2 de noviembre de 2000

Regulaciones actuales y proyectos de reforma sobre delitos informáticos en Costa Rica

Este artículo apareció originalmente en el número 29 de la Revista Electrónica de Derecho Informático. Actualizado el 30 de agosto del 2012.

Introducción

En febrero del año 2000, se realizó en San José de Costa Rica un encuentro de Ministros de Justicia del continente americano. Uno de los temas tratados en esa reunión fue el creciente fenómeno de la delincuencia informática. Como acuerdo concreto, se dispuso intensificar los esfuerzos por establecer un frente común de combate a la ciberdelincuencia, reconociendo su cada vez mayor carácter internacional. Poco después, una conferencia del grupo G-8 de países industrializados hizo eco de esta misma preocupación, a la vez que la Unión Europea anunció la aprobación de un tratado sobre la materia, el "Convenio europeo sobre ciberdelincuencia". Se inició así una serie de importantes innovaciones jurídicas a nivel legislativo, alrededor del mundo.
Es oportuno, consecuentemente, realizar un repaso de la situación actual y de las perspectivas a corto plazo en el tratamiento normativo del delito informático en nuestro país.
A manera de preliminar y con el propósito de brindar un contexto sistemático al tema, haremos primero una breve reflexión sobre las diversas tendencias legislativas observadas en lo que toca a la tipificación de los delitos informáticos en los distintos sistemas jurídicos. Posteriormente brindaremos un vistazo de la situación actual costarricense en la materia, para concluir repasando las principales propuestas de reforma jurídica que encontramos en la agenda del legislador patrio.

Técnicas legislativas frente a la delincuencia informática

En el actual Derecho Informático vemos desarrollar al menos dos amplias polémicas en torno al tema de interés. De una parte, se discute sobre si los delitos informáticos realmente son nuevas modalidades de criminalidad o si estamos solamente ante una forma novedosa de cometer delitos tradicionales. Para aquellos que se inclinan por la primera postura, se plantea además el problema de la unidad o multiplicidad de la delincuencia informática; esto es, de si existe tal cosa como un único "delito informático" o si se trata de tipos heterogéneos, que ameritan un tratamiento individualizado. En general, de la postura que se adopte respecto de ambas interrogantes dependerá la clase de técnica adoptada para normar sobre esta materia.
Podríamos así establecer tres tendencias legislativas básicas [1]:
  1. Allí donde se estime que la delincuencia informática simplemente viste con un nuevo ropaje a conductas criminales previamente conocidas y tipificadas, se optará por reformar o agregar secciones o incisos a las figuras penales preexistentes para contemplar las nuevas modalidades tecnológicas de su comisión (ejemplos: Paraguay y, en cierta medida, España).
  2. En los ordenamientos que se prefiera pensar en el ciberdelito como una nueva clase de conducta criminal, de carácter unitario, se procurará normarlo mediante el diseño de un tipo penal nuevo (llámese "delito informático" o de otra manera) que se adicionará al respectivo Código Penal.
  3. Finalmente, en el caso de que exista una inclinación a visualizar la delincuencia informática no sólo como una manifestación novedosa sino, además, como una que presenta múltiples facetas y vías de comisión, probablemente se elegirá agregar un capítulo separado sobre delincuencia informática al Código Penal o las respectivas leyes especiales que lo pretendan reglar (capítulo separado: Bolivia, Francia; leyes especiales: Venezuela, Chile, Estados Unidos, Alemania).
Como es de esperar, cada alternativa presenta sus pros y contras. Sin embargo, pareciera que la segunda es la menos favorecida, visto lo difícil que resulta pretender encontrar una redacción tan comprensiva y general como para que cubra con efectividad todas aquellas circunstancias en que la informática puede intervenir en la configuración de un ilícito. Por ejemplo, un proyecto de ley del Ministerio de Justicia de Chile, de 1986, [2] pretendía tipificar el "delito informático" con una redacción tan abigarrada que resultaba virtualmente inmanejable. [3] Personalmente coincido en que el hecho fundamental de que la informática pueda servir tanto de objeto de la conducta criminal como de simple medio para su comisión, en sí mismo desvirtúa la posibilidad de darle una regulación unitaria al fenómeno de la ciberdelincuencia, restándole viabilidad jurídica a esta corriente legislativa.

Situación actual en Costa Rica

Establecido el marco conceptual anterior, podemos especificar que el legislador costarricense (al igual que el de Argentina y Brasil) se ha inclinado por un sistema mixto; es decir, que combina más de una de las tendencias citadas, lo cual ha conducido a situaciones de notoria inconsistencia normativa.
El desarrollo positivo nacional en materia de cibercriminalidad es escaso, como probablemente sea la tónica en la mayoría del área latinoamericana. Hasta el momento, solamente unas pocas leyes prevén figuras de esta naturaleza. A ellas se une la normativa sobre derechos de autor, que desde una óptica general tutela al software y que, por ende, algún interés presenta también para el tema bajo examen.
Examinemos a continuación las normas mencionadas.

Código de Normas y Procedimientos Tributarios

El Código de Normas y Procedimientos Tributarios [4] -junto con otras disposiciones de la misma materia- pasó por un importante proceso de ajustes legislativos, particularmente y en cuanto interesa, los introducidos por ley número 7535 ("Ley de Justicia Tributaria") del 1 de agosto de 1995; y la número 7900, publicada en el diario oficial La Gaceta del 17 de agosto de 1999.
Es así como en su Título 3 ("Hechos Ilícitos Tributarios"), Capítulo 3 ("Sanciones Penales") encontramos la Sección 2 ("Delitos Tributarios"), con cuatro preceptos de importancia:
  • El artículo 94 establece sanciones por acceso desautorizado a la información. Será castigado, con prisión de uno a tres años, quien, por cualquier medio tecnológico, acceda a los sistemas de información o las bases de datos de la Administración Tributaria, sin la autorización correspondiente.
  • De acuerdo con el numeral 95 ("Manejo indebido de programas de cómputo"), se impondrá pena de tres a diez años de prisión, a quien -sin autorización de la Administración Tributaria- se apodere de cualquier programa de cómputo utilizado por aquélla para administrar la información tributaria y sus bases de datos; lo copie, destruya, inutilice, altere, transfiera o lo conserve en su poder, siempre que la aplicación haya sido declarada de uso restringido, mediante resolución.
  • La sanción para quien facilite su código y su clave de acceso, asignados para ingresar a los sistemas de información tributarios, para que otra persona los use, es de prisión de tres a cinco años (artículo 96). Si ello ocurriere culposamente, la prisión será de seis meses a un año (artículo 97).

Ley General de Aduanas

La vigente Ley General de Aduanas [5] incorpora un Título 10, denominado "Delitos Aduaneros, Infracciones Administrativas y Tributarias". Éste, a su vez, contiene un Capítulo 2, titulado "Delitos Informáticos", con dos artículos.
  • Conforme al artículo 221, se reprimirá con prisión de uno a tres años a quienes:
    a) Accedan, sin la autorización correspondiente y por cualquier medio, a los sistemas informáticos utilizados por el Servicio Nacional de Aduanas.
    b) Se apoderen, copien, destruyan, inutilicen, alteren, faciliten, transfieran o tengan en su poder, sin autorización de la autoridad aduanera, cualquier programa de computación y sus bases de datos, utilizados por el Servicio Nacional de Aduanas, siempre que hayan sido declarados de uso restringido por esta autoridad.
    c) Dañen los componentes materiales o físicos de los aparatos, las máquinas o los accesorios que apoyen el funcionamiento de los sistemas informáticos diseñados para las operaciones del Servicio Nacional de Aduanas, con la finalidad de entorpecerlas u obtener beneficio para si o para otra persona. Y,
    d) Faciliten el uso del código y la clave de acceso asignados para ingresar en los sistemas informáticos. La pena será de seis meses a un año si el empleo se facilita culposamente.
    Como se nota, un mismo tipo reúne la previsión de acciones múltiples: la penetración no autorizada de sistemas (en el inciso a), la sustracción o reproducción ilícita de software junto con el sabotaje informático (en el inciso b) y el daño informático (inciso c). Por su parte, el último precepto contempla una conducta que podría discutirse si debe quedar regulada como un tipo autónomo (de la clase que algún sector de la doctrina penalista califica de "delitos de peligro") o si pareciera más bien una modalidad de participación (en carácter de complicidad) en un ilícito informático cometido por terceros.
    Nótese que hay reiteración de figuras respecto de las contempladas en el Código Tributario, previamente citado, solo que con una sanción mayor. A esto nos referíamos al comentar acerca de los peligros de promulgar normas especiales -en vez de una regulación general- en materia tan delicada. La incongruencia legislativa nos parece evidente e injustificable, desde que las materias tributaria y aduanera son áreas estrechamente entrelazadas del Derecho Financiero. No percibimos entonces la razonabilidad de sancionar diferenciadamente un mismo injusto penal.
  • Por su parte, el numeral 222 ibidem prevé una agravante (pena de tres a cinco años) cuando, respecto de las causales del artículo anterior, concurran las siguientes circunstancias:
    a) Que intervengan en el hecho tres o más personas, en calidad de autores. O,
    b) Que intervenga, en calidad de autor, instigador o cómplice, un funcionario público en ejercicio de sus funciones, con ocasión de ellas o con abuso de su cargo.
    A pesar de que el segundo supuesto es claro y razonable, nos ofrece duda el primero. Al menos a primera vista pareciera irrelevante el número de coautores del delito para efectos de agravación de la pena en este caso. [6] Lo pertinente podría ser sancionar el ilícito informático en sí y -si correspondiera- contemplar la intervención de múltiples autores bajo una figura separada, como por ejemplo en Costa Rica, el delito de asociación ilícita. [7]

Legislación sobre propiedad intelectual

La Ley de Derechos de Autor y Derechos Conexos [8] también ha venido pasando por una serie de reformas relevantes. En el terreno informático, nos conciernen las modificaciones introducidas en ese texto mediante las leyes número 7397 de 28 de abril de 1994, 7979 de 22 de diciembre de 1999 y 8039 de 12 de octubre del 2000.
La LDA considera al software como una "obra literaria o artística" (artículo 1). Por ende, a las infracciones a la propiedad intelectual sobre el software se aplican las sanciones genéricamente previstas para las obras en sentido amplio. En particular, el artículo 119 -hoy derogado- contemplaba la imposición de la pena de prisión, de uno a tres años, por diversos ilícitos en este terreno, dentro de los cuales se incluían las infracciones relativas a los bienes informáticos, como la llamada "piratería de software".
Aunque tampoco específicamente relativa a los bienes digitales, la mencionada ley número 8039 ("Ley de Procedimientos de Observancia de los Derechos de Propiedad Intelectual") ha venido a sustituir a ese precepto de la LDA con sus artículos 51 a 63, que regulan ahora todo lo referente a las sanciones para los delitos contra los derechos de autor y derechos conexos, manteniendo eso sí las penas previas de uno a tres años de prisión.

