El Convenio de Budapest sobre ciberdelincuencia: medidas a nivel nacional y de cooperación internacional
A propósito de la reciente ratificación del Perú al convenio
4 febrero, 2019

El pasado 30 de enero, el Congreso del Perú ratificó el Convenio de Budapest sobre ciberdelincuencia, el cual constituye el único instrumento internacional que aborda de manera específica esta materia.

El Consejo de Europa aprobó el Convenio de Budapest el 23 de noviembre del 2001, el cual está vigente desde el 2004.

A la fecha, el Convenio de Budapest ha sido ratificado por 61 países. En América Latina, los otros países que han ratificado el Convenio son Argentina, Chile, Colombia Paraguay, Costa Rica, Panamá y República Dominicana.

En cambio, Brasil se niega a ratificar el Convenio debido a que no participó en su creación y que, a su parecer, el ámbito más adecuado para la adopción de un convenio de ciberdelincuencia es Naciones Unidas.

Perú tiene una abundante normativa sobre la ciberdelincuencia (destacando la Ley N° 30096, “Ley de delitos informáticosâ€, publicado el 22 de octubre del 2013), y existe una opinión generalizada que para hacer frente a la ciberdelincuencia es necesario ir más allá de aprobar nuevas normas, y más bien se debería enfatizar en la educación sobre la cultura digital y en una mayor capacitación a los encargados de ejercer la ley (v.g. policías, fiscales y jueces).

Por lo tanto, el beneficio de la ratificación del Convenio de Budapest no se reflejaría tanto en la parte sustantiva de las normas, sino más bien en la conveniencia que se obtendría de la cooperación internacional con los países miembros de dicho Convenio (cooperación en los temas de investigación y capacitación).

Aun así, diversos análisis sostienen que el Convenio adolece de claridad (v.g. no establece ningún requisito acerca de la magnitud o importancia que debe tener el daño para poder ser criminalizado), y es ambiguo (v.g. penalizar el abuso de equipos –incluidos programas informáticos- que puedan utilizarse para cometer delitos informáticos, podría llevar a criminalizar la utilización de software para la investigación de problemas de seguridad, el cual también puede ser utilizado para cometer delitos; o la autorización que el Convenio otorga a un Estado para que acceda a datos almacenados en otro país, sin pedir autorización a éste último, en caso de que haya obtenido el consentimiento de la persona que está “legalmente autorizada a revelarlos por medio de ese sistema informático”).

En todo caso, toda decisión implica una serie de pros y contras, y ahora que el Perú ha ratificado el Convenio de Budapest, solo le resta implementarlo debidamente, a fin de sacar provecho de la cooperación internacional fruto de dicho Convenio, y a la vez establecer las garantías necesarias para los aspectos ambiguos de dicho Convenio.

El Convenio de Budapest

El Convenio de Budapest consta de 48 artículos divididos en 4 capítulos.

El primer capítulo define los términos “sistema informáticoâ€, “datos informáticosâ€, “prestador de servicio†y “datos de tráfico†(términos posteriormente recogidos en el Perú en la “Ley de delitos informáticosâ€).

El capítulo final trata sobre la entrada en vigor, la forma de adhesión de los Estados y las reservas que pueden hacerse al momento de incorporarse, entre otros aspectos.

El cuerpo del Convenio lo comprende el segundo y tercer capítulo, que tratan sobre las medidas que deben aplicarse a nivel nacional, y sobre la cooperación internacional, respectivamente.

Medidas a nivel nacional

El Convenio establece 10 infracciones penales:

  1. Acceso ilícito

Acceso doloso y sin autorización a un sistema informático: (i) los Estados podrán exigir que la infracción sea cometida con vulneración de medidas de seguridad, o (ii) también podrán requerir que la infracción se perpetre en un sistema informático conectado a otro sistema informático

  1. Interceptación ilícita

La interceptación, dolosa y sin autorización, cometida a través de medios técnicos, de datos informáticos -en transmisiones no públicas- en el destino, origen o en el interior de un sistema informático: (i) los Estados podrán exigir que la infracción sea cometida con alguna intención delictiva o, (ii) también podrán requerir que la infracción se perpetre en un sistema informático conectado a otro sistema informático

  1. Atentados contra la integridad de los datos

La conducta de dañar, borrar, deteriorar, alterar o suprimir dolosamente y sin autorización los datos informáticos: los Estados podrán reservarse el derecho a exigir que el comportamiento descrito ocasione daños que puedan calificarse de graves

  1. Atentados contra la integridad del sistema

La obstaculización grave, cometida de forma dolosa y sin autorización, del funcionamiento de un sistema informático, mediante la introducción, transmisión, daño, borrado, deterioro, alteración o supresión de datos informáticos

  1. Abuso de equipos e instrumentos técnicos

Las siguientes conductas cuando éstas sean cometidas dolosamente y sin autorización: la puesta a disposición o la posesión de (i) un dispositivo, incluido un programa informático, o (ii) un código de acceso a un sistema informático, concebidos para la comisión de una de las infracciones señaladas anteriormente.

