acceso abusivo a sistema informatico

7/22/2019 Acceso Abusivo a Sistema Informatico

1/31

Universidad de los Andes

Facultad de Derecho

Revista de Derecho, Comunicaciones y Nuevas Tecnologas

N.o 9, Junio de 2013. ISSN 1909-7786

Fechaderecepcin:31deenerode2013/Fechadeaprobacin:12

demayode2013

El delito de acceso abusivo a sistemainformtico: a propsito del art. 269A

del CP de 2000

Ricardo Posada Maya


2/31

Resumen

El Cdigo Penal colombiano prev en el artculo

269A el delito de acceso abusivo a sistema infor-

mtico que, adems de proteger directamente

la seguridad e integridad de los sistemas infor-

mticos e indirectamente los datos y la informa-

cin informatizada, como bien jurdico colectivo,

tambin resguarda el derecho constitucional

fundamental a la intimidad personal informtica

(CN, art. 15). As las cosas, la presente contri-bucin acadmica realiza un anlisis breve de

esta importante gura criminal, estudia los bie-

nes jurdicos protegidos por la norma citada y

precisa los elementos objetivos y subjetivos que

la estructuran en el CP vigente.

Palabras clave: acceso abusivo, sistemas in-

formticos, medidas de seguridad informticas,

intimidad personal informtica, delitos contra laseguridad de los sistemas informticos, los da-

tos y la informacin.

* Profesor asociado del rea de Derecho Penal, Procesal Penal y Criminologa, y director del Grupo de Investigacin y Estudios en Derecho Penal Cesa-

re Beccaria de la Universidad de los Andes, Bogot, Colombia. Conjuez de la Sala Penal de la Corte Suprema de Justicia de Colombia. Doctor y DEA

en Derecho por la Universidad de Salamanca (Espaa) y especialista en Derecho Penal por la Universidad de Antioquia.

Abstract

The Colombian Penal Code provides in article

269A the crime of abusive access to a compu-

ter system that, in addition to directly protect the

computer systems security and integrity, and in-

directly the data and computerized information,

as collective interest, also protects the funda-

mental constitutional right to computer privacy

(CN, art. 15). So, this academic contribution

make a brief analysis of this important criminalgure, study the legal interest protected by the

cited standard and the objective and subjective

elements which structure this legal gure in the

current criminal code.

Keywords: Abusive access, computer systems,

computer security measures, computer privacy,

crimes against the security of the computer sys-

tems, data and information.

E : . 269A

CP 2000R P M*


3/31

Sumario

I. CONSIDERACIONES GENERALES II. ASPECTOS DOGMTICOS DEL TIPO DE ACCESO ABUSIVO A

SISTEMA INFORMTICO PROTEGIDO CON MEDIDA DE SEGURIDAD A. Aspecto objetivo - 1. sujeto

activo 2. Sujeto pasivo 3. Bien jurdico 4. Objeto jurdico 5. Objeto sobre el cual recae la

accin 6. Verbo rector mixto de conducta alternativa 7. No se requiere un nexo de causalidad

B. Aspecto subjetivo 1. Dolo - 2. nimo especial - C. Concurso de delitos III. CONCLUSIONES

Bibliografa.


4/31

RicardoPosadaMaya

Junio de 2013 - Universidad de los Andes - Facultad de Derecho - Revista de Derecho, Comunicaciones y nuevas tecnologas. GECTI N.o 94

I. CONSIDERACIONES GENERALES

El 5 de enero de 2009 el Gobierno Nacional

sancion la L. nm. 12731, mediante la cual fue

adicionado un nuevo ttulo VII bis al Cdigo Pe-nal (en adelante CP) de 2000 (L. 599 de 2000),

denominado De la proteccin de la informacin

y de los datos informticos. La reforma al CP

sigui parcialmente los estndares tcnico-dog-

mticos sugeridos por el Convenio de Budapest

del Consejo de Europa (2003) contra la cibercri-

minalidad (Tt. I, art. 2)2.

Una de las guras ampliamente modicadas por

esta ley fue el delito de acceso abusivo a siste-

ma informtico3. Tipo penal pionero en nuestro

medio jurdico que inicialmente fue regulado por

el art. 195 del CP4 dentro del captulo VII, ttulo

III, dirigido a castigar La violacin de la intimi-

dad, reserva e interceptacin de comunicacio-

nes, y que en esta oportunidad fue incluido en

el art. 269A, dentro de las guras que castigan

especialmente Los atentados contra la conf-

dencialidad, la integridad y la disponibilidad de

1 Ley publicada en el Diario Ocialnm. 47.223 del 5 de enero de 2009.

2 Precisamente, la Convention on Cybercrimen (ETS. nm. 185/2003),

consultada en lengua inglesa, en: http://conventions.coe.int/Treaty/EN/

Reports/Html/185.htm.

3 L. 1273 de 2009, art. 4: La presente ley rige a partir de su promulga-

cin y deroga todas las disposiciones que le sean contrarias, en espe-

cial el texto del artculo 195 del Cdigo Penal. La ley hizo en este caso

una derogatoria especial.

4 El CP, art. 195 deca as: El que abusivamente se introduzca en un

sistema informtico protegido con medida de seguridad o se mantenga

contra la voluntad de quien tiene derecho a excluirlo, incurrir en multa.

Respecto a los delitos informticos contemplados antes de la reforma,

y en particular sobre el acceso abusivo a sistema informtico protegido

con medida de seguridad, v. Posada Maya (2006b, pp. 23 y ss.) y Castro

Ospina (2001).

los datos y de los sistemas informticos que

los contienen, procesan o transmiten en forma

automtica. Con ello el legislador penal colom-

biano conrm su deseo de garantizar la seguri-

dad de las funciones informticas propiamente

dichas, en contra de ataques cibercriminales5,

como guras autnomas frente a los tipos pena-

les tradicionales.

Sin embargo, la evolucin del mencionado art.

269A no ha sido pacca. En efecto, el cinco de

marzo de 2009, esto es, dos meses despus de

entrar en vigencia la ciber-reforma, el Gobier-

no Nacional sancion la L. 1288

6

mediantela cual se expidieron normas para fortalecer el

marco legal que permite garantizar la reserva

de la informacin derivada de acciones de in-

teligencia y contrainteligencia que, con evi-

dente falta de planeacin legislativa, revivi y

modic, en el art. 25, el invalidado art. 195 CP7

y derog los arts. 4 y 269A adicionados por la

reciente L. 1273 de 2009.

Para completar el diagnstico, debe decirse que

la L. 1288 de 2009 fue declarada inexequible

5 Esteobjetivofueampliamenteraticadoen:RepblicadeColombia,

Departamento Nacional de Planeacin, Consejo Nacional de Poltica

Econmica y Social. Documento Conpes No. 3701: Lineamientos de

poltica para Ciberseguridad y Ciberdefensa, Versin Aprobada (14

de julio), Bogot, Ministerio del Interior y de Justicia (y otros), 2011.

Consultado en: https://www.dnp.gov.co/LinkClick.aspx?leticket=-

lf5n8mSOuM%3D&tabid=1260

6 Ley publicada en el Diario Ocialnm. 47.282 del 05.03.2009. La mo-

dicacinmsimportantedelanormaoriginalconsistieneliminarla

exigencia de que el sistema informtico estuviera protegido con una

medidadeseguridadinformtica.Tambinsemodiclapunibilidad,

esto es, se derog la pena de multa progresiva en modalidad de unidad

multa y se instaur la pena de prisin.

7 L. 1288 de 2009, art 195. Acceso abusivo a un sistema informtico. El

que abusivamente se introduzca en un sistema informtico protegido

con medida de seguridad o se mantenga contra la voluntad de quien

tiene derecho a excluirlo, incurrir en pena de prisin de cinco (5) a

ocho (8) aos.


5/31

Junio de 2013 - Universidad de los Andes - Facultad de Derecho - Revista de Derecho, Comunicaciones y nuevas tecnologas. GECTI N.o 9 5

por la Corte Constitucional mediante sentencia

C-913 de 2010, debido a evidentes vicios de

procedimiento en su formacin (reserva de ley

estatutaria), que de nuevo dejaron vigentes los

arts. 4 y 269A de la ciberreforma.

No obstante, el asunto no termin all, porque

el Gobierno Nacional present de nuevo el Pro-

yecto de ley estatutaria num. 263 de 2011 Se-

nado y 195 de 2011 Cmara de Representan-

tes, Por medio de la cual se expiden normas

para fortalecer el marco jurdico que permite a

los organismos que llevan a cabo actividades de

inteligencia y contra inteligencia cumplir con su

misin constitucional y legal, y se dictan otras

disposiciones, que fue sancionado como la L.

1621 de 2013. Justamente, dentro de las otras

disposiciones, se incorpor un art. 40 en el que

se propuso una antitcnica modicacin al CP,

art. 269A, del siguiente tenor literal:

Art. 269A. Acceso abusivo a un sistema infor-

mtico. El que, sin autorizacin o por fuera de

lo acordado, acceda en todo o en parte a un

sistema informtico protegido o no con medida

de seguridad, o se mantenga dentro del mis-

mo en contra de la voluntad de quien tenga el

derecho legtimo a excluirlo, incurrir en pena

de prisin de cinco (5) a ocho (8) aos y en

multa de 100 a 1000 salarios mnimos legales

mensuales vigentes. / La pena se aumentar

el doble cuando el acceso abusivo benecie a

miembros de grupos armados al margen de la

ley u organizaciones de crimen organizado, o

cuando el acceso abusivo benecie a gobier-

nos extranjeros.

Una reforma muy cuestionable a dos aspectos

de la norma vigente. En primer lugar, porque

solo buscaba incrementar las penas hasta un

mximo imponible de diez (10) aos de prisin,

cuando el estndar internacional seala como

un mximo de pena proporcional y razonable

cinco (5) aos. Se trata de una tendencia usual

en nuestro medio asociada al maximalismo pu-

nitivo y al terror penal o neopunitivismo. Y en se-

gundo lugar, por la inclusin de una agravante

tpica que, si bien era muy interesante en trmi-

nos poltico-criminales al recoger parcialmente

la gura del ciberespionaje (acceso a los siste-

mas que almacenan datos de inteligencia y con-

tra inteligencia), fue construida a partir de un re-

sultado de peligro, absolutamente gaseoso (be-

nefcie), que sin duda constituye una clusulageneral que vulneraba el principio de legalidad.