Ley de Administración Financiera de la República y Presupuestos Públicos

Se trata de la ley Ley No. 8131 de 18 de setiembre del 2001. Su artículo 110 establece la responsabilidad administrativa de los funionarios públicos, independientemente de la responsabilidad civil o penal, entre otras causas, por:
  • El ingreso, por cualquier medio, a los sistemas informáticos de la Administración Financiera y de Proveeduría, sin la autorización correspondiente (inciso m).
  • Obstaculizar el buen desempeño de los sistemas informáticos de la Administración Financiera y de Proveeduría, omitiendo el ingreso de datos o ingresando información errónea o extemporánea (inciso n). Y,
  • Causar daño a los componentes materiales o físicos de los aparatos, las máqui-nas o los accesorios que apoyan el funcionamiento de los sistemas informáticos de la Administración Financiera y de Proveeduría (inciso ñ).
Por su parte, el artículo 111 ibidem señala:
"Artículo 111.— Delito informático. Cometerán delito informático, sancionado con prisión de uno a tres años, los funcionarios públicos o particulares que realicen, contra los sistemas informáticos de la Administración Financiera y de Proveeduría, alguna de las siguientes acciones:
a) Apoderarse, copiar, destruir, alterar, transferir o mantener en su poder, sin el debido permiso de la autoridad competente, información, programas o bases de datos de uso restringido.
b) Causar daño, dolosamente, a los componentes lógicos o físicos de los aparatos, las máquinas o los accesorios que apoyan el funcionamiento de los sistemas informáticos.
c) Facilitar a terceras personas el uso del código personal y la clave de acceso asignados para acceder a los sistemas.
d) Utilizar las facilidades del Sistema para beneficio propio o de terceros."
Finalmente, los artículos 114 y 117 establecen la correlativa responsabilidad civil de los funcionarios o particulares involucrados, respectivamente.

Código Penal

Como fruto de la reunión de Ministros a que se aludió al inicio, la Procuraduría General de la República preparó un proyecto de ley que el Poder Ejecutivo envió a conocimiento de la Asamblea Legislativa y que fue aprobado mediante ley 8148 de 24 de octubre del 2001. El proyecto contemplaba la adición de cuatro preceptos al Código Penal (de los cuales en definitiva solo se adoptó tres), junto con una reforma asociada a la denominada "Ley sobre Registro, Secuestro y Examen de Documentos Privados e Intervención de las Comunicaciones". [9]
a.- Se adicionó en primer término un nuevo artículo 196 bis al Código, cuyo texto establece:
"Artículo 196 bis.- Violación de comunicaciones electrónicas.
Será reprimida con pena de prisión de seis meses a dos años, la persona que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere, accese, modifique, altere, suprima, intercepte, interfiera, utilice, difunda o desvíe de su destino, mensajes, datos e imágenes contenidas en soportes: electrónicos, informáticos, magnéticos y telemáticos. La pena será de uno a tres años de prisión, si las acciones descritas en el párrafo anterior, son realizadas por personas encargadas de los soportes: electrónicos, informáticos, magnéticos y telemáticos."
Es interesante notar que el proyecto original era bastante más extenso, pues rezaba:
"Artículo 196 bis.- Violación de comunicaciones electrónicas.
Será reprimido con pena de prisión de uno a cuatro años la persona que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus mensajes de correo electrónico o cualesquiera otro tipo de telecomunicación de tipo remoto, documentos magnéticos, intercepte sus telecomunicaciones, o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen o de cualquier otra señal de comunicación telemática para lograr ese objetivo.
Las mismas penas se impondrán al que, sin estar autorizado, accese, se apodere, utilice, modifique o altere, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado, ya sea en perjuicio del titular de los datos o de un tercero.
Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores.
Será castigado con las penas de prisión de uno a tres años, el que, con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento, realizare la conducta descrita en el párrafo anterior.
Si los hechos descritos en los párrafos 1 y 2 de este artículo se realizan por las personas encargadas o responsables de los ficheros, soportes informáticos, electrónicos o telemáticos, archivos o registros, se impondrá pena de prisión de dos a seis años.
Si los hechos descritos en este artículo se realizan con fines lucrativos, la pena será de prisión de cuatro a siete años.
Lo dispuesto en este artículo será aplicable al que descubriere, revelare o cediere datos reservados de personas jurídicas, sin el consentimiento de sus representantes."
A manera de comentario, viene a la mente el problema de titular la norma como una "violación de comunicaciones electrónicas", cuando no todas las conductas descritas están estrictamente asociadas a una comunicación de esa naturaleza. El tipo se podría configurar incluso en ausencia de ella (por ejemplo, la persona que, aprovechando que la víctima ha dejado su computadora personal momentáneamente desatendida, hurga en sus archivos personales) o con posterioridad a su conclusión.
Por otra parte, nos hubiera parecido importante seguir la tendencia de otros ordenamientos, en que se agrava la sanción cuando los datos reservados que se cede o revela aluden a factores personalísimos como la ideología, creencias religiosas, preferencias sexuales, origen étnico o racial, o se refieren a menores o incapaces.
Finalmente, valga destacar la mala técnica legislativa de señalar que la conducta punible la sufre la víctima "sin su consentimiento", lo cual debería ser obvio, dado que si media su anuencia, no habría delito.
b.- Se agregó igualmente -con cambios mínimos frente al proyecto- un nuevo artículo 217 bis, con el siguiente texto:
"Artículo 217 bis.- Fraude informático.
Se impondrá pena de prisión de uno a diez años a la persona que, con la intención de procurar u obtener un beneficio patrimonial para sí o para un tercero, influya en el procesamiento o el resultado de los datos de un sistema de cómputo, mediante programación, empleo de datos falsos o incompletos, uso indebido de datos o cualquier otra acción que incida en el proceso de los datos del sistema."
Como se nota, la previsión omite la modalidad agravada -tipificada en otros países- del fraude fiscal informático, en el que la víctima del acto es la Administración tributaria o aduanera. Nótese, además, que este ilícito no resultaría idóneo para sancionar los supuestos de hurto informático.
c.- Al artículo 229 se proponía agregar un inciso 5), con este texto:
"5) Cuando el daño recayere sobre el soporte físico de un sistema de cómputo o en sus partes o componentes."
Esta parte del proyecto no se aprobó. De toda suerte, valga comentar que habría sido importante distinguir el caso del daño que recaiga sobre equipos dedicados a servicios públicos especialmente sensibles (por ejemplo, el Registro Nacional, el suministro eléctrico, etc.).
d.- Finalmente, se adicionó al mismo Código un nuevo artículo 229 bis, estableciendo:
"Artículo 229 bis.- Alteración de datos y sabotaje informático.
Se impondrá pena de prisión de uno a cuatro años a la persona que por cualquier medio accese, borre, suprima, modifique o inutilice sin autorización los datos registrados en una computadora.
Si como resultado de las conductas indicadas se entorpece o inutiliza el funcionamiento de un programa de cómputo, una base de datos o un sistema informático, la pena será de tres a seis años de prisión. Si el programa de cómputo, la base de datos o el sistema informático contiene datos de carácter público, se impondrá pena de prisión hasta de ocho años. "
Con esta norma ocurrió algo interesante. En efecto, menos de un año después de su promulgación, la Asamblea Legislativa -mediante ley número 8250 de 2 de mayo del 2002- promulgó otro artículo 229 bis, relativo al "Abandono dañino de animales". En buena teoría, podría pensarse que este gazapo legislativo (puesto que seguramente se dio por error) provocó la derogatoria tácita del tipo "Alteración de datos y sabotaje informático". Hubo quienes sostuvieron, sin embargo, que se debía ver como un simple error material y que la nueva norma debía entenderse como un artículo 229 ter. El problema es que, mediante sentencia número 2007-18486 de las 18:03 horas del 19 de diciembre del 2007, la Sala Constitucional declaró la norma en cuestión (esto es, el "Abandono dañino de animales") inconstitucional. ¿En qué quedaría entonces el tipo del sabotaje informático? La solución deberán darla eventualmente los tribunales de justicia, en ejercicio de su función exegética de la ley. [10]
En todo caso, en lo que a alteración de datos se refiere, la norma -con excesiva rigurosidad, me parece- no hace la distinción que hacen otros ordenamientos, en el sentido de dejar en el terreno de las infracciones administrativas o disciplinarias la conducta de quien realiza la adulteración sin ánimo lucrativo ni perjuicio de terceros (ejemplo: el estudiante que altera sus calificaciones para lograr la aprobación de un curso académico).
e.- Como anticipamos también arriba, la reforma contemplaba también un ajuste paralelo en el texto del párrafo primero del artículo 9 de la Ley sobre Registro, Secuestro y Examen de Documentos Privados e Intervención de las Comunicaciones, en la forma siguiente:
"Articulo 9.- Autorización de intervenciones.
Los Tribunales de Justicia podrán autorizar la intervención de comunicaciones orales, escritas o de cualquier otro tipo, dentro de los procedimientos de una investigación policial o jurisdiccional, cuando involucre el esclarecimiento de los siguientes delitos: el secuestro extorsivo, los previstos en la Ley sobre Sustancias Psicotrópicas, Drogas de Uso no Autorizado y actividades conexas y cualquier otro delito vinculado con el uso de comunicaciones telemáticas, comunicaciones de tipo remoto, correo electrónico o cualesquiera otro tipo, documentos magnéticos, o la utilización de artificios técnicos de escucha, transmisión, grabación, reproducción del sonido o de la imagen, cualquier señal de comunicación telemática y en general cualquier delito que utilice como instrumento o tenga por objetivo los accesos no autorizados a computadoras o sistemas informáticos."
Esta parte del proyecto no se aprobó.

Propuestas de lege ferenda

Proyecto de reforma de 1996

A la Asamblea Legislativa (Parlamento costarricense) fue sometido en 1996 un proyecto de ley, mediante el cual se proponía la reforma de seis artículos del Código Penal, a fin de incluir una disciplina más general del delito informático en nuestro país. Aunque la enmienda no prosperó, es la primera de su género de que tenemos noticia en nuestro medio.

