Wide Web Consortium (W3C).