Dicha propuesta legislativa, para mayor ver-

genza del Congreso, tambin fue declarada

inexequible por la Corte Constitucional en la

sentencia C-540 de 2012, de nuevo por vicios

de forma, al quebrantar el art. 158 superior

(CN), que regula el principio de unidad o rela-

cin de materia de las leyes o conexidad sus-tancial8. Lo que mantiene inclume la vigencia

actual del CP, art. 269A.

La difcil vigencia de esta gura delictiva de-

muestra la compleja y enorme improvisacin le-

8 Dichasentenciaarma:Las reformas que se buscan introducir a las

disposiciones penales tienen como propsito comn hacer ms drsti-

cas las penas, adems de establecerse circunstancias de agravacinpunitiva, solo en materia de inteligencia y contrainteligencia. No obstan-

te, en la forma como se procedi por el legislador, termin por descono-

cer el principio de unidad de materia, al cumplirse sobre disposiciones

penales que, segn se ha sealado, comprometen asuntos de conteni-

do diverso y mbitos de regulacin distintos, por lo que resulta imposi-

ble establecer una relacin de conexidad causal, teleolgica, temtica

o sistmica con la materia dominante del proyecto de ley, como lo es

la garanta a la reserva legal de la informacin de inteligencia y contra-

inteligencia. De este modo, al no encajardentro del ttulo que delimita

la materia objeto de legislacin, se desconoce el principio de unidad de

materia.


6/31

RicardoPosadaMaya


gislativa que ha rodeado la regulacin de estas

modalidades criminales en Colombia, que bus-

can prevenir riesgos masivos y continuos que

puedan afectar el funcionamiento conable y el

uso debido de los sistemas informticos. Sobre

este asunto se ha dicho en otra oportunidad

que:

La cibercriminalidad cubre aquellas conduc-

tas punibles realizadas con nes ilcitos, no

consentidas (facultadas) por el titular de la

informacin o los datos, o abusivas de este

consentimiento (facultad), que se orientan a la

indebida creacin, procesamiento, almacena-

miento, adquisicin, transmisin, divulgacin,dao, falsicacin, interceptacin, manipula-

cin y ejecucin automtica de programas de

datos o informacin informatizada reservada o

secreta de naturaleza personal (privada o semi-

privada), empresarial, comercial o pblica, que

pongan en peligro o lesionen (CP/art. 11) la se-

guridad de las funciones informticas en sen-

tido estricto, esto es, la conabilidad (calidad,

pureza, idoneidad y correccin), la integridad y

la disponibilidad de datos o informacin, y de

los componentes lgicos de la programacin

de los equipos informticos o de los programas

operativos o aplicativos (software). Por consi-

guiente, no se trata de delitos comunes sino

de tipologas especiales realizadas a travs

de procedimientos informticos, que gozan de

cierta riqueza tcnica, aunque no abandonan

los tipos penales ordinarios como referentes

dogmticos y criminolgicos. (Posada Maya,

2012b, p. 6)9.

9 V. Posada Maya (2006b, pp. 18 y ss.). Romeo Casabona (2006, p. 11)

seala que: Por cibercrimen podemos entender el conjunto de conduc-

tas relativas al acceso, apropiacin, intercambio y puesta a disposicin

de informacin en redes telemticas, las cuales constituyen su entorno

comisivo, perpetradas sin el consentimiento o autorizacin exigibles o

utilizando informacin de contenido ilcito, pudiendo afectar a bienes

jurdicos diversos de naturaleza individual o supraindividual.

As las cosas, el presente escrito examina la -

gura tpica informtica de acceso abusivo a sis-

tema informtico. Para ello, en primer lugar, se

realizan algunas consideraciones generales. En

segundo lugar se estudia la norma prevista en

el CP, art. 269A, y se analizan sus elementos

dogmticos objetivos y subjetivos. Finalmente,

en tercer lugar, se realizan algunas considera-

ciones a ttulo de conclusin. Todo ello con el

propsito de esclarecer esta compleja gura ju-

rdica que, en la prctica, se advierte como el

punto inicial de los cibercrmenes previstos en

la legislacin vigente10-11.

II. ASPECTOS DOGMTICOS DEL TIPO

DE ACCESO ABUSIVO A SISTEMA

INFORMTICO PROTEGIDO CON

MEDIDA DE SEGURIDAD

El legislador penal regul en el CP, art. 269A

adc. L. 1273 de 2009, el tipo penal de Acceso

abusivo a sistema informtico, de la siguienteforma:

10 Segn el Informe de ataques contra sistemas informticoscomparado

2011-2012,identicado:OFPLA-DIPON-109,consultadoen:www.poli-

cia.gov.co, del 17 de octubre de 2012, la Polica Nacional report que

en Colombia, durante este perodo, fueron presentadas 1985 denun-

cias penales por cibercrmenes, de los cuales 1191 fueron realizados

utilizando la Internet; siendo las ciudades ms afectadas: Bogot, Cali

y Barranquilla. Los delitos ms cometidos fueron los hurtos por medios

informticos y semejantes, y el acceso abusivo a sistemas informticos

(delitos propiamente informticos). Las tendencias del informe tambin

sealan que, de las 1985 denuncias, 311 fueron accesos abusivos a

sistemas informticos, y produjeron 26 capturas.

11 INPEC (Instituto Nacional Penitenciario y Carcelario), 28 de febrero

de 2013, Informe de Poblacin de internos por delito. Consolidado

nacional generado el 04/03/2013 14:03. Documento del Ministerio de

Justicia de Colombia. A esa fecha haba un total de 6 condenados y 15

sindicados detenidos en crceles y prisiones nacionales, por el delito de

acceso abusivo a sistema informtico. Consultado en: http://www.inpec.

gov.co/portal/page/portal/INPEC_CONTENIDO/NOTICIAS%20Y%20

NORMATIVIDAD/ESTADISTICA/10%20MODALIDADES%20DELICTI-

VAS%20POBLACI%D3N%20DE%20INTERNOS%20FEBRERO.pdf


7/31


El que, sin autorizacin o por fuera de lo acor-

dado, acceda en todo o en parte a un sistema

informtico protegido o no con una medida de

seguridad, o se mantenga dentro del mismo en

contra de la voluntad de quien tenga derecho

a excluirlo, incurrir en pena de prisin de cua-renta y ocho (48) a noventa y seis (96) meses

y en multa de 100 a 1000 salarios mnimos le-

gales mensuales vigentes12.

Se trata de una modalidad tpica de intrusin13

que consiste en:

[] arrogarse ilegalmente de forma no auto-

rizada el derecho o la jurisdiccin de intru-

sarse o ingresar en un sistema informtico

o red de comunicacin electrnica de datos,

con la consecuente trasgresin de las seguri-

dades dispuestas por el Webmaster o pres-

tador del servicio al Webhosting u Owner,

con el n de proteger los servicios de transmi-

sin, almacenamiento y procesamiento de da-

tos que ofrece frente a posibles abusos de ter-

ceros (ingreso en cuentas de e-mail ajenas).

As como tambin la utilizacin o interferen-cia indebidos de dichos equipos o sistemas

informticos o telemticos, o la permanencia

contumaz en los mismos por fuera de la au-

torizacin o del consentimiento vlidamente

12 EstaguradelictivatieneantecedentesdoctrinalesenlaConvencin

de Budapest (2003), cap. I, art. 2, en los siguientes trminos: Acceso

ilegal. Las partes adoptarn las medidas legislativas o de otro tipo que

se estimen necesarias para prever como infraccin penal, conforme a

su derecho interno, el acceso doloso y sin autorizacin a todo o parte

de un sistema informtico. Las partes podrn exigir que la infraccin

sea cometida con vulneracin de medidas de seguridad, con intencin

delictiva, o tambin podrn requerir que la infraccin se perpetre en un

sistema informtico conectado a otro sistema informtico (t. l.). Nor-

mativa que se asemeja al Misuse Actde 1990, Section 1 (1) de Gran

Bretaa.

13 Con ello no se pretende hacer referencia a la conducta de intrusin

en un mbito profesional, sino a las conductas que atentan contra la

intimidad informtica realizadas en calidad de intruso o extrao.

emitido por el titular del derecho. (Posada

Maya, 2006b, p. 23)14.

Este tipo de comportamientos punibles cons-

tituyen verdaderas conductas preparatorias o

preliminares de infraccin a la seguridad y alcontrol informtico (Quintero Olivares & Morales

Prats, 2011a, pp. 481, 483), de peligro y de eje-

cucin abierta que, por lo general, acompaan a

la mayora de conductas delictivas sancionadas

por el legislador colombiano como parte de la

cadena de ataques a un determinado sistema

informtico o a los datos e informacin almace-

nados en este.

En el ordenamiento penal colombiano, a dife-

rencia de otros ordenamientos penales como

el espaol15, el italiano16 o el alemn17, el delito

14 Morn Lerma (2002, pp. 51).

15 ElCPespaolconsagralaguradeaccesoabusivoadatosopro-

gramas en el art. 197.3 adc. L. O. 5/2010, del siguiente modo: El que,

por cualquier medio o procedimiento y vulnerando las medidas de se-

guridad establecidas para impedirlo, acceda sin autorizacin a datos o

programas informticos contenidos en un sistema informtico o en parte

del mismo o se mantenga dentro del mismo en contra de la voluntad

de quien tenga el legtimo ejercicio a excluirlo, ser castigado con la

pena de prisin de seis a dos aos. En particular, obsrvese que dicha

norma prev la exigencia de medidas de seguridad y que el sujeto debe

obtener algn tipo de informacin reservada. En la doctrina v. Anarte

Borallo (pp. 225 y ss.); Boix Reig & otros (2010, pp. 454 y ss.); Morillas

Cueva (2011, pp. 319 y ss.); Polaino Navarrete & otros (2010, p. 237);

Quintero Olivares & Morales Prats (2011a, pp. 481 y ss.); Quintero Oli-

vares & Morales Prats, artculos 1 a 233 (2011, pp. 1321 y ss.); Rodr-

guez Moro (2011, pp. 248 y ss.); Salvadori (2011a, pp. 767 y ss.) tiene

versin espaola: Salvadori (2011b, pp. 221 y ss.).