Proyecto de reformas al Código Penal

De iniciativa del Poder Ejecutivo (y, según entendemos, aprovechando en parte el proyecto anteriormente citado), se envió a la Asamblea una "Ley de reformas al Código Penal". [11] Por desgracia y, como resultado de una inadecuada tramitación, la iniciativa quedó archivada en julio del 2009 [12].
En lo que a delitos informáticos se refiere, el proyecto original incluía las siguientes disposiciones de interés:
"Artículo 187: Tratamiento ilícito de datos personales y comunicaciones.
Será sancionado con pena de prisión de uno a cuatro años quien se apodere, abra, accese, imponga, copie, transmita, publique, recopile, use, intercepte, retenga, suprima, oculte, desvíe o dé un tratamiento no autorizado a las comunicaciones, imágenes o datos de otra persona física o jurídica no públicos o notorios, a soportes informáticos, a programas de cómputo o a sus bases de datos."
"Artículo 191: Circunstancias de agravación
Las penas de los artículos anteriores se elevarán según lo dispuesto en el artículo 79, cuando la conducta se realice:
1. Por un servidor público con motivo de sus funciones, cualquiera que sea su grado de participación;
2. Con desobediencia a las autoridades judiciales;
3. Prevaleciéndose el autor o partícipe de su vinculación con una empresa o institución, pública o privada, encargada de comunicaciones;
4. Por las personas encargadas o responsables de los ficheros, soportes informáticos, archivos o registros; y
Con el fin de establecer perfiles discriminatorios de personalidad."
Nótese como, en este caso, se omitía -correctamente- la referencia al número de autores como un factor agravante.
"Artículo 222: Hurto calificado agravado
El hurto se sancionará con pena de prisión de tres meses a tres años, si el valor de lo sustraído no excede de cinco veces el salario base, y de uno a ocho años, si es mayor de esa suma, en los siguientes casos:
(...)
3. Cuando se hace uso de procedimientos o mecanismos que sin ejercer fuerza permitan el acceso o ingreso, tales como ganzúas, llaves, claves, tarjetas magnéticas o perforadas, mandos u otros instrumentos que cumplan esa función;
(...)
8. Cuando se realice por medio de la manipulación de datos o de la intervención en soportes de información electrónicos, magnéticos o de otras tecnologías."
Se incorporaba aquí el concepto de la "llave falsa", propia del hurto tradicional, para hacerla extensiva al hurto informático cometido -entre otros- mediante el empleo de contraseñas o tarjetas magnéticas.
"Artículo 230: Estafa calificada agravada
Las penas de la estafa se aumentarán de conformidad con el artículo 79, en las siguientes circunstancias:
(...)
4. Cuando se realice mediante manipulación que interfiera el resultado de un procesamiento o transmisión informática de datos.
(...)"
Al pretender introducir la figura del fraude informático, no sólo no quedaba clara en la propuesta la relación entre este tipo y el inciso 8 del previamente transcrito, sino que -peor aún- se olvidaba que este ilícito también es susceptible de ser cometido a través de la manipulación de los datos de entrada o bien de su procesamiento, propiamente dicho, en adición al que se pueda efectuar de los resultados de este último.
"Artículo 242: Daño calificado agravado
La sanción será prisión de seis meses a tres años, cuando el daño se produzca en las siguientes circunstancias:
(...)
4. Cuando recaiga sobre documentos, archivos electrónicos, magnéticos o de nuevas tecnologías, programas de computadora o sus bases de datos; o los componentes de los aparatos, máquinas o accesorios que apoyan el funcionamiento de sistemas informáticos."
Se buscaba fusionar el daño informático (al hardware) con el sabotaje informático (al software), cosa innecesaria e inconveniente, desde que se trata de conductas completamente diferentes: una tiene por objetivo el equipo físico y se comete por medios físicos también -por ejemplo, dejando caer la computadora-; la otra ataca al sistema de información (que es inmaterial) y se comete por medios lógicos -por ejemplo, implantando un virus informático-.
Como comentario global, se puede observar que el proyecto inicial se orientaba claramente hacia circunscribir a nuestro país dentro de la primera tendencia legislativa que identificamos supra.
Ahora bien, como resultado de las consabidas negociaciones y propuestas legislativas, entiendo (puesto que no dispongo de la última versión) que la redacción final presentaba sustanciales variaciones respecto del proyecto original. Se me ha indicado que en lo que a delitos informáticos se refiere, la propuesta actual se orientaba hacia incluir solamente las siguientes disposiciones:
  • Lesiones a la autodeterminación informativa: arts. 191-193, 196
  • Publicación y reproducción de ofensas por medios electrónicos: arts. 207, 208
  • Hurto informático: art. 238-8
  • Fraude informático: arts. 245-5 (?) y 252
  • Daño agravado: art. 261-4
De ser así, habríamos echado de menos una previsión de figuras tales como la intrusión simple, el fraude fiscal informático, sabotaje informático, apropiación de servicios, denegación de servicios y "spamming".

Proyecto de la ex-diputada Núñez Chávez

En La Gaceta del 6 de octubre 10 del 2003 apareció un proyecto de "Ley de Delito Informático" (exp. 15.397) presentado por la entonces diputada María Elena Núñez Chávez [13]. Los tipos penales que sanciona son: fraude por computadora, falsificación de información, accesos no autorizados a servicios y sistemas informáticos, reproducción no autorizada de programas informáticos de protección legal, sabotaje informático, estafa electrónica, pesca u olfateo de claves secretas de acceso, uso ilegítimo de contraseñas de acceso, uso ilegítimo de sistemas informáticos ajenos, delitos informáticos contra la privacidad y difusión de pornografía infantil.
Se trata de una iniciativa muy completa y bien redactada. Esperaríamos que eventualmente sea adoptada y refundida más bien dentro de un futuro Código Penal, a fin de centralizar el tratamiento de estas figuras.

Convenio europeo sobre ciberdelincuencia

Como es sabido, el Consejo de Europa aprobó en noviembre del 2001 un "Convenio sobre la Ciberdelincuencia", que es el primer instrumento multinacional diseñado para atacar el problema de los delitos cometidos por medio de la red. Está abierto a otros Estados no europeos que sean invitados a suscribirlo. Entró en vigencia el 1 de julio del 2004.
En el Alcance N° 119 a La Gaceta N° 163 del 24 de agosto del 2012, apareció publicado el expediente legislativo N° 18.484, por medio del cual el Poder Ejecutivo sometió a la Asamblea Legislativa la aprobación de la adhesión de Costa Rica al Convenio. El asunto se encuentra a la fecha bajo estudio de la Comisión Permanente Especial de Relaciones Internacionales y de Comercio Exterior.

Proyecto de la diputada Vásquez Badilla

En La Gaceta Nº 113 del 13 de junio del 2007 apareció otro proyecto de "Adición de nuevos artículos al Código Penal para regular el delito informático", expediente Nº 16.546, de la diputada Lorena Vásquez Badilla [14]. Allí se propone:
a.- Adicionar un nuevo artículo 216 bis al Código Penal, que se leerá de la siguiente manera:
"Artículo 216 bis.- ESTAFA MEDIANTE TARJETA DE CRÉDITO O DÉBITO
Quien, mediante engaño, utilizare una tarjeta de crédito o débito con el ánimo de obtener para sí, o para un tercero, beneficios patrimoniales, será sancionado con pena de prisión de uno a cuatro años."
b.- Agregar un nuevo artículo 218, con el siguiente contenido:
"Artículo 218.- FRAUDE INFORMÁTICO CON TARJETA DE CRÉDITO O DÉBITO
Quien, con el ánimo de obtener un beneficio patrimonial para sí, o para un tercero, altere, suprima o incorpore en una tarjeta de crédito o débito, datos falsos, ocasionando con ello un perjuicio económico a su legítimo propietario, será sancionado con pena de prisión de uno a seis años.
El perjuicio patrimonial se calculará de conformidad con lo establecido por la Ley Nº 7337, de 5 de mayo de 1993."
c.- Finalmente, adicionar un artículo 218 bis al Código Penal, que se leerá de la siguiente manera:
Artículo 218 bis.- FRAUDE NACIONAL, INDUSTRIAL Y PERSONAL
Quien, mediante procesamiento de datos en una cuenta electrónica, manipule, suprima, facilite, altere o modifique de cualquier forma información, con el ánimo de obtener o procurar un beneficio propio o para un tercero, será sancionado con pena de prisión de dos a ocho años."
Como se ve, se trata de disposiciones muy puntuales, referidas más que nada a los crecientes problemas suscitados con el empleo fraudulento de tarjetas electrónicas bancarias. Lo que en definitiva no comprendo es el sentido del título de la última figura ("Fraude nacional, industrial y personal"), por demás inusual.

Proyecto de nuevo Código Penal

En La Gaceta N° 212 del 2 de noviembre del 2009 se publicó un nuevo proyecto de Código Penal, expediente Nº 17.514 [15], que contiene varias previsiones importantes en materia de delitos informáticos. Entre ellas:
  • Un Título IV, sobre "Delitos contra el ámbito de intimidad y la autodeterminación informativa".
  • La publicación de ofensas, que se configura cuando "se realice con publicidad por medio de la imprenta, la televisión, la radiodifusión, redes de información o por cualquier otro medio de eficacia semejante" (artículo 208).
  • Una nueva modalidad de hurto agravado, que se comete "Cuando se realice por medio de la manipulación de datos o de la intervención en soportes de información electrónicos, magnéticos o de otras tecnologías" (artículo 239, inciso 8).
  • Estafa agravada, "cuando se realice mediante manipulación que interfiera el resultado de un procesamiento o transmisión informática de datos" (artículo 246, inciso 5).
  • Fraude informático, que sanciona "a la persona que, con la intención de procurar u obtener un beneficio patrimonial para sí o para un tercero, influya en el procesamiento o el resultado de los datos de un sistema de cómputo, mediante programación, empleo de datos falsos o incompletos, uso indebido de datos o cualquier otra acción que incida en el proceso de los datos del sistema" (artículo 253). Y,
  • Un nuevo tipo de daño agravado, "Cuando recaiga sobre documentos, archivos electrónicos, magnéticos o de nuevas tecnologías, programas de computadora o sus bases de datos; o los componentes de los aparatos, máquinas o accesorios que apoyan el funcionamiento de sistemas informáticos" (artículo 262, inciso 6).
Algunos comentaristas nacionales -como el profesor Alfredo Chirino Sánchez [16]- han destacado que el proyecto de Código padece de importantes limitaciones en esta materia, debido al hecho de que parte de un intento de preveer los tipos de delitos informáticos únicamente sobre la base de conductas tradicionales previas, lo cual representa un enfoque claramente restrictivo.

Proyecto del diputado Luis A. Barrantes

Según informó el diario La Prensa Libre del 3 de marzo del 2010, dicho congresista presentó, bajo el expediente legislativo N° 17.613, un proyecto de ley denominado "Reforma a varios artículos del Código Penal y adición de un nuevo capítulo denominado 'Delitos informáticos'" [17]. En julio del 2012, el proyecto fue aprobado y se convirtió en “Ley de Delitos Informáticos”, N° 9048, que reforma diversos preceptos del Código Penal. La nueva legislación, que no ha entrado aun en vigencia pues a la fecha no ha sido publicada en el diario oficial La Gaceta, ha generado controversia por el contenido de algunas de sus disposiciones, que –según sus críticos– afecta el ejercicio de la libertad de prensa. El Gobierno de la República manifestó su disposición a revisar el texto y reformarlo de ser necesario [18]. Esto se concretó el 30 de agosto del 2012, con la publicación en el Alcance N° 121 a La Gaceta N° 167 (documento PDF, 224 kb) del proyecto de ley, expediente legislativo N° 18.546, titulado "Reforma de los tipos penales establecidos en los artículos 167, 196, 196 bis, 231, 236 y 288 del Código Penal". Por este motivo, no incluyo las reformas aun como legislación vigente y opto por postergar cualquier comentario al respecto.

