Ciberseguridad: ¿La adhesión al Convenio de Budapest es suficiente?

Los autores escriben sobre la regulación de la ciberseguridad en el marco del Convenio de Budapest.

0
963

Carlos Rojas Klauer, socio en Baxel Consultores y abogado por la PUCP, y Eduard Saavedra Valdivia, estudiante de la Facultad de Derecho de la PUCP.

El impacto de la cuarta revolución industrial, conforme indica Klaus Schwab, “marcada por la convergencia de tecnologías digitales, físicas y biológicas, anticipan que cambiará el mundo tal como lo conocemos” ha generado nuevos paradigmas para entender y desarrollar el sistema legal dentro del entorno digital. Existe una tendencia en establecer reglas globales que afectan las relaciones privadas y las cuestiones públicas; si bien ambas deben ser protegidas o promovidas a partir de la firma de tratados entre Estados, existe un camino institucional sumamente relevante por desarrollar.

Ahora bien, el uso de reglas globales facilitadas por la tecnología tienen un impacto en los mercados y en los modelos de negocios, por lo que no resultará sostenible en el tiempo si no se generan instituciones, hábitos y normas que brinden capacidad de respuesta contra la ciberdelincuencia y las distorsiones generadas por cualquier tipo de actividad informal o ilegal que utilice a la tecnología como vehículo de ataque. En la línea de dicha necesidad y contexto, es que debemos adoptar el, recientemente suscrito, Convenio de Budapest sobre ciberseguridad.

  1. Sobre la firma del Convenio Budapest por el Perú

El 30 de enero de 2019, el Pleno del Congreso del Perú, de forma unánime, aprobó la suscripción del Convenio de Budapest. Dicho tratado busca optimizar la regulación interna en materia de ciberseguridad, con mayor énfasis en materia penal, de tal manera que sus organismos correspondientes puedan tener mayor capacidad para poder perseguir este tipo de delitos especiales[1](pe. fraude informático, interceptación ilícita, entre otros).

  1. ¿Qué es el Convenio de Budapest?

El Convenio de Budapest es un tratado multilateral adoptado en el Consejo de Europa en el año 2001, con la finalidad de aplicar una política penal común y poder hacer frente a la “ciberdelincuencia”.

El Convenio ha sido suscrito por más de 55 países y, actualmente, existen varios países que se encuentran discutiendo, de forma interna, la posibilidad de suscribir el referido Convenio, especialmente los países de América Latina y El Caribe.

Cabe precisar que el Convenio fue elaborado teniendo en cuenta los profundos cambios provocados por la digitalización, los avances tecnológicos y la globalización de las redes informáticas. De esta forma, el Convenio ha priorizado que los países miembros adopten una regulación adecuada en relación a los avances tecnológicos.

Debemos tener en cuenta que, en las últimas décadas, las relaciones entre las personas han sido afectadas por la digitalización de los procedimientos y la inclusión de la tecnología en dichas relaciones (pe. ecommerce). En dicho contexto, el Convenio ha surgido como una propuesta ante la necesidad de proteger los intereses privados y públicos de la sociedad en la lucha contra la “ciberdelincuencia”.

Los Estados son conscientes y se encuentran sumamente preocupados por los riesgos que han generado las redes informáticas. Aún peor, determinados países aún no poseen una regulación adecuada e idónea para poder investigar y procesar este tipo de delitos. Por ello, el Convenio posee una sección especial que orienta a los países adheridos a tener una regulación penal especial para poder perseguir este tipo de delitos.

En ese sentido, el Convenio tiene como uno de sus principales objetivos la implementación de tipos penales (que varios países no los tienen implementados) a fin de que los organismos pertinentes de cada Estado puedan perseguir a los “ciberdelincuentes”. Lo que comúnmente sucedía en los países es que se tenía conocimiento de los delitos informáticos; no obstante, no se conocía o se tenía implementado una regulación específica para poder denunciar o procesar este tipo de casos.

  1. ¿Qué regula el Convenio de Budapest?

Teniendo en cuenta todos los problemas, delitos y, sobre todo, los objetivos de los Estados Miembros del Consejo de Europa, el Convenio ha regulado una serie de secciones que permitirán a los Estados mejorar su regulación interna y la cooperación entre países.

En ese sentido, el Convenio ha dispuesto una sección especial referente a los conceptos de determinados términos, como son “sistema informático”, “datos informáticos”, entre otros. Sin embargo, y teniendo en cuenta los diversos delitos que se encuentran contemplados en el Convenio, dicha sección no ha abarcado todos los conceptos que son importantes y necesarios para poder tipificar (o adaptar la regulación) correctamente los delitos en cada país. De esta forma, este hecho podría minimizar la finalidad de tener una política penal común entre los Estados.

Asimismo, el Convenio de Budapest ha incorporado una sección especial (Primer Capítulo) con el fin de disponer que los países deberán tipificar determinados delitos y así, de forma indirecta, poder tener una regulación similar entre todos los países.

En dicha sección, se ha dispuesto categorías que engloban a los siguientes delitos: (i) delitos contra confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos, (ii) delitos informáticos, (iii) delitos relacionados con el contenido, y (iv) delitos relacionados con infracciones de la propiedad intelectual y de derechos afines.