16 El CP italiano consagra en el art. 615ter,laguradeaccesoabusivo

a un sistema informtico e telemtico (L. n. 547/1993): Quien abusiva-

mente se introduzca en un sistema informtico o telemtico protegido

por medidas de seguridad o se mantenga en l contra la voluntad ex-

presa o tcita de quien tiene el derecho de excluirlo, ser castigado con

prisin hasta de tres aos (T. L.), como una modalidad del delito de

violacin de domicilio. A diferencia de este, el texto colombiano no cubre

los sistemas telemticos y no requiere el conocimiento posterior de datos

personales. En la doctrina italiana v. Mantovani (2008, pp. 520 y ss.); Del

Pino (2009, p. 585) y Salvadori (2012, p. 370 y en particular la 390).

17 El StGB alemn consagra el tipo penal de espionaje de datos inform-

ticos (Aussphen von Daten) en el 202(a) (2. WiKGvom 15.5.1986,


8/31

RicardoPosadaMaya


de acceso abusivo a un sistema informtico no

se clasica como una modalidad de espionaje

informtico (porque no se exige de lege data el

conocimiento o la disposicin de datos: crac-

king malicioso) ni del delito de violacin de ha-

bitacin ajena, por ms que, en el ltimo caso,

se trate de equiparar los conceptos de sistema

informtico y domicilio, con el argumento por

cierto muy dudoso de que se busca proteger el

domicilio informtico del titular del bien jurdico.

No es claro que tal cosa sea posible en el mbi-

to virtual, como un concepto distinto a la nocin

de dominio informtico18.

Vanse a continuacin los elementos objetivos y

subjetivos de la gura:

A. Aspecto objevo

1. j

Monosubjetivo y comn indeterminado: El

que: cualquier persona natural que realice laaccin propia del tipo penal de acceso abusivo

a sistema informtico, sin que este requiera al-

guna calicacin especial. Dicho en otras pala-

bras, el sujeto no tiene por qu ser un hackero

un cracker19 profesional, basta que sea un in-

mod. 41 StGvom 7.8.2007), en Nomos Gesetze (2011): Quien se pro-

cure para s o para otro el acceso a datos que no estn particularmente

asegurados contra un acceso ilcito, o que se consigan con la vulnera-

cin de un acceso de seguridad, ser castigado con una pena privativa

de libertad de hasta tres aos o con pena de multa (T. L.). Sobre lainterpretacindeestagurav.Kindhuser(2009,pp.211-212);Krey,

Heinrich & Hellmann (2012, pp. 205-213); Rengier (2011, p. 250); Sch-

midt & Priebe (2010, p. 294) y Wessels & Hettinger (2011, pp. 170-171).

18 En contra de esta asimilacin, precisamente por comportar ms proble-

mas que ventajas tericas y prcticas, v. Posada Maya (2006b, p. 23).

19 Cfr. sobre este concepto: Gonzlez Rus (2006, pp. 258-259); Quintero

Olivares, Morales Prats & otros (2011b, pp. 1306-1307), artculos 1 a

233; Rovira del Canto (2002, p. 130); Rueda Martn (2009, p. 158).

truso y se cumplan las exigencias jurdicas para

ser calicado como autor. Es ms, hay que tener

en cuenta que el mismo prestador del servicio

puede ser autor cuando, sin legitimidad jurdica

y arguyendo razones de vericacin, ingresa a

un sistema informtico protegido o no como, por

ejemplo, el correo electrnico de sus usuarios,

siempre que este uso no se haya estipulado ex-

presamente en las normas de uso o administra-

cin (Garca, Gonzlez, 2006, pp. 297 y ss.).

El sujeto activo y su actuacin informtica pue-

den ser rastreados e identicados a partir de la

IP que ha desencadenado el ataque contra elsistema informtico, acompaado del nmero

MAC (o serial del hardware de conexin), como

emisor y receptor de la informacin que busca

concretar la accin punible20.

Este tipo penal admite la coautora y otras for-

mas de autora, y las diversas formas de partici-

pacin criminal: (i) determinacin y (ii) complici-

dad (CP, arts. 29 y 30).

20 Segn es.Wikipedia.org: Una direccin IP es una etiqueta numrica

queidentica,demaneralgicayjerrquica,auninterfaz (elemento de

comunicacin/conexin) de un dispositivo (habitualmente una compu-

tadora) dentro de una red que utilice el protocolo IP (Internet Protocol),

que corresponde al nivel de red del Modelo OSI. Dicho nmero no se

ha de confundir con la direccin MAC,queesunidenticadorde48bits

paraidenticardeformanicalatarjeta de red y no depende del proto-

colo de conexin utilizado ni de la red. La direccin IP puede cambiarmuy a menudo por cambios en la red o porque el dispositivo encargado

dentro de la red de asignar las direcciones IP decida asignar otra IP

(por ejemplo, con el protocolo DHCP). A esta forma de asignacin de

direccin IP, direccin IP dinmica (normalmente abreviado como IP di-

nmica). / Los sitios de Internet que por su naturaleza necesitan estar

permanentemente conectados generalmente tienen una direccin IP ja

(comnmente, IP ja o IP esttica). Esta no cambia con el tiempo. Los

servidoresdecorreo,DNS,FTPpblicosyservidoresdepginasweb

necesariamentedebencontarconunadireccinIPjaoesttica,ya

que de esta forma se permite su localizacin en la red. / Los ordenado-

res se conectan entre s mediante sus respectivas direcciones IP. ().


9/31


Asimismo, hay que tener en cuenta que el CP,

art. 269H, modica y agrava el tipo penal de la

mitad a las tres cuartas partes, cuando el sujeto

activo tenga las siguientes calidades:

a) Servidor pblico en ejercicio de sus funcio-

nes (num. 2 ibidem). Incremento punitivo que se

fundamenta en la mayor exigibilidad que com-

porta tal cualicacin, al ejecutar el acceso con

abuso del cargo o de la funcin pblica. En caso

de haber un acto de espionaje adicional, segn

el caso, se aplicara el tipo penal vertido en el

CP, art. 269C o en el art. 269F. El tema se re-

suelve en sede de concursos aparentes.

b) Cuando el sujeto activo pueda ser conside-

rado como un insider (num. 8 ibidem), esto

es, cuando el sujeto sea el responsable de la

administracin administrar: 3. tr. Ordenar,

disponer, organizar, en especial la hacienda o

los bienes, manejo manejar: 4. Gobernar,

dirigir o control 1. m. Comprobacin, inspec-

cin, scalizacin, intervencin. 2. m. Dominio,mando, preponderancia21 del sistema inform-

tico. En el ltimo caso, el legislador decidi im-

poner tambin, como sancin principal privativa

de derechos, la pena de inhabilitacin para el

ejercicio de profesin relacionada con sistemas

de informacin procesada con equipos infor-

mticos, por el mismo tiempo que dure la pena

privativa de la libertad. Esta calicacin como

insideres igualmente recogida por el num. 2 delart. 269H, al castigar al sujeto que acta pre-

valindose de una relacin contractual previa

para ejecutar, por ejemplo, los actos de acceso

21 Todas las voces han sido consultadas en www.rae.es

o de mantenimiento del sistema. Relacin que

denir, como se dir ms adelante, los lmites

dentro de los cuales puede obrar un determina-

do sujeto sin que su comportamiento se pueda

considerar abusivo.

En todo caso, la calicacin del sujeto activo con-

lleva un complejo debate en la doctrina, porque,

si bien pocos autores discuten que el tipo penal

fundamental est diseado primordialmente

para que un extrao u outsiderejecute el acceso

abusivo ex novo al sistema informtico, o luego

de un acceso casual se mantenga en el sistema,

no ocurre lo mismo con el sujeto insider. Precisa-mente, algn sector de la doctrina especializada

debate ampliamente si cabe aplicar esta gura

tratndose de sujetos insider, es decir, personas

que en principio estn autorizadas por el titular

para acceder al sistema informtico. As, por

ejemplo, Salvadori (2011, pp. 371 y 372) seala

que en estos casos la aplicacin de la agravante

supondra una violacin al principio del ne bis in

idem, porque, en los casos de permanencia abu-siva, la misma condicin de insider, esto es, el

hecho de estar previamente habilitado para ac-

ceder al sistema informtico, ya sera una condi-

cin inherente para ser considerado como sujeto

activo del tipo penal fundamental.

Por el contrario, la doctrina mayoritaria sostiene,

y ello parece lo correcto, que s es posible que

un sujeto insideracceda a un sistema inform-tico de manera abusiva. Precisamente, puede

suceder que el sujeto activo solo tenga una au-

torizacin para ingresar al sistema, pero este se

mantenga en contra de la voluntad expresa del

titular, bien porque solo estaba autorizado para

realizar actividades o tareas especcas (de re-


10/31

RicardoPosadaMaya


paracin, uso de cierto software o consulta de

la Internet, y no para copiar programas o para

borrarlos); bien porque nicamente poda per-

manecer durante un especco perodo de tiem-

po o durante ciertos das; o, en n, solo poda

acceder a cierta parte del sistema, con lo cual,

el hecho de mantenerse por fuera de las condi-

ciones autorizadas resulta claramente abusivo,

es decir, no autorizado.

As las cosas, en ambas hiptesis, cuando las

mencionadas condiciones de autorizacin son

excedidas o desconocidas, quien antes se con-

sideraba un insiderlegtimo se convierte en un

insider ilegtimo (outsider) o intruso dentro del

sistema informtico. Como se dir ms ade-

lante, el asunto a vericar con exactitud sera

la fuerza y el alcance de la fuente jurdica que

determina la legalidad (o legitimidad) de la

actuacin del sujeto activo del tipo en el caso

concreto.