Conclusión

Costa Rica requiere de una importante actualización legislativa en materia de delincuencia informática. Los proyectos presentados al efecto se orientan en esa dirección, pero al parecer no aprovechan las investigaciones y experiencia de otros ordenamientos que llevan la delantera en este terreno.
Por ello, estimamos importante y urgente el aporte de mayores criterios, así como la realización de actividades de análisis académico del tema, con el fin de obtener una panorámica completa del fenómeno de la ciberdelincuencia, que a la par de complejo, solamente da muestras de un crecimiento cada vez más acelerado.

Agradecimiento

El autor agradece a las colegas, Licda. Andrea Hulbert Volio y Licda. Saray Peralta Aguilar, su lectura previa y comentarios a la versión original de este trabajo.

Notas

  1. Los ordenamientos jurídicos citados como ejemplos provienen de RIQUERT, Marcelo A. "Estado de la legislación contra la delincuencia informática en el Mercosur", en Revista Electrónica de Derecho Informático, marzo 2008.
  2. Citado en CORREA, Carlos y otros. Derecho Informático. Ediciones Depalma, Buenos Aires, 1994. Página 298.
  3. Según el proyecto, “cometerá delito informático la persona que maliciosamente use o entre a una base de datos, sistema de computadores o red de computadoras o a cualquier parte de la misma con el propósito de diseñar, ejecutar o alterar un esquema o artificio, con el fin de defraudar, obtener dinero, bienes o información. También comete este tipo de delito el que maliciosamente y a sabiendas y sin autorización intercepta, interfiere, recibe, usa, altera, daña o destruye una computadora, un sistema o red de computadoras, un soporte lógico o programa de la computadora o los datos contenidos en la misma, en la base, sistema o red.” En definitiva, Chile optó en 1993 por una ley especial, de escasos cuatro artículos, siempre con el propósito de establecer una regulación general sobre el tema (nos referimos a la ley número 19.223 de 28 de mayo de 1993).
  4. También llamado Código Tributario; ley número 4755 de 29 de abril de 1971.
  5. Ley número 7557 de 20 de octubre de 1995.
  6. A diferencia de lo que sucede, por ejemplo, en los delitos de robo o violación, en los que la participación de varias personas como autoras claramente justifica una punibilidad mayor.
  7. Artículo 274 del Código Penal.
  8. Número 6683 de 14 de octubre de 1982.
  9. Ley número 7425 de 9 de agosto de 1994.
  10. En el "Observatorio Judicial" (boletín de prensa electrónico del Poder Judicial) del 6 de enero del 2009, aparece un comentario titulado "La (I)responsabilidad en el acto de legislar (a propósito de los errores en la 'nueva' Ley de Tránsito)", de la Licda. Rosaura Chinchilla Calderón, Jueza de Casación Penal de San José. En él hace el siguiente comentario: "(Por) ley N° 8148 de 24 de octubre del 2001 se creó un artículo 229 bis denominado 'Alteración de datos y sabotaje informático' y luego, por ley Nº 8250 de 02 de mayo de 2002 se 'volvió a crear' el artículo 229 bis previendo, ahora, el abandono dañino de animales. El contenido de ambos es radicalmente diferente. Entonces, si partimos que la ley posterior deroga la anterior y en aplicación del principio de legalidad, la primera reforma, que no tenía relación con la temática abarcada en la segunda, quedó tácitamente derogada porque el legislador no supo introducir adecuadamente la segunda norma".
  11. Se trata del expediente número 11.871, proyecto inicialmente publicado en La Gaceta Nº 82 del 29 de abril de 1994.
  12. Véase mi artículo "Delitos informáticos impunes", en La Nación del 8 de agosto del 2009.
  13. Se puede descargar el proyecto desde el sitio web de la Asamblea (en formato Word).
  14. Descargar el proyecto desde el sitio de la Asamblea Legislativa (en formato Word).
  15. Se puede ver en el sitio web de la Imprenta Nacional.
  16. Comentarios verbales efectuados durante la mesa redonda "Delitos informaticos: necesidad de nuevas formas de regulacion", el 10 de noviembre del 2009, en el Colegio de Abogados de Costa Rica.
  17. El proyecto original fue publicado en La Gaceta Nº 49 del 11 de marzo del 2010.
  18. Véase, por ejemplo, este artículo de prensa.

1 de noviembre de 2000

Propiedad intelectual de las bases de datos

Este artículo apareció publicado en el número 28 de la Revista Electrónica de Derecho Informático. También aparece en el libro "Derecho informático y comercio electrónico. Doctrina y legislación." Publicado por la Facultad de Derecho y Ciencias Políticas de la Universidad Inca Garcilaso de la Vega, Lima, Perú, 2002.

Resumen: Durante la década pasada, surgió la discusión jurídica en torno a si una base de datos es susceptible o no de recibir protección bajo el derecho autoral, en forma separada de la que goza la aplicación empleada para gestionarla. En este artículo discutimos las razones por las que la respuesta debe ser afirmativa, con las condiciones y restricciones que también señalamos.

Introducción

Es ocioso insistir acerca de la influencia directa y creciente que la informática moderna ejerce sobre las diversas áreas sustantivas de la ciencia jurídica. Y el campo del derecho autoral ciertamente que no es excepción. Numerosos libros y artículos atestiguan acerca de las preocupaciones que genera el tema de la tutela de la propiedad intelectual del software. E intensos debates se desarrollan alrededor de la cuestión de si las creaciones tecnológicas merecen o no un tratamiento jurídico idéntico al que ha correspondido durante largo tiempo para las tradicionales obras literarias, científicas y artísticas.

En esta oportunidad, centraremos nuestro examen al campo específico de las bases de datos, herramienta fundamental de la tecnología de la información en nuestra era. Luego de algunas precisiones terminológicas, plantearemos las cuestiones jurídicas centrales, a saber: ¿las bases de datos pueden y deben ser protegidas o no por el instituto de la propiedad intelectual? ¿Cuáles son los problemas puntuales que ello plantea? Finalizaremos con algunas breves conclusiones sobre el particular.

Conceptos básicos

Gran parte de la gestión informática en las empresas y organizaciones modernas gira en torno a las bases de datos. En tiempos en que la información ha llegado a convertirse en uno de los activos más preciados, la tecnología de bases de datos se viene aplicando a la solución de problemas tanto viejos (manejo de inventarios, contabilidad, planillas, administración de recursos humanos, etcétera) como novedosos (en especial, en el campo del comercio electrónico).

Antes de avanzar más con el tratamiento del tema que nos ocupa, interesa aclarar algunas nociones técnicas fundamentales, en beneficio de los lectores sin formación específica en este campo. En particular, debe precisarse la distinción que existe entre "bases de datos" y "sistemas administradores de bases de datos".

En síntesis:

  • Una base de datos (en adelante "BD") es una colección sistemática, estructurada, de datos (y a veces también de procedimientos asociados a ellos), almacenados electrónicamente y relativos a personas, objetos, eventos, etc.
  • Un sistema administrador de bases de datos (en lo sucesivo "SABD"), por su parte, es el software de aplicación que se encarga de gestionar una base de datos, para incluir, modificar, suprimir o recuperar la información en ella contenida.

Formulemos una simple analogía para una mejor comprensión de la diferencia entre ambos conceptos:

Piénsese, en efecto, en una actividad rutinaria como ir a buscar un libro a una biblioteca. En este caso, posiblemente debamos ir hasta un mostrador, adonde indicaremos a una persona -el bibliotecario- cuál es el libro deseado. Esa persona irá hasta el sitio adonde se almacenan los libros, localizará el título solicitado y -asumiendo que esté disponible- nos lo presentará en el mostrador. Los aspectos destacables de esta sencilla transacción incluyen los siguientes (todos obvios, pero permítasenos aun así ponerlos de relieve para lo que sigue más abajo):

  1. El bibliotecario es capaz de encontrar la obra en cuestión, entre posiblemente varias centenas o miles de otros títulos, porque éstos se encuentran organizados de alguna manera racional que facilita su búsqueda.
  2. Como usuario de la biblioteca, desconozco -y probablemente no me interesa tampoco- cuál es ese esquema de distribución de los libros. Lo importante es que el bibliotecario lo domina a fondo y que por ello puede encontrar y entregarme la obra solicitada.
  3. No tengo que preocuparme en absoluto por cómo podré buscar en el futuro los nuevos libros que lleguen a la biblioteca, o por cuáles se encuentran prestados a otros usuarios, o cuántos hay en total, o cuáles sean eliminados por mal estado o cualquier otro motivo. De nuevo, para todo eso está el bibliotecario.

Pues bien, en esta sencilla analogía, la BD equivale a la colección de cientos o miles o más de libros, mientras que el SABD está representado por el bibliotecario. A través de un SABD, podemos almacenar electrónicamente los datos que nos interesa conservar para algún propósito dado, con la confianza de que por medio de él podremos incluir nuevos datos en el futuro, modificar los datos existentes o borrar los que ya no queramos conservar. De tanto o mayor importancia es el hecho de que, empleando el SABD, podemos formular preguntas [1] y extraer información útil de la colección de datos, tanto cualitativa (ejemplo: ¿cuál es el libro más solicitado por los usuarios de la biblioteca?) como cuantitativa (¿cuántas personas no han devuelto títulos prestados de fecha de entrega vencida?).

La tecnología de las BD viene desarrollándose con mayor ímpetu aproximadamente a partir de los años sesenta, atravesando una serie de fases que se distinguen por el modelo dominante en cada cual. Así, inicialmente atravesamos por las etapas de las BD jerárquicas y de redes. Durante los años setenta y a raíz del trabajo revolucionario que a nivel teórico desarrolló E.F. Codd, nació la era de las BD relacionales, que en gran medida se prolonga hasta los últimos años. Actualmente nos encontramos en la fase de predominio de las llamadas BD objeto-relacionales y que se espera que dé paso, a su vez, a una etapa de preponderancia de las BD orientadas a objetos. [2]

Enfoque jurídico

Una de las áreas de más dinamismo del naciente Derecho Informático es la que concierne a la tutela jurídica del software en general y, muy especialmente, al aseguramiento de los derechos de autor sobre las aplicaciones computacionales. Mucho se ha escrito y debatido al respecto, incluso en torno a la cuestión misma de si el software califica realmente o no como una "obra" en el sentido que tradicionalmente ha dado a ese término el derecho autoral.

En este trabajo partimos de la premisa de que las referidas aplicaciones, en cuanto secuencias de instrucciones ejecutables por un sistema informático, indudablemente merecen el amparo de la ley. [3] Desde esta óptica, no nos ofrece mayor dificultad lo referente a la defensa de los derechos e intereses de los autores de un SABD. En efecto, se trata en la especie de un software de aplicación que recibe el mismo tratamiento que cualquier otro programa informático. La cuestión que nos ocupa aquí radica, más bien, en si la colección misma de datos (o sea, la BD) es o no susceptible de recibir un reconocimiento similar.

La respuesta de la doctrina es pacíficamente afirmativa, pero precisando que lo que se protege no son los datos en sí mismos, sino la compilación que representan, siempre que de ella pueda decirse que es original y creativa.