Los Estados podrán exigir en su derecho interno que concurra un determinado número de elementos para que nazca responsabilidad penal

  1. Falsedad informática

La introducción, alteración, borrado o supresión dolosa y sin autorización de datos informáticos, generando datos no auténticos, con la intención de que sean percibidos o utilizados a efectos legales como auténticos

  1. Estafa informática

La producción de un perjuicio patrimonial a otro, a través de cualquier forma de atentado al funcionamiento de un sistema informático, con la intención de obtener un beneficio económico para sí mismo o para tercero

  1. Pornografía infantil

La puesta a disposición, la difusión o el hecho de procurarse de pornografía infantil a través de un sistema informático, cuando estas conductas sean cometidas dolosamente y sin autorización

  1. Atentados a la propiedad intelectual

Los atentados a la propiedad intelectual definida por la legislación de cada Estado, conforme a las obligaciones de diversos tratados europeos sobre la materia, cuando tales actos sean cometidos deliberadamente, a escala comercial y a través de un sistema informático

10. Tentativa y complicidad

Cualquier acto de complicidad que sea cometido dolosamente y con la intención de favorecer la perpetración de alguna de las infracciones establecidas

Adicionalmente, incluye la responsabilidad de las personas jurídicas, la cual se establecerá sin perjuicio de la responsabilidad penal de las personas físicas que hayan cometido la infracción.

Respecto a los aspectos del debido proceso, el Convenio establece, entre otras cosas, lo siguiente:

  • Disposiciones comunes

Los procedimientos previstos se someterán a las condiciones y garantías dispuestas en su derecho interno, que debe asegurar una protección adecuada de los derechos del hombre y de las libertades

  • Conservación inmediata de datos informáticos almacenados

Las autoridades competentes deberán imponer la conservación inmediata de datos almacenados en un sistema informático y procurar la conservación inmediata de los datos de tráfico, cuando uno o más prestadores de servicio hayan participado en la transmisión de dicha comunicación

  • Mandato de comunicación

Las autoridades competentes podrán ordenar: (i) a una persona presente en su territorio que comunique los datos especificados en posesión de dicha persona, almacenados en un sistema informático, o (ii) a un prestador de servicios, que comunique los datos en su poder relativos a los abonados y que conciernan a tales servicios

  • Registro y decomiso de datos informáticos almacenados

Las autoridades competentes deberán estar habilitados para registrar o acceder (i) a un sistema informático o, (ii) a un soporte de almacenamiento que permita contener datos informáticos, en su territorio

  • Recogida en tiempo real de datos informáticos

Tanto para la recogida en tiempo real de los datos de tráfico como para la interceptación de datos relativos al contenido, las autoridades competentes deberán estar habilitados para (i) recoger o grabar mediante medios técnicos, y (ii) obligar a un prestador de servicios a recoger o grabar mediante medios técnicos (y a mantenerlo en secreto)

Sobre la competencia, cuando varios Estados reivindiquen una competencia respecto a una infracción descrita en el Convenio, los Estados implicados se reunirán, cuando ello sea oportuno, a fin de decidir cuál de ellos está en mejores condiciones para ejercer la persecución.

Cooperación internacional

Más allá de las medidas a implementar a nivel nacional, respecto a la cooperación internacional, se resaltan los siguientes aspectos:

  • Cooperación internacional

Los Estados firmantes cooperarán con la finalidad de investigar los procedimientos concernientes a infracciones penales vinculadas a sistemas y datos informáticos o para recoger pruebas electrónicas de una infracción penal

  • Extradición

Se aplicará la extradición por alguna de las infracciones definidas en el Convenio, siempre que éstas resulten punibles por la legislación de los dos Estados implicados (y si entre los dos Estados existe un tratado de extradición) y tengan prevista una pena privativa de libertad de una duración mínima de un año

  • Colaboración

La colaboración estará sometida a las condiciones fijadas en el derecho interno del Estado requerido o en los tratados de colaboración aplicables y comprenderá los motivos por los que el Estado requerido puede negarse a colaborar. El Estado requerido estará autorizado a supeditar la colaboración a la exigencia de doble incriminación (i.e. considerarse como delito en ambos Estados)

  • Demandas de asistencia en ausencia de acuerdo internacional

Los Estados podrán, dentro de los límites de su derecho interno y en ausencia de demanda previa, comunicar a otro Estado las informaciones obtenidas en el marco de investigaciones que puedan ayudar a la parte destinataria a iniciar o a concluir satisfactoriamente las investigaciones o procedimientos relativos a las infracciones dispuestas en el Convenio

Además, el Convenio incorpora disposiciones específicas para la cooperación en materia de medidas cautelares y sobre asistencia en relación a los poderes de investigación.

Sobre este último punto, cualquier Estado podrá, sin autorización del otro, (i) acceder a los datos informáticos almacenados de libre acceso al público (fuentes abiertas), independientemente de la localización geográfica de esos datos; o (ii) acceder a los datos informáticos almacenados situados en otro Estado, si se obtiene el consentimiento legal y voluntario de la persona autorizada para divulgarlos a través de ese sistema informático.

Los Estados designarán un punto de contacto localizable las 24 horas del día, y los siete días de la semana, con el fin de asegurar la asistencia inmediata.


Global  / Perú

Javier Morales Fhon
Javier Morales Fhon
Consultor en proyectos vinculados a estudios de mercado, planeamiento de negocios, políticas públicas y asesoría regulatoria en telecomunicaciones y TIC, con 10 años de experiencia en el sector. MSc Economics and Competition Law por Toulouse School of Economics (TSE, Francia); Ingeniero Economista por Universidad Nacional de Ingeniería (UNI); abogado por Universidad Inca Garcilaso de la Vega (UIGV).