2. Sj

Comn, monosubjetivo y colectivo: solo pueden

ser sujetos pasivos de este tipo penal aquellas

personas que sean, por una parte, el titular del

medio informtico que resulta objeto del acceso

o mantenimiento abusivo, que incluso puede ser

una persona jurdica, y, por la otra, el titular de

los datos personales, sensibles o secretos alma-

cenados en archivos o bases de datos, y cuya in-timidad personal se pone en peligro (Fernndez

Teruelo, 2011, pp. 195 y ss.; Queralt Jimnez

(2010, p. 302).Tambin ser sujeto pasivo, en

sentido colectivo, la comunidad como titular del

bien jurdico seguridad de la informacin y de

los datos, en particular de la seguridad de las

funciones informticas (idoneidad, autenticidad

y disponibilidad)22.

3. B j

Este tipo penal pluriofensivo (Rovira del Canto,

2002, p. 187) exige, en primer lugar, la afecta-

cin o vulneracin del bien jurdico intermedio,

pblico y autnomo de la seguridad de la infor-

macin y los datos informticos23, con lo cual se

sanciona la lesin de la confabilidad, integridad

y la libre disponibilidad directa de los sistemas

informticos y el peligro indirecto de los datos y

la informacin24almacenada en ellos.

En cuanto a la lesin del sistema informtico,

autores como (Rueda Martn, 2009, p. 182) se-

alan:

Pero tambin hay que constatar que con tales

comportamientos se produce la lesin de la

condencialidad, integridad y disponibilidad de

los sistemas informticos mediante el simple

acceso a los mismos, tanto si se realiza con la

nalidad de descubrir fallos o puertos falsos en

dichos sistemas informticos que alberguen ar-

chivos de datos reservados. Segn esta estruc-

22 Es necesario subrayar que estas calidades, referidas a las caracters-

ticas de los objetos sobre los cuales recae la accin punible, tienen un

sentidodistintoalaidoneidad,autenticidadysucienciaquerequieren

los datos informticos para servir como evidencia digital en un proceso

judicial. Sobre este ltimo aspecto v. Cano M. (2009, pp. 109 y ss.).

23 Sobre el tema del bien jurdico, v. ampliamente Posada Maya (2013,

pp. 7 y 8).

24 Porsuparte,Picotti(2006a,p.350),sostienequelasimplicacintpi-

ca supone, respecto al espacio informtico, poner [] en primer plano

la exigencia de la tutela del inters colectivo a la proteccin de la legiti-

midad de cada acceso a cualquier punto de la red, frente a la extensin

global de las interconexiones va Internet, para garantizar la seguridad

de todos, y sostener la idea de que se trate de tutelar slo el jus exclu-

dendidelindividuo,ascomodedepositarconanzaensudiligenciao

capacidad subjetiva para la proteccin del propio sistema [].


11/31


tura, si bien es deseable la previsin de alguna

nalidad ulterior de atacar los datos, como se

dir ms adelante, el sistema se protege con

independencia de su contenido.

Ms adelante (p. 187), agrega:

De esta manera cuando un hacker penetra

ilcitamente en un sistema informtico ajeno,

tanto si se han infringido medidas de carcter

tcnico como si no ha sido as, se encuentra

en un espacio, el propio sistema, en el que su

integridad se ha visto afectada porque la sola

entrada y el consiguiente uso del sistema da

lugar a modicaciones en los datos del mismo,

junto con las alteraciones de tales datos paraintentar borrar los rastros que pudieran identi-

carles ().

En segundo lugar, el tipo penal exige tambin la

puesta en peligro del bien jurdico personalsimo

de la intimidad personal25en su modalidad de la

intimidad y la autodeterminacin informticas

25 La Corte Constitucional (en adelante CConst.), seala en la sent.

C-913 de 2010 sobre la intimidad en sentido negativo, que El ncleo

esencial del derecho a la intimidad, supone la existencia y goce de una

rbita reservada en cada persona, exenta de poder de intervencin del

Estado o de las intromisiones arbitrarias de la sociedad, que le permita

a dicho individuo el pleno desarrollo de su vida personal, espiritual y

cultural; SU-056 de 1995: El derecho a la intimidad hace referencia al

mbito personalsimo de cada individuo o familia, es decir, a aquellos

fenmenos, comportamientos, datos y situaciones que normalmente

estn sustrados a la injerencia o al conocimiento de extraos. Lo nti-

mo, lo realmente privado y personalsimo de las personas es, como lo

ha sealado en mltiples oportunidades esta Corte, un derecho funda-

mental del ser humano, y debe mantener esa condicin, es decir, per-

tenecer a una esfera o a un mbito reservado, no conocido, no sabido,

no promulgado, a menos que los hechos o circunstancias relevantesconcernientes a dicha intimidad sean conocidos por terceros por vo-

luntad del titular del derecho o porque han trascendido al dominio de la

opinin pblica. Agrega la T-814 de 2003, que el mbito de proteccin

de la intimidad vara dependiendo de las personas, pues en ejercicio de

su libertad individual stas deciden hacer pblicos distintos aspectos de

su vida. Sin embargo, ms all de lo que atae al derecho a la intimidad,

la naturaleza de la informacin afecta en mayor o menor medida a las

personas debido al valor atribuido socialmente a los distintos aspectos

de la vida en comunidad. La extensa jurisprudencia puede ser consul-

tada en: http://www.corteconstitucional.gov.co/relatoria/tematico.php?to

dos%22=%25&sql=intimidad&campo=%2F&pg=0&vs=0

igualmente considerado como un derecho fun-

damental de cuarta generacin (Anarte Borallo,

p. 236), para evitar potenciales lesiones a los

datos de naturaleza privada o semiprivada (Pi-

cotti, 2006, pp. 181 y ss.)26 y a la informacin

informatizada almacenada en el sistema objeto

de ataque, mediante acciones ulteriores o mani-

pulaciones informticas que, ms all, puedan

congurar un delito autnomo de interceptacin

o violacin de datos personales (CP, arts. 269 C

y F, respectivamente). Por esto, se trata de un

bien jurdico colectivo-individual.

Por su parte, Fiandaca & Musco (2007, p. 199)y Salvadori (2012, p. 391) se reeren a la dis-

ponibilidad exclusiva del espacio informtico.

De la potencial conanza y expectativa de in-

timidad informtica del sujeto pasivo respecto

de la incolumidad e inviolabilidad de los datos

personales27 e informaciones informatizados,

26 Posada Maya (2006a, p. 57), desde entonces se entenda que el or-

denamiento nacional protega la privacidad informtica. En la doctrina v.

Polaino Navarrete & otros (2010, p. 238).

27 LaL.E.1581de2012,art.3,deneeldatopersonalcomocualquier

informacin vinculada o que pueda asociarse a una o varias personas

naturales determinadas o determinables y en el art. 5 el dato sensible,

as: Para los propsitos de la presente ley, se entiende por datos sen-

sibles aquellos que afectan la intimidad del Titular o cuyo uso indebido

puede generar su discriminacin, tales como aquellos que revelen el

origen racial o tnico, la orientacin poltica, las convicciones religio-

sasoloscas,lapertenenciaasindicatos,organizacionessociales,

de derechos humanos o que promuevan intereses de cualquier partido

poltico o que garanticen los derechos y garantas de partidos polticos

de oposicin as como los datos relativos a la salud, a la vida sexual

ylosdatosbiomtricos.Denicionesquetambindebencubriralas

personasjurdicas.Cfr.CConst.,sent.C-1011de2008,Finalmente,el

Convenio de Budapest de 2003, entiende por datos o informacin en elCh. I, art. 1, aquella unidad bsica de informacin, ello es, cualquier

representacin de informacin, conocimiento, hechos, conceptos o ins-

trucciones que pueden ser procesadas u operadas por sistemas auto-

mticos de computadores, y cuya unin con otros datos conforma la

informacin en sentido estricto. La caracterstica esencial es que este

tipo de elementos no son susceptibles de visualizacin directa y para

ello requieren un procesamiento digital que haga explcitas las seales

que los integran. En cuanto a los datos personales, estamos de acuerdo

con Anarte Borallo (2003, p. 247) cuando indica que De acuerdo con

ello, no es su contenido inmediato ideolgico, religioso, racial, sexual o

relativoalasaludindividualloquedeterminalacualicacin,sinosu


12/31

RicardoPosadaMaya


almacenados y tratados en estos, su conabi-

lidad, disponibilidad y seguridad hablan De la

Cuesta Arzamendi & otros (2010, p. 47) y Cano

M. (2009, pp. 108 y ss.). Por su parte, Manto-

vani (2008) retoma el castigo a la indiscrecin

informtica o telemtica y subraya el deber de

prevenir el hurto de servicios informticos.

En todo caso, teniendo en cuenta que este tipo

de presunciones de iure en los tipos de peligro

son esencialmente desproporcionadas y lesivas

de garantas fundamentales como la ofensivi-

dad material28, resulta necesario reinterpretar

la gura como un delito de peligro en concreto(CP, art. 11), en el entendido de que se requie-

re vericar un peligro efectivo contra los bienes

jurdicos protegidos por la norma penal (Posada

Maya, 2006b, pp. 29 y 30)29.

4. Oj j

El objeto jurdico del tipo penal de acceso abu-

sivo a sistema informtico consiste en proteger,en concreto, el derecho o facultad de control del

titular sobre la integridad yseguridad del siste-

ma informtico30, el derecho personalsimo a la

autodeterminacin informtica31, y a ejercer, de-

aptitud, apreciable tambin en concreto, para desvelar esos aspectos

de la vida de una persona.

28 V. Quintero Olivares, Morales Prats & Otros (2011b, p. 1306) artculos

1a233yBoixReig&otros(2010,p.456)sereerenaestaguracomoun abstracto delito de peligro.

29 Desde luego, no faltan autores que consideran que el tipo penal solo

es de lesin efectiva (Rey Boek & Nuez de Len, 2011, pp. 632-633).

30 En el mismo sentido: Boix Reig &otros (2010, p. 455), Rodrguez Moro

(2011, p. 248), Velasco San Martn (2012, p. 55).