Para comprenderlo, baste un sencillo ejemplo. Considérese, en efecto, la guía telefónica. Ésta representa, sin duda, una típica base de datos, que incluye los nombres de todos los abonados del servicio y su respectivo número de teléfono. ¿Cabría entonces registrarlo como una obra protegida? Indudablemente que no, porque en esta compilación no hay originalidad ni creatividad: se trata de la mera sumatoria de todos los datos pertinentes, siguiendo un orden alfabético que nada tiene de innovador. Pero piénsese ahora en una base de datos que, luego de un largo y duro trabajo arqueológico, produzca un catálogo completo y detallado sobre las piezas arqueológicas de nuestro país, clasificadas en función del pueblo indígena que las creó e incluyendo datos sobre zona geográfica de localización, período histórico al que corresponden, etc. En este caso, no nos cabe duda de que tal compilación sí merecería la tutela del derecho autoral, en reconocimiento de su originalidad y de su creatividad.

Nótese, entonces, la diferencia clara que existe entre una base de datos puramente inclusiva y otra que es el fruto de la selectividad en su construcción.

Ahora bien, el hecho de que lo tutelado sea la compilación y no los datos en sí es lógico, ya que no sólo es frecuente que éstos incluyan información que no es ni original ni creativa, sino que puede resultar incluso de dominio público (como, en lo que a nuestro campo interesa, serían textos normativos, sentencias, etc.). [4]

Marco normativo

Al igual que ocurre respecto del derecho autoral en general, la tutela jurídica de las bases de datos deriva de un cúmulo de disposiciones normativas internacionales, regionales y nacionales.

Plano internacional

En sí mismo, el Convenio de Berna para la Protección de las Obras Literarias y Artísticas de 1971 -como es de esperar a partir de la época de su promulgación- no se refiere explícitamente a las bases de datos. [5] No obstante, el lenguaje amplio de algunos de sus preceptos (concretamente los artículos 2.1 y 2.5) permiten entenderlas como "colecciones", susceptibles de recibir protección equiparable a la de las obras literarias y artísticas en general. Así lo expresó el Comité de Expertos de la OMPI durante una sesión realizada en 1994. [6]

Ese mismo año, la OMPI emitió el denominado "Acuerdo sobre los ADPIC" (Acuerdo sobre los Aspectos de los Derechos de Propiedad Intelectual relacionados con el Comercio), cuyo numeral 10.2 -transcrito casi literalmente- dio paso al actual artículo 5 del "Tratado de la OMPI sobre derecho de autor", adoptado por la Conferencia Diplomática sobre ciertas cuestiones de derecho de autor y derechos conexos, realizada en Ginebra el 20 de diciembre de 1996 y que, en este sentido, constituye el precepto internacional de mayor interés en la materia. Establece dicha norma:

"Artículo 5.- Compilaciones de datos (bases de datos). Las compilaciones de datos o de otros materiales, en cualquier forma, que por razones de la selección o disposición de sus contenidos constituyan creaciones de carácter intelectual, están protegidas como tales. Esa protección no abarca los datos o materiales en sí mismos y se entiende sin perjuicio de cualquier derecho de autor que subsista respecto de los datos o materiales contenidos en la compilación."

La Conferencia también adoptó en esa oportunidad una "declaración concertada", que en cuanto nos interesa aclara que “"El ámbito de la protección de las compilaciones de datos (bases de datos) en virtud del Artículo 5 del presente Tratado, leído junto con el Artículo 2, está en conformidad con el Artículo 2 del Convenio de Berna y a la par con las disposiciones pertinentes del Acuerdo sobre los ADPIC."

Plano regional

A nivel regional, los preceptos aplicables a la materia obviamente dependerán del ámbito territorial relevante. Entre algunas disposiciones de interés destacan [7]:

  • El artículo 4 de la Decisión 351 del Acuerdo de Cartagena, que contiene el "Régimen común sobre derecho de autor y derechos conexos", concertado el 17 de diciembre de 1993 entre Bolivia, Colombia, Ecuador, Perú y Venezuela.
  • El artículo 1705.1 del "Tratado de Libre Comercio de América del Norte", alcanzado entre los gobiernos de Canadá, Estados Unidos y México el 8 de diciembre de 1993.
  • La Directiva de la Comunidad Europea sobre bases de datos ("Directiva 96/9/EC del Parlamento Europeo y del Consejo, de 11 de marzo de 1996, sobre la protección jurídica de las bases de datos"). Al respecto, valga destacar que este ordenamiento incluso va más allá, al contemplar un régimen sui generis de tutela de las bases de datos que extiende y complementa el marco general del derecho autoral.

Plano nacional

La legislación interna de la mayoría de los Estados miembros de la OMPI contiene disposiciones que resultan directa o indirectamente aplicables a las bases de datos y, en este sentido, Costa Rica no es excepción.

Nuestro país es signatario de la Convención de Berna y, recientemente, también del Tratado de la OMPI sobre Derecho de Autor, incorporado al ordenamiento interno por ley número 7968 de 16 de diciembre de 1999.

En el nivel de la legislación local, nuestro principal marco normativo en esta materia lo provee la Ley de Derechos de Autor y Derechos Conexos (número 6683 de 14 de octubre de 1982 y sus reformas). En especial, nos conciernen las modificaciones introducidas en ese texto mediante las leyes número 7397 de 28 de abril de 1994 y 7979 de 22 de diciembre de 1999, que se refieren específicamente a los programas de cómputo y a las bases de datos. Es así que dispone, escuetamente, la citada ley:

"Artículo 8.- (...) Las bases de datos están protegidas como compilaciones."

Más adelante, al señalar los procedimientos de inscripción de obras de esta naturaleza en el Registro de Derechos de Autor, se indica:

"Artículo 103.- Para inscribir una producción, el interesado presentará, ante el Registrador, una solicitud escrita con los siguientes requisitos:

(...)

5) Cuando se trate de inscribir un programa de cómputo o una base de datos, la solicitud se presentará con cualquiera de los siguientes elementos: el programa, la descripción o el material auxiliar."

Técnicamente, aunque una base de datos puede contener segmentos de código ejecutable, [8] no pensamos que para lograr la indicada inscripción sea necesario aportar su código fuente. En efecto, puesto que lo que se protege es la compilación como tal y no el contenido de la BD, lo único que podría tener interés a efectos de registro sería el diseño lógico de sus componentes (tablas, relaciones, objetos, etc.), debidamente documentado.

Conclusión

Las bases de datos son indudablemente acreedoras de la protección jurídica otorgada a las obras tecnológicas en general, tutela que es distinta e independiente de la que se confiere a las aplicaciones empleadas para crearlas o administrarlas. Para ese efecto, no obstante, es necesario que la compilación no sea puramente inclusiva, sino que debe existir un criterio de selectividad que brinde a la colección de datos los indispensables atributos de originalidad y creatividad.

Notas

  1. "Consultas", en el lenguaje de BD.
  2. Una discusión resumida acerca de qué son las BD orientadas a objetos y, en concreto, acerca de sus posibles aplicaciones en el ámbito judicial, aparece en: HESS ARAYA, Christian. Creación de una base de datos de jurisprudencia constitucional, orientada a objetos.
  3. Aunque quede abierta la cuestión de si ello debe hacerse por medio del instituto de la propiedad intelectual o bien -como lo prefieren numerosos estudiosos de la materia- a través de un nuevo régimen sui generis.
  4. Sobre la problemática jurídica de las bases de datos de textos legales, véase: GUASCH DÍAZ, Diego Manuel: "La extracción de Normas de Boletines Oficiales en papel y de ediciones en Internet. Algunas Consideraciones Jurídicas relevantes par las Empresas de Bases de Datos". En Revista Electrónica de Derecho e Informática. Madrid, 2000.
  5. OMPI. Legislación nacional y regional existente relativa a la propiedad intelectual en materia de bases de datos. Memorándum preparado por la Oficina Internacional. Junio de 1997.
  6. Idem. Véase el documento BCP/CE/IV/3, párrafo 46, en el sitio web de la OMPI.
  7. Idem.
  8. En forma de procedimientos almacenados ("stored procedures") o métodos, según se trate de bases de datos relacionales u orientadas a objetos, respectivamente.

1 de julio de 2000

Derecho a la privacidad y cookies

Este artículo aparece publicado en el número 24 de la Revista Electrónica de Derecho e Informática. También aparece en el libro "Derecho informático y comercio electrónico. Doctrina y legislación." Publicado por la Facultad de Derecho y Ciencias Políticas de la Universidad Inca Garcilaso de la Vega, Lima, Perú, 2002.

Resumen: Aun cuando en torno a las llamadas cookies existe un importante grado de incomprensión y desconocimiento, lo cierto es que -bajo determinadas circunstancias- pueden ser usadas de un modo lesivo del derecho a la intimidad de los navegantes de la red Internet. En este artículo intentamos brindar una perspectiva técnica y jurídica sobre qué son y cuáles son las implicaciones concretas que de ellas derivan para la disciplina del derecho informático.

Introducción

A pesar de ser una de las herramientas informáticas más usadas actualmente en la Internet, lo cierto es que las cookies [1] son también de las más incomprendidas, convirtiéndolas frecuentemente en objeto de mitos y medias verdades. Este desconocimiento no sólo afecta al público en general sino -de manera más preocupante aún- a los juristas, legisladores y muchas otras personas con poder de decisión en lo que se refiere al enunciado de políticas de telecomunicaciones y tecnología de la información.

Desde el punto de vista estrictamente técnico, el potencial benéfico de las cookies es muy grande. Ofrecen la posibilidad de brindar a los usuarios de la red una serie de servicios y ventajas que de otro modo no tendrían. Desde la óptica jurídica, sin embargo, pesa sobre ellas la sombra de servir como un instrumento maligno para invadir la intimidad de las personas; característica que, como veremos, es sólo parcialmente cierta. Es por ello que, para los estudiosos del derecho informático, una adecuada comprensión de lo que las cookies son (e, igualmente importante, de lo que no son), nos parece fundamental para dar al tema del derecho a la intimidad en la red -uno de los más candentes y apremiantes de hoy- el tratamiento que corresponde y merece.

En este trabajo, comenzaremos por examinar brevemente en qué consiste esta herramienta y para qué se usa, desde el punto de vista informático. Luego repasaremos las críticas que le han sido dirigidas desde la perspectiva de la temática de la intimidad, intentando establecer cuáles son ciertas y cuáles meramente fruto de la ficción o de la candidez. Finalmente analizaremos algunas de las soluciones propuestas para los problemas reales que derivan del empleo de las cookies, en el plano tanto técnico como jurídico.

¿Qué es una cookie?

La "World-Wide Web" (WWW), el componente multimedial de la Internet, fue diseñada, construida y funciona hoy bajo un modelo llamado de cliente-servidor. En él, las computadoras de los usuarios son los "clientes", que mediante un programa visualizador o navegador [2], envían peticiones a otras computadoras (los "servidores"), para que éstas les envíen de regreso los documentos y demás componentes que conjuntamente conforman una "página web".