31 Anarte Borallo (2003, pp. 228, 237-238), Quintero Olivares, Morales

Prats & Otros (2011, pp. 1293-1298) artculos 1 a 233.

rivado de estos derechos, eljus excludendifren-

te a terceros que intenten acceder de manera

arbitraria, fraudulenta o violenta al sistema.

Esta facultad de control se traduce en varias atri-

buciones concretas, susceptibles de proteccin:

1) requerir previa autorizacin o consentimiento

del titular para el acceso y el uso de un sistema

informtico; 2) saber y ser informado sobre el

uso dado al sistema informtico; 3) orientar, co-

rregir, excluir, etctera, las condiciones de uso y

el uso efectivo de un sistema informtico; y 4)

el derecho a mantener protegido el sistema in-

formtico y a que nadie interera con dicha pro-teccin informtica. Estos derechos surgen con

independencia de la calidad de los datos que se

encuentren almacenados en el sistema32.

En estas condiciones, aunque de manera subsi-

diaria, tambin se protegen el derecho a la re-

gularidad del funcionamiento de los sistemas

informticos, y la reserva que debe acompaar

la utilizacin de sus recursos (lo que incluye eluso del software).

Ahora bien, los sistemas informticos pueden

residir en Colombia o en el exterior lo que

dependera del sitio en donde est el corres-

pondiente servidor; es ms, incluso es posible

que el sistema virtual se encuentre en la nube

(cloud). Lo importante es que el sujeto activo

32 L. E. 1581 de 2012/art. 8. El Titular de los datos personales tendr

los siguientes derechos: c) Ser informado por el Responsable del Tra-

tamiento o el Encargado del Tratamiento, previa solicitud, respecto del

uso que le ha dado a sus datos personales; e) Revocar la autorizacin

y/o solicitar la supresin del dato cuando en el Tratamiento no se res-

peten los principios, derechos y garantas constitucionales y legales.

La revocatoria y/o supresin proceder cuando la Superintendencia de

Industria y Comercio haya determinado que en el Tratamiento el Res-

ponsable o Encargado han incurrido en conductas contrarias a esta ley

y a la Constitucin.


13/31


del tipo realice los actos de manipulacin (en

sentido amplio) o dicte sus instrucciones intrusi-

vas desde Colombia, para que se pueda aplicar

el derecho penal nacional, lugar en el que ha

iniciado la accin que produce el riesgo jurdica-

mente desaprobado, en trminos de la imputa-

cin objetiva (CP, art. 26).

5. Oj

Inmaterial determinable: el objeto sobre el cual

recae la accin del delito previsto en el art.

269A puede ser denido en sentido general y

en sentido concreto. En sentido general el ob-jeto sobre el cual recae la accin informtica

es el sistema informtico, entendido como un

dispositivo o un grupo de dispositivos inform-

ticos individuales interconectados entre s que

realizan acciones de tratamiento, procesamien-

to y almacenamiento automtico de datos33.

En estricto sentido el objeto inmaterial sobre

el cual recae la accin de acceso abusivo se-

ran los sistemas operativos o aplicativos soft-ware que permiten procesar u operar autom-

ticamente instrucciones o datos contenidos en

cheros o archivos. El tipo penal estudiado, a

diferencia de otras guras delictivas previstas

en la ley colombiana, no protege directamente

los datos o la informacin informatizada perso-

nal contenidos en estos. Solo lo hace de mane-

ra indirecta o potencial.

De otra parte, la norma legal seala que el su-

jeto activo puede acceder a todo o en parte del

sistema, esto es, a determinados programas

33 En el mismo sentido v. Pabn Parra (2011, p. 500).

aplicativos o a ciertos cheros o bases de datos.

Por el contrario, no quedan comprendidos otros

elementos fsicos del sistema como objetos jur-

dicos concretos, porque estos no suponen una

conguracin tcnica idnea o capaz de admitir

accesos informticos o lgicos.

Asimismo, todo indica que la descripcin tpica

tampoco cubre los actos de acceso contra los

sistemas telemticos. Los sistemas informti-

cos almacenan y procesan datos o informacin,

mientras que los sistemas telemticos estn

compuestos por elementos que sirven para la

trasmisin y comunicacin de datos a distanciao en redes (Mantovani, 2008, p. 520). Asimilar

ambos sistemas constituira una analoga in

malam partem prohibida por la CN, art. 29 y por

el CP, art. 6.

Finalmente, hay que tener en cuenta que el art.

269H, num. 1, permite agravar la pena consa-

grada para los artculos previstos en el ttulo,

de la mitad a las tres cuartas partes, cuandola accin recaiga 1. Sobre redes o sistemas

informticos o de comunicaciones estatales u

ociales o del sector nanciero, nacionales o

extranjeros. Se trata de una proteccin sobre

consideraciones de poltica-criminal, dada la im-

portancia y la funcin que cumplen este tipo de

objetos-medio ociales en comparacin con los

sistemas informticos privados o particulares.

Asimismo, en algunos eventos, cuando se vul-neran otros bienes jurdicos colectivos como la

seguridad nacional y defensa del Estado (num.

6), se advierte un mayor desvalor de resultado

en la ejecucin del delito.


14/31


15/31


tres consiste en anular o evadir los mecanismos

de monitoreo y de control, y normalizar la pre-

sencia del hacker en el sistema. A partir de all

es posible realizar otro tipo de actividades utili-

zando otros programas maliciosos o no, pero sin

perder los benecios o privilegios que el acceso

abusivo le ha concedido al hacker.

Ahora bien, cuando se arma que el acceso in-

formtico debe ser abusivo o con violacin de

las condiciones de privacidad de la informacin,

se quiere expresar que el sujeto activo debe

carecer de la autorizacin o del consentimien-

to expreso del titular del sistema informtico o

de aquella persona que tiene la capacidad para

otorgar ese consentimiento de manera vlida y

lcita, en los trminos del CP, art. 32, num. 1,

para ingresar o mantenerse en el medio.

Consentimiento que constituye, para los efectos

del comportamiento estudiado, una causal de

ausencia de tipicidad que anula la desaproba-

cin ex ante de cualquier acto de intrusin. Laconducta tambin ser abusiva cuando el suje-

to activo acceda al sistema informtico en con-

trava de las condiciones previamente acorda-

das con el titular (como en el caso de existir una

relacin contractual, lo que adems agravara la

tipicidad segn el CP, art. 269H, num. 2).

Finalmente, para matizar la cuestionada pre-

suncin iure et de iure con respeto a la lesinpotencial del bien jurdico intimidad informtica,

es necesario exigir que el comportamiento repre-

sente, cuando menos, un peligro concreto frente

a la integridad, seguridad y la reserva o privaci-

dad de los datos almacenados en el sistema. Pe-

ligro vericable y concreto que existira cuando

el sujeto tenga la posibilidad fctica al menos

un instante de obtener servicios o de disponer

de la informacin existente y retirarla del mismo

[] (Posada Maya, 2006b, p. 24), a condicin

de que dicha informacin o datos almacenados

sean sensibles para el titular o terceros.

b) El mantenerse dentro del sistema. Esta moda-

lidad de mera conducta, tambin denominada

como permanencia abusiva, tiene lugar cuando

el sujeto activo, si bien accede al sistema infor-

mtico de manera lcita o legtima, o en forma

accidental o no intencional, mantiene37 un dilo-

go o nexo lgico con el sistema informtico semantiene o prosigue conectado, en contra de

la voluntad concurrente del titular con derecho

legtimo a excluir a terceros (jus excluendi), para

proteger las condiciones de integridad, conabi-

lidad, disponibilidad y privacidad del medio in-

formtico. Permanencia que debe darse con la

conciencia de que no se est autorizado y que

ello constituye un abuso informtico.

A diferencia del verbo rector acceder, el verbo

rector mantenerse es de ejecucin permanen-

te38, en el sentido de que la actividad antijurdica

de proseguir el nexo lgico cesa cuando el suje-

to activo sale del sistema informtico y termina

todo tipo de dilogo abusivo (log-out), o cuando

es excluido exitosamente por el sujeto pasivo, lo

que conlleva la terminacin del tipo penal.

La voluntad de exclusin del titular debe mani-

festarse de manera expresa e inequvoca (aun-

37 Consultado en www.rae.es 5. tr. Proseguir en lo que se est eje-

cutando,loquesignicaqueesunhacerenespaol.Enladoctrinav.

Quintero Olivares & Morales Prats (2011a, p. 485).

38 En sentido similar v. Pabn Parra (2011, p. 499).


16/31

RicardoPosadaMaya


que en otros ordenamientos jurdico-penales

pueda ser tcita, como en el CP italiano, art.

615ter), por lo que debe existir una advertencia

previa al sujeto activo por parte del sujeto pasi-

vo o su equivalente, para que el autor no dude

de que est actuando como un extrao que se

mantiene en forma contumaz. Advertencia que

cobra especial importancia en las hiptesis de

ingreso accidental o casual, en las que el suje-

to activo podra alegar que actu bajo un error

sobre los presupuestos del consentimiento (CP,

art. 32, nm. 10 en concordancia con el art.

32, nm. 2), si no conoci que su permanencia

voluntaria contrariaba claramente la voluntaddel titular legtimo39. Dicha advertencia, seal o

alarma previa no tiene por qu ser informtica.

c) Sobre las dos modalidades tpicas expuestas

es necesario efectuar varias consideraciones:

En primer lugar, a diferencia del tipo penal origi-

nal previsto en el art. 195 del CP der. L. 1273

de 2009, art. 4, la conducta tpica vigentede acceso o mantenimiento abusivo (CP, art.

269A) no tiene por qu recaer sobre un objeto

inmaterial calicado o cerrado. Dicho en otras

palabras, el legislador penal colombiano decidi

de manera desacertada que es irrelevante si

el sistema informtico (objeto-medio) estaba

previamente protegido o no con una medida

de seguridad informtica idnea y ecaz, segn

los estndares comunes de gestin en seguri-dad informtica; medidas dispuestas por el titu-

39 En todo caso, es muy importante que dentro del proceso penal se

acredite, de manera precisa, la calidad de la persona que puede otorgar

de manera legtima el consentimiento, de lo contrario se generara una

duda probatoria acerca de la existencia o inexistencia o de la validez del

consentimiento en el juicio.

lar del bien jurdico para limitar expresamente

el ingreso o acceso libre al sistema informti-

co, programa o mdulo informtico o base de

datos40. Resulta absurda, entonces, la inclusin

de la expresin protegida o no con medida de

seguridad, que bien puede ser suprimida de la

redaccin tpica actual.