Estas interacciones entre clientes y servidores se conocen técnicamente como conexiones sin estado. A diferencia de lo que ocurre, por ejemplo, durante una conversación telefónica (en la que el vínculo entre el aparato telefónico de la persona que llama y el de la persona llamada se mantiene de modo continuo durante el transcurso de la conversación), las conexiones en la WWW tienen un carácter más bien intermitente: una vez que el servidor termina de enviar al cliente la información solicitada, el enlace entre ambos se quiebra. Si se quiere, podríamos decir que, a partir de ese momento, el servidor "olvida" al cliente. Si éste formula un nuevo requerimiento (de otra o incluso de la misma página web enviada anteriormente), ambas máquinas deben establecer una nueva conexión, identificándose una a otra de nuevo, como si nunca se hubiesen comunicado antes.

Esta arquitectura nos puede parecer curiosa, pero no obstante es la responsable de la gran versatilidad de la WWW. Sin ella, los servidores web no podrían atender a la gran cantidad de usuarios de Internet que ingresan simultáneamente a los sitios más populares. En efecto, si las conexiones fuesen permanentes, ocurriría de algún modo lo mismo que pasa cuando intentamos llamar por teléfono a una persona, cuando ésta se encuentra conversando en el mismo momento con otra: no recibiríamos la información deseada y tendríamos que esperar a que el servidor se libere.

Pero esa misma característica de las conexiones sin estado, tan eficiente desde el punto de vista telemático, comporta un serio inconveniente desde la perspectiva humana. La intermitencia de las conexiones, a medida que el visitante navega de una página a otra dentro de un mismo sitio web o cuando regresa a él después de un tiempo, se convierte en un obstáculo a la sensación de continuidad que se podría querer ofrecer al usuario.

Las personas por lo general no nos avenimos bien a la fría eficiencia de las máquinas. Por ello, a medida que la WWW ha avanzado y madurado, las empresas y organizaciones han percibido la importancia de tratar de implementar mecanismos que contribuyan a crear la sensación de un trato más "personalizado" para sus visitantes. Esto es particularmente cierto tratándose de los sitios de comercio electrónico, que -como cualquier otra empresa- dependen en gran medida de atraer y retener la lealtad de sus clientes mediante la excelencia de su servicio. Por ejemplo, dichos sitios querrían aprovechar algunos datos personales sobre sus clientes, así como tomar nota de sus particulares preferencias, con el fin de brindarles una más enriquecedora experiencia durante sus sucesivas visitas. Se querría también simular lo más estrechamente posible la visita a un comercio del "mundo real", en el que los consumidores pueden recorrer las estanterías, examinar los diversos productos e ir colocando sus selecciones en un "carrito" de compras antes de dirigirse a la caja para pagar. Justamente para llenar esta necesidad es que se ha dado paso a la creación y empleo de las cookies.

La función básica de una cookie es simple: permitirle a un servidor almacenar y más adelante recuperar una pequeña cantidad de información en la máquina cliente. Esos datos siempre están asociados a un sitio web y a un programa navegador en particular, lo cual implica que una cookie creada por un servidor en un momento dado sólo le será accesible en el futuro si el visitante regresa al sitio web usando la misma computadora y el mismo navegador. La información es guardada en un archivo de texto, y puede contener sólo aquellos datos que la aplicación servidora expresamente determine. Eso, desde luego, podría incluir alguna información personal, así como códigos de usuario y contraseñas. [3] También es frecuente almacenar la fecha de la última visita, o bien algunos datos que permitan "recordar" lo que el usuario hizo o adquirió en esa oportunidad. En el momento en que la persona regresa al sitio en cuestión, su programa navegador envía el contenido de la cookie al servidor, que puede entonces interpretarlo y usarlo de un modo preestablecido, como, por ejemplo, mostrando un saludo personalizado al visitante.

Expuesto así someramente lo que una cookie es, analicemos ahora lo que no es, en procura de desterrar algunos de los mitos que las rodean. En primer término, es importante subrayar que no pueden capturar información personal de un usuario que no esté dispuesto a cederla voluntariamente. Además, no pueden transmitir un virus informático, porque no contienen más que texto estático. No sólo por sus características intrínsecas sino además por su muy reducido tamaño, estas estructuras no tienen la posibilidad de almacenar código ejecutable que pueda actuar como un virus. Finalmente, un servidor no tiene acceso más que a los datos contenidos en la cookie creada por él. En especial, no pueden hurgar por el disco fijo, extrayendo documentos u otros archivos sensibles de la computadora del usuario. De hecho, algunas cookies ni siquiera son almacenadas en disco; existen solamente en la memoria de la computadora y por el término de la actual sesión del programa navegador, desapareciendo tan pronto éste se descarga. [4]

Para concluir este aparte, se debe recalcar que la mayoría (si no todas) las aplicaciones recientes de navegación en la web, permiten que el usuario elija una opción que impedirá el almacenamiento de cookies en su computadora, o que por lo menos lo alerte cuando esté por ocurrir. Esto se puede activar o desactivar fácilmente como parte de sus preferencias de uso de la respectiva aplicación.

Afectaciones al derecho a la privacidad por el uso de cookies

A muchas personas molesta el mero hecho de que un servidor web tenga la capacidad de almacenar información, por poca que sea, en su computadora. Lo consideran una especie de invasión de su propiedad y de su espacio personal. Sin embargo, como se dirá, la verdadera amenaza a la intimidad que puede derivar del uso (más bien, del abuso) de la tecnología de cookies es mucho mayor de lo que esas personas posiblemente siquiera imaginen.

Como ha quedado claro de la sección precedente, el empleo de cookies es de evidente provecho para la empresa u organización que opera un sitio web, no sólo en cuanto permite ofrecer el grado de personalización del que hablábamos arriba, sino también -y quizás de mayor importancia- porque le permite realizar ciertos análisis de mercadotecnia y así conocer más acerca del perfil y los hábitos de consumo de sus clientes. Dependiendo del punto de vista de cada quien, esto podría parecer bueno o malo. Por ejemplo, la información contenida en una cookie puede ser empleada para la aplicación de publicidad dirigida: si se sabe que el visitante de un sitio web ha adquirido, digamos, libros sobre el cuidado de bebés, esto podría dar lugar a que en la misma o futuras visitas le sean presentados una serie de mensajes publicitarios sobre bienes o servicios asociados a ese mismo tema, con la esperanza de despertar su interés e intención de compra. Y, desde luego, el conocimiento así adquirido del consumidor también puede ser vendido o cedido a terceros. A través de técnicas de esta índole, es claro que eventualmente podríamos encontrarnos en presencia de la problemática que se examina a propósito de los grandes temas del derecho a la autodeterminación informativa y su instrumento aparejado, el recurso de hábeas data.

Si bien, como se explicó antes, se tiene siempre a mano la posibilidad de desactivar la creación de cookies en nuestra computadora, lo cierto es que esto no siempre es deseable y, de hecho, podría resultar perjudicial. En efecto, al hacerlo, se bloquearía tanto su empleo pernicioso como el benéfico. [5] Para entender mejor la cuestión, es importante establecer una distinción entre lo que podríamos denominar cookies locales y remotas.

  • Una cookie local es aquella clase que hemos venido analizando hasta ahora: la que crea en nuestra computadora el servidor del sitio web que estamos visitando, con cualquiera de los fines ya señalados. Algunos sitios dependen de ellas al punto de que no trabajar correctamente si se deniega su creación. [6]
  • También es posible la creación y recuperación remota de cookies. Cuando el sitio web que visitamos despliega publicidad de terceros, vía los llamados "banners" o "applets" Java, esos mensajes comerciales también poseen la capacidad de ejecutar código que puede grabar una cookie en nuestra computadora, y recuperarla posteriormente.

Desde la óptica del tema de la privacidad, interesa destacar que es justamente a través del uso de cookies remotas que se posibilita el funcionamiento de las llamadas "redes de seguimiento". [7] Estas funcionan cuando una empresa de mercadeo coloca mensajes publicitarios suyos en múltiples sitios populares de Internet con el fin de crear y luego recuperar cookies en las computadoras de los visitantes. Analizando estos datos, les es posible "seguir" a un usuario a medida que navega por esos sitios, vigilando sus acciones, acumulando información personal, controlando cuales bienes o servicios adquiere, etc. Es obvio que la posibilidad de crear perfiles sobre hábitos de consumo y recolectar datos personales crece así exponencialmente. Con solo navegar algunos minutos por estos lugares, ignorando por completo lo que sucede, la persona va dejando un clarísimo rastro electrónico, a la vez que cede -valga reiterar que involuntariamente- un tesoro de información a las empresas comercializadoras.

Las implicaciones jurídicas para el derecho de autodeterminación informativa y la privacidad en general son más que obvias.

¿Cómo enfrentar el problema?

Soluciones tecnológicas

La tecnología frecuentemente tiene la capacidad de contrarrestar los problemas que ella misma crea. La primera solución, ya mencionada, fue la posibilidad que se ofreció a los usuarios de desactivar selectiva o totalmente el almacenamiento de cookies. Sin embargo, tal como se explicó también, esta vía es bastante radical y a la postre más bien puede coartar las posibilidades del consumidor de recibir las ventajas y beneficios del uso correcto y ético de las cookies.

Por esta razón, otras posibilidades han ido apareciendo paulatinamente. Por ejemplo, ya hay aplicaciones capaces de distinguir entre el acto de creación de una cookie local y una remota. Se puede elegir así, a discreción del usuario, si bloquear la segunda, ambas o ninguna. [8] También se ha propuesto un estándar denominado P3P ("Platform for Privacy Preferences"). Esta iniciativa sería incorporada dentro de los principales programas navegadores, con el propósito de permitir a los usuarios decidir cuánta información personal desean entregar a un sitio web. A través de P3P, el consumidor puede aprobar o improbar la transferencia de información personal, de acuerdo con preferencias fijadas de antemano. Por ejemplo, se podría establecer que no se transmitan datos de esta naturaleza a sitios que los venden a terceros. [9]

Está claro que el empleo de soluciones técnicas de este tipo, aparejado al incentivo de las alternativas de autorregulación que mucha de la industria informática responsable viene propugnando, ofrece una vía idónea para al menos minimizar el problema. Sin embargo, es igualmente indudable que no todas las empresas y organizaciones poseen esta buena disposición. En esa medida, un conjunto claro y completo de regulaciones normativas debe entrar a llenar los espacios restantes.

Soluciones jurídicas

Desde la perspectiva de la mayoría de los ordenamientos jurídicos, nada de lo que se haga con las cookies, bueno o malo, posee mayor regulación legal. Sin embargo, diversas personas y entidades de tutela de los derechos civiles en países como los Estados Unidos ya han comenzado a preocuparse por el problema y a requerir la intervención de las autoridades para poner alguna clase de freno al "cosechado" de datos personales por medio de cookies.

En la medida en que, como se sabe, el ciberespacio no conoce fronteras políticas ni barreras geográficas, es evidente que el ideal sería que este tema forme parte de las diversas iniciativas para la creación de regulaciones de ámbito internacional en materia de comercio electrónico. Después de todo, la intimidad es un derecho fundamental, reconocido y tutelado internacionalmente en los diversos instrumentos sobre derechos humanos. La autodeterminación informativa, como corolario suyo que es, está siendo incorporada también cada vez más en los diversos textos normativos. Por ende, no se ve por qué no pueda y deba existir también un enfoque global del tema del abuso en el empleo de las cookies, en procura de soluciones integrales.

Notas

  1. La palabra cookie significa, literalmente, "galleta". Se trata de típica jerga informática angloparlante. Sin embargo, preferimos no traducirla aquí al castellano por la misma razón por la que no se suele hacerlo tampoco con otras expresiones como "hardware" o "CD-ROM", cuya usanza literal se ha difundido ampliamente a nuestro vocabulario informático.
  2. Tales como el Netscape Navigator, Microsoft Internet Explorer, Opera, Lynx, Mosaic, etc.
  3. Esto es lo que ocurre cuando se automatiza el ingreso a un sitio web protegido por medio de una clave. El servidor grabará el dato en la computadora cliente, de manera que en las visitas futuras se recuperará automáticamente la clave, ahorrando al visitante la molestia de tener que reescribirla cada vez que regresa a ese sitio web. A pesar de la evidente comodidad de este mecanismo, no es menos obvio que no debe ser empleado en computadoras accesibles a más de una persona (muy especialmente las de las populares cabinas públicas de acceso a la Internet o cibercafés), ya que en tal caso todos los usuarios podrían acceder al servicio en cuestión como si fueran el legítimo titular.
  4. Así es como suelen funcionar los llamados "carritos de compras".
  5. Y la opción de aceptar selectivamente las cookies tampoco resuelve el problema, no sólo por lo tedioso que resulta sino porque, de todos modos, los usuarios no sofisticados carecen de criterio para determinar cuáles autorizar y cuáles no.
  6. Por ejemplo, los diversos sitios que ofrecen correo electrónico gratuito vía una interface web, como los populares Yahoo, Hotmail, etc.
  7. "Tracking network".
  8. Nos referimos en particular al "Privacy Companion", que la empresa IDcide ha puesto gratuitamente a disposición del público. Nótese, sin embargo, que al momento de escribir estas líneas, se encuentra disponible solamente para el Internet Explorer de Microsoft. Es probable que más adelante sea ofrecido para otras aplicaciones.
  9. Puede verse un análisis de P3P desde el punto de vista jurídico, elaborado por el World Wide Web Consortium (W3C).

21 de junio de 2000

Propuestas relativas al procedimiento electrónico para el proyecto de Código Procesal General

Trabajo preparado a solicitud de los magistrados Luis Paulino Mora y Ricardo Zeledón

Artículo 1

a.- Propuesta: Adicionar el numeral 1.1 de la siguiente manera (ver destacado en rojo):

"Artículo 1. Principios procesales.

1.1 Regla. Los procesos de las materias civil, comercial, laboral, familiar, agraria, contencioso administrativa, ambiental y en general todos los de naturaleza jurídica similar, se regirán por los principios propios y consustanciales de la oralidad procesal y de la gestión tecnológica."

Comentario: Esta reforma es necesaria y conveniente para asegurar que la gestión tecnológica del proceso se valore y acate como uno de los principios rectores del nuevo Código. Su contenido se detalla en la propuesta siguiente.

b.- Propuesta: Adicionar un inciso o) al numeral 1.3, con el siguiente texto:

"o) Gestión tecnológica. En cuanto posible y se autorice en este Código o su normativa asociada, se deberá hacer un empleo razonable de los medios tecnológicos disponibles para asegurar el cumplimiento de los principios procesales aquí enunciados. En particular, esto implicará la utilización preferente de firmas, expedientes y documentos electrónicos en sustitución de sus contrapartes físicos, estimándose legalmente equivalentes unos a otros; el registro electrónico de las gestiones de las partes, así como el uso en las comunicaciones judiciales del correo electrónico, el fax, el teléfono y cualquier otro medio electrónico, informático, telemático o de cualquier clase o naturaleza que permita constatar fehacientemente una recepción segura."

Comentario: Por "normativa asociada" se entienden las demás leyes y reglamentos que en su momento será necesario promulgar para una correcta aplicación de estos preceptos. En particular, considero y recomiendo que la introducción de la firma digital en nuestro medio se haga por medio de una legislación separada, de alcance general, a fin de posibilitar su uso consistente no sólo en el procedimiento electrónico judicial, sino también en el administrativo, las transacciones civiles y comerciales, operaciones bancarias y bursátiles, notariado electrónico, etc. Del mismo modo, es necesario tener en cuenta otras reformas legales, como por ejemplo, las que convenga hacer a la legislación penal para tipificar y sancionar la falsificación o adulteración de documentos electrónicos. En su momento, la Corte Suprema de Justicia deberá propiciar una iniciativa nacional en este sentido.

Ver más adelante las modificaciones propuestas en cuanto a las comunicaciones, expedientes y documentos electrónicos.

Artículo 13

a.- Propuesta: Adicionar el numeral 13.3 de la siguiente manera (ver destacado en rojo). El cambio se explica por sí mismo:

"13.3 Postulación. En todos los procesos será necesaria la capacidad de postulación. Las partes deberán asistir a todos los actos asistidas por abogado y los jueces rechazarán los escritos cuando no lleven firma manuscrita o electrónica del abogado autenticante, salvo si se tratare de casos especiales."

b.- Propuesta: Modificar el párrafo primero del numeral 13.4 para eliminar la frase “y la firma del poderdante deberá ser” y agregar otra al final, de manera que su texto ajustado se lea así:

"13.4 Apoderado judicial. Las partes pueden gestionar en el proceso a través de un apoderado especial judicial. Este poder podrá ser otorgado mediante simple escrito, autenticado por un abogado distinto al apoderado. Cuando la gestión sea remitida electrónicamente al despacho, el mandatario deberá conservar el mandato original en su poder, por lo menos hasta la conclusión del proceso."

Comentario: En la doctrina del derecho informático se discute acerca de la conveniencia o inconveniencia de que ciertos documentos sensibles puedan ir firmados digitalmente. Entre ellos, los poderes de toda clase. Pero, como se sabe, el otorgamiento del mandato puede hacerse tanto en el propio escrito judicial como separadamente. Aun cuando se niegue la posibilidad de firmar el poder mismo digitalmente, conviene resguardar la posibilidad de que la primera y subsiguientes gestiones judiciales hechas con base en él sean enviadas al despacho por medios telemáticos y de allí la reforma propuesta.

Por otra parte, en caso de que se considere inconveniente permitir esta opción, recomiendo dejar el texto actual. El documento físico que se aporte en tales casos simplemente pasaría a formar parte del expediente complementario a que me refiero más abajo, con relación al artículo 20.

Artículo 18

Propuesta y comentario: La firma puesta a ruego es otra de las hipótesis en que se debate sobre si admitir o no la firma electrónica, bien sea en el acto de su expedición o el del sometimiento del escrito resultante al despacho judicial. En caso de que se permita y a fin de guardar consistencia con lo expuesto acerca del artículo 13, sugiero adicionar al numeral 18.2 el texto siguiente:

"Cuando la gestión sea remitida electrónicamente al despacho, el mandatario deberá conservar el documento original en su poder, por lo menos hasta la conclusión del proceso."

Artículo 19

a.- Propuesta: Insertar un nuevo numeral 19.2, corriendo la numeración de los siguientes, que diga así:

"19.2 Gestiones de las partes. Sujeto al acatamiento de los mecanismos de autenticación y seguridad establecidos, las partes y demás intervinientes en el proceso -hayan o no fijado domicilio electrónico para recibir notificaciones- podrán someter todas sus gestiones a los despachos judiciales por medios telemáticos. Lo anterior sin perjuicio de quienes deseen hacerlo por medios físicos.

De toda gestión se extenderá inmediatamente acuse de recibo por parte del despacho, de modo electrónico cuando ingrese por esa vía, o bien por medio de constancia en una copia física que el gestionante presentará para ese fin. La razón deberá indicar al menos la hora y fecha de recepción, así como el nombre del despacho."

Comentario: A falta de otra norma específicamente relativa a las actuaciones de las partes en el proceso, se propone agregar la anterior para sentar la admisibilidad del registro electrónico de gestiones. Por "autenticación", en este contexto, se entiende el mecanismo por medio del cual se confirma la identidad de una parte (contraseñas, firma o certificado digital, etc.)

b.- Propuesta: Ajustar la redacción del primer párrafo del actual numeral 19.2, para que se lea así (ver destacado en rojo):

"19.2 Actuaciones y resoluciones judiciales. Las actuaciones y resoluciones se iniciarán indicando el lugar, la hora y la fecha; y concluirán con el nombre y la firma manuscrita o electrónica del funcionario. En las resoluciones se antepondrá el nombre del órgano jurisdiccional, y en las sentencias además el número de éstas."

Comentario: La frase última que lleva este párrafo en su redacción actual (y que ahora se elimina), evidentemente sólo tiene sentido para el caso de firma manuscrita.

c.- Propuesta: A pesar de no estar relacionado con el procedimiento electrónico, me parece necesario destacar el evidente error en que incurre la redacción del párrafo cuarto de este mismo numeral 19.2, que debería leerse correctamente así:

"Las resoluciones judiciales serán identificadas por las horas y minutos del día de su promulgación, de cero a veintitrés y de cero a cincuenta y nueve, respectivamente."

d.- Propuesta: Adicionar al numeral 19.3.2 un párrafo final (sin número de inciso), cuyo contenido se explica por sí sólo, y que diga:

"Todas estas comunicaciones podrán efectuarse por medios tecnológicos cuando conste en el expediente o fuere pública y notoria la dirección respectiva."

e.- Propuesta: Modificar el numeral 19.3.4 a fin de que se lea como sigue:

"19.3.4 Requisitos y forma de las comunicaciones. El emplazamiento y la notificación cumplirán con los requisitos exigidos por la ley. Los requerimientos, las citaciones, el mandamiento, los oficios y las resoluciones de trámite, deberán indicar la fecha, la autoridad que la emite, el proceso de origen, la indicación precisa de su objeto, lo ordenado, las consecuencias de ley por su inatención y la firma manuscrita o electrónica del funcionario.

Cuando la comunicación se realice físicamente, con todo emplazamiento o notificación deberá adjuntarse los documentos, antecedentes y atestados para informar eficiente y prontamente el contenido de la pretensión o gestión y de todos los medios de prueba propuestos o aportados. Para este efecto, las partes acompañarán sus gestiones y atestados con copias suficientes para quienes deban ser emplazados o notificados por esta vía, considerando como una sola parte a quienes litiguen unidos y bajo una misma representación. Dichas copias serán suscritas por la parte o por su abogado director, atestando con ello su autenticidad.