Desde otra perspectiva, lo dicho signica que,

a efectos del tipo penal nacional, no interesa

si el sujeto activo ha realizado manipulaciones

de naturaleza informtica dirigidas a superar

tales medidas de seguridad. Y menos si el su-

jeto activo tiene conocimientos especiales parasuperar tal tipo de medidas o si utiliz aparatos

electrnicos para ello no as si utiliz software

malicioso, porque se adecuara al tipo penal

previsto en el CP, art. 269E, en su modalidad

de introducir programas maliciosos al sistema

informtico. Por tal motivo, bastara utilizar un

sistema al que otro sujeto ha accedido previa-

mente, para que se consume el tipo penal.

En todo caso, la eliminacin de la medida de

seguridad permite considerar tpico un acceso

a un sistema de seguridad completamente des-

protegido por su titular (abierto) o con baja o re-

ducida expectativa de intimidad, incluso por ne-

gligencia o voluntad de su dueo, siempre que

este no sea de acceso libre o pblico, o cuando

no preexista un acto de autorizacin o consenti-

miento previo por parte de su dominio.

Por ejemplo, pinsese en el caso de que A en-

cuentre una tableta perdida en el campus de la

40 Con una postura contraria, que no se compadece con la reforma del

2009, v. Arboleda Vallejo & Ruiz Salazar (2012, p. 1020).


17/31


universidad, y (aunque esta est o no protegida)

el sujeto ingresa al sistema operativo para veri-

car la identidad de su legtimo propietario con

el n de entregarla o restituirla. Ejemplo que en

principio sera tpico, no solo por la absurda re-

daccin de la norma, sino tambin por tratarse

de un tipo penal de peligro que de manera indi-

recta protege la conanza o la expectativa de in-

timidad del sujeto pasivo, aunque los datos all

contenidos no sean de alta prioridad para este.

Se castiga como acceso abusivo, entonces, el

acceso o mantenimiento dentro de sistemas

de seguridad desprotegidos, asunto que tendrespecial consideracin poltico-criminal cuando

se analice la imputacin objetiva, y en particu-

lar guras como la auto-puesta en peligro de los

sistemas o de la informacin dentro del denomi-

nadosuicidio informtico.

Otro cuestionamiento acerca de la eliminacin

de las medidas de seguridad informticas,

como elemento del tipo penal, tiene relacincon que el derecho penal colombiano ya no con-

sidera que el titular de la informacin sea, en

primera instancia, el principal responsable de

su proteccin, segn la importancia que se le

otorgue a esta. Con el tipo penal original, la doc-

trina nacional razon que un sistema desprote-

gido era un sistema asimilado a los sistemas

informticos abiertos, precisamente porque la

falta de proteccin (medidas informticas id-neas) seala de manera inequvoca el poco

inters del titular del sistema para reservar la

disponibilidad, integridad y condencialidad de

los datos o de la informacin almacenada. As,

con la eliminacin del elemento normativo men-

cionado, el legislador penal le dio carta blanca

a la irresponsabilidad del titular, de tal manera

que sea este diligente o negligente al proteger el

sistema (PC, Smartphone, cajero electrnico, et-

ctera), siempre habr acceso punible cuando

alguien ingrese al sistema. Cede por consiguien-

te el principio poltico-criminal de autorrespon-

sabilidad informtica respecto de la tenencia de

informacin sensible.

En segundo lugar, la dogmtica penal moderna

discute sobre la clase de conducta que compor-

tan las modalidades tpicas estudiadas. Si bien

no hay duda de que el acceso directo o remo-

to a un sistema informtico es una modalidadcomisiva, no existe consenso en relacin con la

clase de conducta que comporta el hecho de

mantenerse dentro del sistema informtico de

manera contumaz.

a) Una primera postura terica cree que man-

tenerse dentro del sistema es una conducta

omisiva pura, por medio de la cual el sujeto

activo infringe dolosamente, al no salir del sis-tema (no hacer log-out), un mandato de aban-

dono que ha sido planteado en forma expresa

o tcita por parte del titular legtimo. Para los

expertos, la cuestin principal radica en deter-

minar la clase de deber legal que precede a la

omisin (pura) de abandono y su fuente legal41.

41 En este sentido v. ampliamente, Salvadori (2012, p. 378; 2011, pp. 232

y 233) quien agrega en esta ltima que La conducta (alternativa) demantenerse en un sistema incluira, por lo tanto, las hiptesis omisivas

de la parada o de la permanencia abusiva en un sistema informtico,

que no podran ser de otra manera subsumidas en la conducta activa de

acceso no autorizado. No obstante, a rengln seguido agrega: Esta

conducta no tendr que entenderse en sentido fsico, sino como man-

tenimiento de la conexin, inicialmente obtenida de manera autorizada

o fortuita, a todo o en parte de un sistema de informacin. Lo que se

castiga por lo tanto es la permanencia invito domino en el sistema

informtico ajeno realizada por quien, por casualidad o teniendo al prin-

cipio la autorizacin del legtimo titular, haya seguido mantenindose

en el sistema informtico pese a que haya acabado el consentimien-


18/31

RicardoPosadaMaya


Para esta corriente doctrinal, esta variante del

tipo se consumara a partir del momento en el

cual surge la obligacin de terminar la conexin

lgica con el sistema informtico42, lo que tiene

como consecuencia que el sujeto que accede al

sistema deja de ser husped y se convierte en

un extrao.

Varios son los inconvenientes de esta teora

para nuestro medio, determinados por los pos-

tulados de legalidad (CP, art. 6) y de taxativi-

dad (CP, art. 10), advirtiendo que las omisio-

nes propias se rigen por un sistema de numerus

clausus:

Primero, todo indica que la proteccin de la se-

guridad de la informacin, los datos y los sis-

temas informticos no puede ser cubierta, en

Colombia, mediante tipos penales de comisin

por omisin en los que el deber de garante deba

encontrar soporte en fuentes materiales, ya que

infortunadamente el pargrafo del art. 25 CP

limita estas fuentes (los numerales enunciadosa ttulo de ejemplo del 1 al 4) a los tipos que

castiguen por comisin las conductas punibles

contra la vida e integridad personal, la libertad

individual, y la libertad y formacin sexuales.

Adems, es obvio que el art. 269A no es un su-

puesto de comisin por omisin, porque el deba-

te se presenta frente a un verbo rector expreso

que no exige un resultado tpico de naturaleza

material que lesione el bien jurdico protegido.

to; igual en la p. 395; Salvadori (2011a, pp. 776 y 777). En Colombia,

con un planteo poco claro y peculiar v. Arboleda Vallejo & Ruiz Salazar

(2012, p. 1020), quienes sealan que Por ello se emplea el verbo man-

tener, o sea, permanecer, no querer salir (cursivas propias).

42 Salvadori (2012, p. 380). Lo que implica que no se tratara de una

ejecucin permanente, sino de una unidad de conducta omisiva.

Dicho en otras palabras, el tipo vertido en el art.

269A es de mera conducta y no de resultado

material y, adems, es claramente comisivo.

Segundo, en Colombia, los mandatos normati-

vos (imperativos) concretos que fundamentan

los delitos de omisin propia deben tener cate-

gora legal. No otra cosa se desprende del art.

10 ibidem, inc. 2, cuando seala que En los

tipos de omisin tambin el deber tendr que

estar consagrado y delimitado claramente en

la Constitucin Poltica o en la ley43 (Velsquez

Velsquez, 2009, pp. 663 y 67) y de la LE 1581

de 2012/art. 4. Principios para el Tratamientode datos personales. a) Principio de legalidad

en materia de Tratamiento de datos. Segn la

doctrina mayoritaria, del tipo legal vertido en el

art. 269A CP no se desprende un claro mandato

legal de abandono del sistema informtico, sino

que, ms bien, lo que preexiste es una prohibi-

cin de permanecer o de proseguir conectado al

sistema informtico, cosa que es bien distinta.

Prohibicin que se suma a la prohibicin inicialde acceder al objeto-medio.

Por ello, si bien el deber jurdico preexistente de

abandono solo puede ser de naturaleza cons-

titucional o legal, lo cierto es que en la mayo-

ra de los casos tal deber (si fuere un delito de

omisin propia) tendra un carcter contractual

o convencional con vocacin interpartes, por

ejemplo, derivado de un contrato de prestacinde servicios o un contrato laboral, que obligue

43 En el mismo sentido se pronuncia el CP, art. 25, inc. 3, al advertir,

frente a los tipos de comisin por omisin, que, A tal efecto, se requiere

que el agente tenga a su cargo la proteccin en concreto del bien jurdi-

co protegido, o que se le haya encomendado como garante la vigilancia

de una determinada fuente de riesgo, conforme a la Constitucin o a la

Ley.


19/31


en concreto al sujeto a abandonar el sistema.

El deber de abandono no es lo mismo que la

autorizacin de tratamiento de datos. En este

caso, el primer problema tpico (dogmtico y po-

ltico-criminal) sera determinar y acordar si esta

clase de fuentes interpartes hacen parte de las

fuentes legales que exige el CP, art. 10, inc. 2.

El segundo problema, superado el anterior, es

que la construccin del tipo omisivo a partir

de un acuerdo interpartes sera, en principio,

contraria al principio de legalidad, no solo por-

que se dejara a los particulares la determina-

cin de la estructura del deber que fundamenta

el tipo penal, sino tambin porque la taxatividaddel mandato dependera de la redaccin de las

clusulas contractuales pertinentes, tal y como

lo indica el precepto contractus ex conventione

legem accipere dinoscuntur44.

Tercero, debe sealarse que muchos de estos

contratos solo prevn una autorizacin para

que el sujeto haga algo concreto dentro del

sistema informtico, pero dicha autorizacin noes equivalente, en trminos estructurales, a un

mandato jurdico-penal previo de abandonar el

sistema, clusula que debe ser aadida al ins-

trumento contractual. En realidad, si el intrpre-

te deriva un deber de abandono por va nega-

tiva en el caso particular, a partir del principio

contrarius sensus legis pro lege accipitur45, se

estara vulnerando la CN (art. 29) y el CP (art.

44 Domingo & Rodrguez-Antoln (2000, p. 38, No. 108), sealan: (Boni-

facio Viii, Liber sextus 5.12.85) Los contratos se distinguen por recibir

la ley de la propia convencin ().

45 Domingo & Rodrguez-Antoln (2000, p. 38, No. 110), advierten:

(azn, Brocarda, rbrica 18 folio 56). El sentido contrario de la ley es

tenido por ley. La interpretacin a sensu contrario es una exigencia de

cualquierinterpretacinatentaalesprituynalidaddelanorma().

6), es decir, transgrediendo la prohibicin de

la analoga in malam partem que, justamente,

impide aplicar leyes penales a casos distintos

de los comprendidos expresamente por ellas.

En conclusin, el intrprete completara un tipo

omisivo inexistente a partir de un deber legal y

una norma de mandato hipottica.

Adems, tales mandatos no pueden ser clu-

sulas generales ni mandatos tcitos, porque se

desconocera la voluntad real de exclusin del

titular del sistema informtico. Ello tambin se

desprende del CP, art. 10, porque la regla de

taxatividad penal exige la previsin de un deberclaro y delimitado frente al supuesto tpico

concreto. Una modalidad de deberes genera-

les son los contenidos en la L. 1581 de 2012/

arts. 17 Deberes de los responsables del tra-

tamiento y 18 deberes de los encargados del

tratamiento46, que difcilmente podran funda-

mentar un tipo de omisin propia por s mismos.

Finalmente, cuarto, recurdese que el accesoabusivo al sistema informtico no siempre es

realizado por un sujeto activo que tenga la cali-

dad de insider, es decir, que tenga cierta auto-

46 L. 1581 de 2012/art. 17: Los Responsables del Tratamiento debern

cumplir los siguientes deberes, sin perjuicio de las dems disposiciones

previstas en la presente ley y en otras que rijan su actividad: c) Informar

debidamentealTitularsobrelanalidadde larecolecciny losdere-

chos que le asisten por virtud de la autorizacin otorgada; d) Conservar

la informacin bajo las condiciones de seguridad necesarias para im-

pedir su adulteracin, prdida, consulta, uso o acceso no autorizado ofraudulento; i) Exigir al Encargado del Tratamiento en todo momento, el

respeto a las condiciones de seguridad y privacidad de la informacin

del Titular y art. 18: Los Encargados del Tratamiento debern cumplir

los siguientes deberes, sin perjuicio de las dems disposiciones previs-

tas en la presente ley y en otras que rijan su actividad: b) Conservar la

informacin bajo las condiciones de seguridad necesarias para impedir

su adulteracin, prdida, consulta, uso o acceso no autorizado o fraudu-

lento; j) Permitir el acceso a la informacin nicamente a las personas

que pueden tener acceso a ella. Verdaderos deberes abstractos que no

fundamentan el mandato concreto de ningn tipo omisivo en la legisla-

cin nacional.


20/31

RicardoPosadaMaya


rizacin previa y limitada para acceder al siste-

ma, que luego es desconocida, ya que el delito

tambin puede ser realizado por un sujeto outsi-

derque no tenga ninguna clase de autorizacin

o cuando haya ingresado al sistema de manera

accidental o casual.

En todo caso, el asunto no es de simple forma

porque est ntimamente relacionado con la

naturaleza de la norma primaria que protege el

tipo penal analizado.

b) Una segunda postura, mayoritaria en la doc-

trina, sostiene que el mantenerse o proseguir

en el sistema informtico es una conducta comi-

siva dolosa, cuyo fundamento de acriminacin

radica en el hecho de mantener abusivamente

un dilogo lgico con el sistema en contra de

la voluntad de quien tenga el derecho legtimo

de excluir a terceros47. Desde esta perspectiva,

que consideramos correcta, la base normativa

del tipo consiste en infringir discontinuamente

una prohibicin de permanencia, una vez hayaterminado la autorizacin previa del titular para

permanecer en el medio-objeto, o cuando el ti-

tular le haya expresado al sujeto activo, por cual-

quier medio, su condicin de extrao o intruso

en aquellos casos en los que el ingreso inicial

fue accidental o fortuito.

Naturalmente, de la prohibicin tpica de prose-

guir el nexo lgico se advierte, contrario sensu

47 V. Posada Maya (2006b, p. 27); Pabn Parra (2011, pp. 499-500), al

armarqueLaaccindemantenerseimplicaelingresolegtimodel

agente al respectivo medio informtico y la prolongacin ilegtima de su

permanencia en el mismo, contrariando la voluntad de quien tiene el

derecho de exclusin. En la doctrina extranjera v. Anarte Borallo (2003,

p.238);Mantovani(2008,pp.520y522),quiendeneelmantenerse

como persistir en la ya iniciada introduccin, inicialmente autorizada o

casual, el continuar y acceder al conocimiento de los datos.

(como la otra cara de la moneda), el deber de

hacer log-out (accin de referencia negativa);

pero lo cierto es que ello no hace del tipo una

gura de naturaleza omisiva48. En n, conside-

ramos que si fuese una omisin pura el legis-

lador penal colombiano la hubiera construido

(determinado) mediante expresiones como, por

ejemplo, o no salga del sistema en contra de la

voluntad [...], o no se desconecte del sistema

en contra de la voluntad [], signicando as el

mandato de terminar el nexo lgico.

Es ms, considrense aquellas hiptesis en las

que el sujeto activo del tipo tiene que ejecutarmanipulaciones informticas49 para sortear

o superar las contramedidas de seguridad dis-

puestas por el owner, con el propsito de excluir

al intruso del sistema informtico, o cuando este

deba interactuar con el software para ocultarse

y lograr permanecer dentro de todo o una parte

del mismo.

Por ello, se arma que el injusto de la prohibi-cin radica en lesionar de manera permanente

la integridad de los sistemas informticos, y po-

ner en peligro concreto en los trminos vistos

48 Velsquez Velsquez (2009, pp. 659 y ss.), seala que: () mientras

en las conductas de comisin dolosa la tipicidad emana de la identidad

entrelaconductacausal-nal-socialllevadaacaboconladescritaenla

ley, en las omisivas ella surge de la diferencia entre el actuar realizado

y el vertido en el dispositivo legal respectivo; ese contraste se deriva del

hecho de que la norma antepuesta al tipo activo esprohibitiva, mientras

que detrs del omisivo subyace una de carcter imperativo.

49 PosadaMaya(2013,p.13),denelasmanipulacionesinformticas

en sentido amplio como [...] una accin preparatoria ilegtima dirigida a

introducir o almacenar datos incorrectos e incompletos, o a adulterar los

almacenados en un sistema informtico o telemtico; y ii) a la manipu-

lacin o pre-ordenacin de los resultados de un proceso de elaboracin

otransmisindedatosalmacenados,mediantelaconguracin,alte -

racinomodicacindelasinstruccionesoriginalesdelosprogramas

que tratan los datos o la informacin de entrada (input) o salida (output)

autntica de los programas o software []. Tambin en Posada Maya

(2006b, p. 46).


21/31


la intimidad informtica de los datos o informa-

ciones almacenados en ellos, mientras dure la

conexin o el mantenimiento no autorizados.

En tercer lugar, el tipo penal es de medios abier-

tos. Esto signica consideradas las precisio-

nes hechas al analizar la accin mantenerse

que los verbos rectores se pueden realizar de

cualquier forma, siempre que esta sea inform-

tica. Por ejemplo, se ha dicho que el acceso pue-

de ser directo o remoto en trminos tcnicos.

Asimismo, el tipo penal puede conllevar, como

medio necesario e inherente para ejecutar el ac-

ceso, que el sujeto activo utilice datos falsos odatos correctos pero de manera ilegtima, cues-

tin que podra plantear un aparente concurso

de tipos con el delito de violacin de datos per-

sonales CP/art. 269F).

Finalmente, el art. 269H, nums. 3 y 7 permite

modicar esta gura cuando: a) el sujeto apro-

veche la conanza depositada por el dueo del

sistema informtico, lo que supone un mayordesvalor de accin objetivo por la forma de co-

misin del comportamiento cuando el novio

accede abusivamente a la cuenta de correo de

su novia, el cnyuge varn al Messenger de la

cnyuge, etc.. Y b) cuando el sujeto realice el

acceso o el mantenimiento utilizando como ins-

trumento a un tercero de buena fe. Esta agra-

vante supone, en principio, un mayor desvalor

de accin objetivo por la forma en que se facilitala comisin del delito. No obstante, recurdese

que la autora mediata50 supone realizar el tipo

penal utilizando a otro como instrumento, lo que

50 CP, art. 29, inc. 1: Es autor quien realice la conducta punible por s

mismo o utilizando a otro como instrumento cursivas por fuera del texto

original.

permite aplicar el tipo fundamental a dicho t-

tulo. Por ello parece contrario al ne bis in idem

castigar el delito de acceso a ttulo de autora

mediata y luego agravar el comportamiento

porque el autor mediato ha utilizado a un ins-

trumento o a un tercero de buena fe en la ejecu-

cin delictiva (que acta sin dolo).

En cuarto lugar, si bien las modalidades tpicas

pueden ser realizadas en cualquier clase de ter-

minal pblica o privada conectada o no a la In-

ternet o a una intranet, se debe aclarar que el

comportamiento sera atpico (absoluto) cuando

el sistema informtico no sea de acceso restrin-gido. De este modo, no habra delito si el sujeto

accede a un sistema en el que solo se han dis-

puesto advertencias referidas a la prohibicin ge-

nrica de acceder sin la observancia de ciertas

condiciones como, por ejemplo, cumplir con cier-

ta edad o estar en un determinado lugar o pas.