Si no se aportara el número correcto de copias, o éstas se presentaren incompletas, sucias, con borrones, ilegibles o extendidas en retazos de papel, los jueces ordenarán su presentación en forma correcta, dentro del plazo de 3 días, bajo el apercibimiento de no oír sus posteriores gestiones ante su omisión. Sin embargo, no habrá necesidad de acompañar copias de libros, folletos, o documentos de imposible o muy difícil reproducción, que en tal caso serán agregados al expediente complementario a que se refiere el artículo 20 de este Código.

Cuando la comunicación se efectúe por medios tecnológicos y no exista la posibilidad de agregarlos literalmente, bastará con insertar un resumen de la pretensión o gestión, indicando al emplazado que los documentos y pruebas correspondientes quedan disponibles para su examen en el expediente complementario."

Comentario: Nótese la supresión de la frase “tratándose del traslado de la demanda” al inicio del segundo párrafo (que pareciera innecesaria), así como la nueva ubicación del anterior párrafo último, del cual se eliminó además la enumeración de los medios de comunicación que originalmente se hacía al final (ya que se trasladó al artículo 1, numeral 1.3).

Este artículo trata integralmente lo relativo a la presentación de copias, por tratarse de una cuestión atinente a las comunicaciones y no al expediente, en cuya norma alusiva (artículo 20) se reglamentaba antes parcialmente.

El último párrafo recoge la experiencia positiva de la Sala Constitucional en materia de empleo de resúmenes de las pretensiones, en la resolución que da curso a un asunto.

f.- Propuesta: Insertar tres numerales nuevos después del 19.3.6 ("Domicilio procesal"), cuyo texto sea el siguiente:

"19.3.7 Fijación de domicilio electrónico permanente. Por medio de una comunicación realizada expresamente con este fin, las personas físicas, los mandatarios generales judiciales, los representantes legales de las personas jurídicas y los funcionarios competentes de las dependencias públicas, podrán señalar una dirección única de correo electrónico para recibir automáticamente el emplazamiento en cualquier asunto judicial en que deban intervenir. Esta fijación podrá ser modificada o revocada en cualquier tiempo y no exime del deber de señalamiento de una dirección, física o electrónica (y, en este último caso, igual o distinta a la permanente), para atender futuras notificaciones en cada asunto concreto.

19.3.8 Fijación de domicilio electrónico ad hoc. Las partes y demás intervinientes en un asunto judicial que deban señalar una dirección para recibir notificaciones, podrán fijar una dirección de correo electrónico para recibirlas en cada asunto concreto. En tal caso, dicho señalamiento regirá para todas las incidencias e instancias del proceso, mientras no sea modificado.

No se admitirá señalar más de una dirección electrónica a la vez para cada proceso individual.

19.3.9 Domicilio físico alterno. Quien, con base en los dos incisos anteriores, fije una dirección electrónica para recibir notificaciones, deberá señalar además un domicilio físico alternativo para oírlas, cuando por motivos de caso fortuito o fuerza mayor, o por haberlo dispuesto así la autoridad judicial mediante resolución motivada, deban hacérsele llegar por esa vía."

Comentario: Pienso que estas disposiciones -autoexplicativas y de evidente provecho- contribuirán significativamente a la celeridad de los procesos.

g.- Propuesta: Eliminar el actual numeral 19.3.7, por resultar innecesario a la luz del conjunto de reformas planteadas aquí.

Artículo 20

Propuesta: La siguiente reforma integral:

"Artículo 20. Formación, consulta y conservación de los expedientes.

20.1 Regla. Con excepción de aquellas que conforme a este Código puedan hacerse oralmente, todas las gestiones formuladas, la prueba recabada, las actuaciones y las resoluciones dictadas dentro del proceso, darán lugar a la formación de un expediente ordenado de modo secuencial y cronológico.

El expediente principal se formará, consultará y conservará por medios informatizados, de modo que corresponda un registro o entrada unívocos para cada gestión, prueba, actuación o resolución.

20.2 Expediente complementario. Se podrá crear un único expediente físico complementario para cada proceso, en el que se conservarán, consultarán y conservarán las piezas que por su naturaleza no sea posible agregar al principal. Este expediente se mantendrá debidamente foliado.

A excepción del documento base en los procesos ejecutivos, de la prueba documental que se aporte a este expediente solo quedará copia y los originales le serán devueltos a sus titulares, quienes, como depositarios, podrán ser prevenidos a presentarlos cuando fueren necesarios.

Si se llegara a perder o extraviar el expediente complementario, será repuesto inmediatamente y por cualquier medio a costa del culpable, quien pagará, además, los daños y perjuicios. Al efecto, los jueces ordenarán a las partes aportar copias de las piezas anteriormente presentadas. De ser necesario, se ordenará la reposición de las pruebas necesarias para decidir con arreglo a derecho.

20.3 Acceso al expediente. Todo expediente, escrito o documento presentado ante los órganos jurisdiccionales será público para las partes, los abogados y a quienes la ley le otorgue esa facultad. Dichos órganos deberán mantener permanentemente un medio ágil para la consulta tanto del expediente principal como del complementario.

20.4 Conservación para efectos históricos. Una vez concluido el proceso, el expediente principal y el complementario serán conservados para efectos documentales e históricos. El primero lo será necesariamente a través de un mecanismo de almacenamiento no modificable y de la preservación de copias de respaldo adecuadamente protegidas."

Comentario: Este artículo enfatiza el hecho de que el expediente de cada proceso deberá ser un expediente informático, pudiendo crearse otro físico únicamente como complemento y para aquellas piezas que no sea posible agregar directamente al primero. Para la debida aplicación de este precepto, se esperaría que los despachos (o las oficinas encargadas de recepción de documentos en los circuitos judiciales), cuenten con dispositivos de lectura óptica para que, en la medida de lo posible, incluso los escritos y atestados que sean presentados físicamente, sean convertidos y almacenados en el formato digital.

Ver más adelante las disposiciones transitorias sobre el particular.

Artículo 21

a.- Propuesta: Agregar al párrafo segundo del numeral 21.2 la disposición siguiente:

"En el caso de comunicaciones electrónicas, los plazos para las actuaciones de las partes comenzarán a correr al día siguiente del momento en que exista constancia de que fueron recibidas, o bien cinco días hábiles después de remitida la comunicación, lo que ocurra primero. Se aplicará este último plazo siempre que no haya evidencia fehaciente, a juicio de la autoridad judicial, de que una falla no imputable al notificado, haya impedido su adecuada recepción. En caso contrario, se procederá conforme al artículo 19.3.9."

Comentario: El plazo de cinco días permite eliminar la incerteza y el entrabamiento del proceso que generarían el hecho de que una parte litigue electrónicamente pero que no asuma con responsabilidad y diligencia el deber de revisar regularmente su casillero de correo. Aunque se comprende que esta solución no es ideal, parte de la realidad de que ninguna regla sobre notificaciones -incluso físicas- es perfecta (considérese, por ejemplo, el actual mecanismo de entregar cédulas a los vecinos mayores de 15 años).

Nótese que la norma prevé la eventualidad de un problema telemático que no permita el envío de la comunicación por esa vía. En tal caso, se hará uso del domicilio físico alterno propuesto en el artículo 19.

b.- Propuesta: Agregar dos frases y una palabra aclaratorias, respectivamente, a los párrafos tercero y cuarto del numeral 21.3, para que digan así (ver destacado en rojo):

"En todo plazo, el día de vencimiento se tendrá por concluido para las gestiones presentadas por medios físicos, en el instante cuando cierre el despacho donde corresponda entregarlas o donde deba practicarse la diligencia, pero serán admisibles y válidas las gestiones presentadas y las actuaciones iniciadas a la hora exacta del cierre. Por su parte, las gestiones recibidas electrónicamente serán admisibles hasta las veinticuatro horas del día en que concluya el plazo respectivo.

La recepción de documentos físicos, según la organización propia de los despachos, podrá tener un horario más amplio al del órgano jurisdiccional.

En todos los casos y salvo evidente error, prevalecerá la hora y fecha que indiquen el reloj del despacho o del sistema informático judicial, según sea el caso."

Comentario: La idea es que las gestiones electrónicas puedan ser presentadas durante las 24 horas del día.

Artículo 24

Propuesta: Que el inciso m) del numeral 24.1 se lea así (ver añadido en rojo):

"m) La firma del actor, o en su caso, la de su apoderado con la personería, y la autenticación del abogado. Cuando la demanda sea presentada electrónicamente, bastará la firma digital del abogado."

Comentario: Al respecto, téngase presente lo ya dicho arriba para los poderes especiales judiciales y la firma puesta a ruego.

Artículo 33

a.- Propuesta: Modificar el numeral 33.1.1 para que diga así:

"33.1.1 Naturaleza y clasificación. Documento es todo medio físico o electrónico, de carácter representativo o declarativo, empleado como soporte para el registro de una prueba o de las actuaciones y resoluciones del proceso.

Los documentos recibidos o conservados por medios electrónicos, y los que los despachos judiciales emitan como copias de originales almacenados por estos mismos medios, gozarán de la validez y eficacia del documento físico original, siempre que quede garantizada su autenticidad, integridad y conservación, así como el cumplimiento de las garantías y requisitos exigidos por este Código y su normativa asociada.

Los documentos podrán ser públicos o privados."

Comentario: Antes que hacer una enumeración ejemplificante de lo que se consideran documentos (como en el texto actual), pareciera una mejor técnica sentar un concepto general y evitar las restricciones de una lista más o menos rígida. El párrafo segundo, por su parte, tiende a resolver el problema de la admisibilidad y valor probatorio del documento electrónico. De nuevo, por "normativa asociada" se entienden las demás leyes y reglamentos necesarios para la correcta aplicación de estos preceptos.

b.- Propuesta: Eliminar la segunda oración del penúltimo párrafo del numeral 33.2 ("Cuando sea conveniente ..."), por resultar innecesaria.

Artículo 46

Propuesta: Eliminar la frase que dice “Se podrán dictar ...”, por resultar innecesaria a la luz de las modificaciones anteriores.

Disposiciones generales y transitorias

Propuesta: En adición a los preceptos anteriores, es conveniente incluir disposiciones generales y transitorias como las siguientes:

"Artículo ... Reglamentación. La Corte Suprema de Justicia dictará los reglamentos necesarios para la adecuada aplicación del presente Código. En particular, normará los detalles de la gestión informatizada de los procesos, en aspectos tales como los mecanismos de seguridad, autenticación, consultas locales y remotas del expediente, comunicaciones electrónicas, recepción y acuse de recibo de gestiones, etc."

"Transitorio ... En tanto no se dicte el reglamento señalado en el artículo anterior y se pongan en funcionamiento los diversos mecanismos previstos en este Código para la gestión tecnológica de los procesos, los expedientes continuarán siendo formados, manipulados, conservados y eventualmente repuestos conforme al actual Código Procesal Civil.

La Corte Suprema de Justicia efectuará, con antelación suficiente, publicaciones por los principales medios de prensa, informando del momento en que se dé paso al sistema informatizado."