Tambin ser atpico el comportamiento del CP

art. 269A, como se dijo, cuando se acceda a unsistema informtico pblico o de libre acceso

para terceros, cuando se obtengan medios de

almacenamiento o cuando el sujeto conozca in-

formacin de terceros sin haber accedido pre-

viamente al sistema de manera ilegal.

En quinto lugar, en Colombia, en razn del prin-

cipio de legalidad de los delitos, no es punible

la omisin de proteccin de datos o informacininformatizada sensible o reservada que un suje-

to haya almacenado en un sistema informtico

desprotegido. No hay tipo penal concreto. Ello,

no obstante que la sola tenencia de los datos

o informacin sensible constituya una actividad

peligrosa para la intimidad personal, precisa-


22/31

RicardoPosadaMaya


mente, porque esta se encuentra por fuera de

la posibilidad de custodia por parte de sus leg-

timos titulares. Sobre este asunto se ha dicho

con anterioridad que:

[...] desde una perspectiva poltico-criminal no

parece adecuado librar de responsabilidad al ti-

tular del sistema informtico, en aquellos casos

en que, o bien de manera insegura o con sim-

ples advertencias expone al pblico contenidos

legalmente regulados que requieren controles

de acceso y de seguridad para cierta poblacin

protegida (pornografa), o cuando los datos o

informacin de terceros sean manipulados o

conocidos por intrusos debido a la omisin de

controles previos en el mbito de dominio espe-

cco de los titulares de sistemas informticos.

(Posada Maya, 2006b, pp. 26-27)51.

Finalmente, ensexto lugar, el acceso no puede

ser consentido o autorizado, y si lo es, la accin

del sujeto activo, para ser punible, debe exceder

lo acordado por las partes de manera expresa y

clara52. Salvo en los casos de acceso acciden-

tal o casual, dicho consentimiento no solo se

debe entender como la oposicin al acceso o

al mantenimiento por aquel sujeto que tenga la

capacidad legtima de disponer del sistema in-

formtico, sino como la ausencia de facultades

51 Tambin: Posada Maya (2006a, p. 63), aunque el artculo est refe-

rido al derogado art. 195 del CP, que exiga de manera expresa que el

sistema informtico estuviera protegido con medida de seguridad infor-

mtica. En todo caso, la conclusin de dicho comentario sigue vigente:

Se ha hecho evidente que la proteccin jurdico penal en materia de

intrusin informtica no es integral, de cara a la proteccin del derecho

fundamental a la intimidad, cuando terceros poseen o administran infor-

macin de naturaleza sensible, almacenada en sistemas informticos

que carecen de medidas de salvaguarda, precisamente por omisin

dolosa de los titulares o administradores del sistema informtico intru-

sado.

52 En otros ordenamientos penales como el italiano (CP, art. 615ter), la

voluntad de exclusin puede ser expresa o tcita. V. Salvadori (2012,

pp. 370-381).

jurdicas ex ante para realizar un acceso o para

mantenerse dentro de este.

Naturalmente, si el sujeto activo consiente ex

ante la realizacin del acceso o de la permanen-

cia, la conducta ser plenamente atpica, segn

lo prev el CP, art. 32, num. 2, a pesar de tratar-

se de un delito que afecta intereses colectivos.

En este sentido, la L. E. 1581 de 2012/art.

6 especica que Se prohbe el Tratamiento

de datos sensibles, excepto cuando: a) El Titu-

lar haya dado su autorizacin explcita a dicho

Tratamiento, salvo en los casos que por ley no

sea requerido el otorgamiento de dicha autori-

zacin, entre otros supuestos legales53. Autori-

zacin que el responsable del tratamiento tiene

el deber legal de conservar en copia, segn lo

indica el art. 17 ibidem.

Para terminar este acpite, debe tenerse en

cuenta que, en los casos de autorizacin ex

ante, la facultad jurdica para acceder o para

mantenerse en el sistema puede ser total o par-

cial. De ah la importancia de que la autorizacin

siempre sea clara para evitar dudas acerca de

lo que el sujeto activo puede o no hacer. Puede

acontecer que el titular del sistema informtico

53 Art. 6: los dems supuestos son: b) El Tratamiento sea necesario

para salvaguardar el inters vital del Titular y este se encuentre fsica o

jurdicamente incapacitado. En estos eventos, los representantes lega-

les debern otorgar su autorizacin; / c) El Tratamiento sea efectuadoen el curso de las actividades legtimas y con las debidas garantas por

parte de una fundacin, ONG, asociacin o cualquier otro organismo

sinnimodelucro,cuyanalidadseapoltica,losca,religiosaosin-

dical,siemprequesereeranexclusivamenteasusmiembrosoalas

personasquemantengancontactosregularesporrazndesunalidad.

En estos eventos, los datos no se podrn suministrar a terceros sin la

autorizacindelTitular;/d)ElTratamientosereeraadatosquesean

necesarios para el reconocimiento, ejercicio o defensa de un derecho

enunprocesojudicial;/e)ElTratamientotengaunanalidadhistrica,

estadsticaocientca.Enesteeventodebernadoptarselasmedidas

conducentes a la supresin de identidad de los Titulares.


23/31


solo haya consentido un acceso temporal a todo

o a parte del sistema informtico, o que la auto-

rizacin tenga un lmite denido en el tiempo. En

estos casos se tendr que vericar si el sujeto

activo abus del tiempo concedido (abuso ex-

tra tempore) o si accedi o se mantuvo en una

parte vedada del sistema (abuso extra loco), por

fuera de lo acordado con el titular. Tambin pue-

de suceder que el sujeto pasivo haya autorizado

el ingreso del sujeto activo a todo o a parte del

sistema informtico, con limitacin o no de par-

tes, pero con el n de desarrollar tareas concre-

tas de actualizacin, limpieza o instalacin de

datos, correccin o actualizacin de cierto soft-ware, etctera. En estos casos, adems, habra

que vericar qu clase de actuaciones lgicas

fueron ejecutadas dentro del sistema54.

7. N q nexo de causalidad

Como quiera que el tipo penal estudiado sea de

mera conducta, no se requiere entonces veri-

car la existencia de un nexo de causalidad. Sinembargo, en estos casos virtuales es necesario

reemplazar este elemento por un nexo de na-

turaleza lgica que implique determinar la exis-

tencia de un dilogo informtico entre el autor y

el sistema informtico, que obedezca a la inte-

raccin input-output propiciada por las instruc-

ciones electrnicas imputadas al sistema por el

sujeto activo y respondidas por la mquina con-

forme al tratamiento de los datos o al software

correspondiente, segn el propsito del autor.

Adems, la lesin a la integridad informtica y

el peligro para la intimidad o reserva de datos e

54 En sentido similar: Salvadori (2012, p. 374).

informacin personal almacenada en el sistema

tienen que poder serle imputados objetivamen-

te al sujeto activo (o coautores). As, en primer

lugar, el acceso o el mantenimiento debe involu-

crar un riesgo jurdicamente desaprobado para

el bien jurdico, y en particular para las funcio-

nes informticas propiamente dichas (disponi-

bilidad, integridad y seguridad de los sistemas

informticos). Asimismo, es fundamental acre-

ditar que el intruso haya tenido el dominio del

hecho sobre la introduccin de las rdenes da-

das al sistema operativo informtico. El compor-

tamiento se agrava segn el CP, art. 269H, num.

6, cuando el riesgo comprometa la seguridad ola defensa nacional de Colombia, lo que implica

un mayor desvalor de resultado.

En segundo lugar, el riesgo informtico creado

debe traducirse en el resultado jurdico tpico

informtico, esto es, la lesin a la integridad,

disponibilidad y conabilidad del sistema infor-

mtico, como ya se indic.

Y nalmente, en tercer lugar, la afectacin al

bien jurdico debe quedar cubierta por los ries-

gos prohibidos incluidos en el diseo de la nor-

ma prohibitiva. En caso de no existir alguna po-

sibilidad de afectacin (directa o indirecta) a los

bienes jurdicos protegidos por la accin infor-

mtica abusiva, en particular a la integridad del

sistema informtico y a la intimidad informtica,

no cabra hablar de esta gura criminal (Silva

Snchez & otros, 2011)55. Ejemplo de ello se-

ra cuando se accede a un PC nuevo u otro que

55 Aunque referido al derecho espaol, estos autores entienden que la

proteccin del honor y la intimidad personal y familiar comportara []

una exigencia adicional: que el sistema informtico contenga datos rela-

tivos a la vida privada o ntima de las personas, aunque no es necesario

que se llegue a acceder a ellos.


24/31

RicardoPosadaMaya


no tenga datos personales, salvo que el autor

tenga la intencin de instalar un troyano u otro

programa malicioso o daino. Por fuera de este

caso, el acceso al sistema sera insignicante si

el agente no tiene la posibilidad de disponer, al

menos un instante, de los datos personales o la

informacin informatizada almacenada en ellos.

En n, en las hiptesis de acceso abusivo a sis-

tema informtico se discute ampliamente si los

actos de autopuesta en peligro realizados por

el sujeto pasivo tienen incidencia especca en

la imputacin de los posibles peligros que eje-

cute el sujeto activo frente a la seguridad de lainformacin, los datos y el sistema informtico

en particular. Cmo el riesgo de acceso o man-

tenimiento se materializa en una afectacin a

la integridad del sistema informtico, cuando el

sujeto pasivo tenga un sistema informtico que

per se est en peligro porque no est protegido

por negligencia o voluntad del titular, o debido

a que las medidas de seguridad informticas

instaladas resultan irrisorias, inidneas o inade-cuadas para protegerlo, segn los parmetros

de gestin informtica vigentes? La respuesta

no es clara, entre otras cosas porque el solo ac-

ceso afecta a la integridad del sistema inform-

tico al modicar sus archivos operativos, y por-

que el legislador ha eliminado toda exigencia de

autorresponsabilidad por parte del titular (del

sistema y los datos), cuando no exige que el me-

dio est protegido previamente con una medida

de seguridad informtica.

Es irrelevante, entonces, si el titular no ha toma-

do medidas de proteccin, es decir, si ha provo-

cado unsuicidio informtico, incluso de manera

imprudente.

acceso abusivo a sistema informatico

Documents