Cabe precisar que el principal problema que han tenido los estados es la adecuación de las referidas categorías con la regulación interna de cada Estado, debido a que muchos de ellos tenían, o tienen, una regulación especial para determinados delitos. De esta forma, la regulación interna entraba en conflicto con lo dispuesto por el Convenio. Por esta razón, los los Estados deben prestarle mucha atención a la adaptación de su regulación interna sin desnaturalizar las disposiciones del Convenio.

Al respecto, debemos tener en cuenta que el Convenio, en sus dos primeras categorías, ha regulado los delitos incluyendo el texto de la norma que lo tipifica. Como ya hemos visto, en este tipo de casos, ha existido una serie de problemas para adecuar las normas internas al Convenio. Sin embargo, en las otras dos categorías, el Convenio ha dado mayor libertad para que cada Estado, de acuerdo a sus normas internas, pueda regular dichos delitos.

Finalmente, es relevante indicar que el Convenio ha dispuesto una sección referida a la cooperación internacional, a fin de poder dotar de mayor capacidad de acción a cada Estado en la lucha en contra de los “ciberdelincuentes”. De esta forma, se ha dispuesto, como una obligación, el apoyo y cooperación entre los países en relación a los temas de extradición, asistencia mutua (incluso en ausencia de acuerdos internacionales), confidencialidad, entre otros.

  1. Un camino institucional aún pendiente: la ciberdiplomacia

Si bien hemos dado un primer paso, conforme anunciáramos en el inicio del presente artículo, la ciberseguridad requiere de un desarrollo y aspiración a una cultura en torno a la convivencia y buen uso de la tecnología.

De esta forma, tenemos el ejemplo de Dinamarca, país que ha creado la primera embajada tecnológica en el mundo, a efectos de asegurar el diálogo y la cooperación con actores internacionales importantes en el sector digital[2]. Desde nuestra perspectiva, resulta necesario que el Perú implemente medidas institucionales que viabilicen el marco de acciones comprometidas dentro del Convenio de Budapest.

Para James Andrew Lewis en un informe realizado por el Banco Interamericano de Desarrollo denominado “Experiencias avanzadas en políticas y prácticas de ciberseguridad”, la ciberseguridad requiere la creación de estrategias, reglas e instituciones que hagan del ciberespacio un lugar más estable y seguro, lo que permitirá aunar crecimiento económico y maximización de los beneficios de las tecnologías de la información.

Para ello el citado Informe plantea varias acciones puntuales: (i) desarrollar una estrategia nacional la cual debe ser discutida desde lo técnico hasta lo político, en miras de tomar decisiones consensuadas y que permitan una coordinación gubernamental transversal; (ii) desarrollar una estructura organizativa explicita que asigne responsabilidades a los diversas instancias estatales en torno a la ciberseguridad. En el Perú, la organización más involucrada en este asunto es la Marina de Guerra, sin embargo, consideramos que el sector diplomático debe asumir un rol activo, conforme la propuesta de los daneses de involucrarse y coordinar no sólo con los Estados sino con las principales transnacionales de tecnología; (iii) desarrollar un marco legal adecuado, conforme a los precedentes generados por los acuerdos internaciones y la legislación de países que vienen implementando medidas de prevención y control de riesgos. Contar con normas en torno a los delitos informáticos, la infraestructura tecnológica y la protección de datos es sumamente relevante para la ciberseguridad; y, (iv) la cooperación internacionales también es importante, no sólo para consolidar equipos y protocolos contra emergencias cibernéticas sino que ello involucre a las actividades diplomáticas de alto nivel, dado lo sensible y estratégico que implica la posición del país dentro del espacio digital.

Para un mayor detalle sobre los agentes y los asuntos en torno a la ciberseguridad podemos observar el cuadro elaborado por Beatriz Serrano[3]:

 

En suma, el camino institucional del Convenio de Budapest no sólo es reforzar la normativa penal, sino la incorporación de estándares internacionales que fortalezcan la posición del Perú dentro de la denominada cuarta revolución industrial. Conforme indica Maite Vizcarra, “ahora toca ir por el Plan Nacional de Ciberseguridad y empezar a hablar más de ciber-diplomacia”[4].


[1]     Cabe precisar que, los Estados miembros del Consejo de Europa y los demás Estados signatarios del presente Convenio, han considerado que el principal objetivo es logar una unión más estrecha entre sus miembros e intensificar la cooperación entre los países. En ese sentido, el Perú tiene una gran oportunidad de poder mejorar su regulación interna y, además, poder tener el apoyo y la cooperación de otros Estados, considerando la vulnerabilidad de nuestro ecosistema digital ante ciberataques o incluso frente al riesgo de convertirnos en un campo de experimentación para los terroristas digitales.

[2]     Es importante establecer relaciones con actores tecnológicos como Google, Facebook, Apple y Alibaba, con startups y con epicentros como Silicon Valley, Shenzhen y otros lugares», le responde a BBC Mundo a través de email el canciller danés, Anders Samuelsen. Para mayor detalle ver https://www.bbc.com/mundo/noticias-38917336(visitado el 01/03/19)

[3]Para mayor detalle puede verse el siguiente enlace: http://www.thiber.org/wp-content/uploads/2018/09/Analisis_Actualidad_Internacional_THIBER_Digest_1.pdf(visitado el 01/03/19)

[4]Para mayor detalle puede verse el siguiente enlace https://larepublica.pe/politica/1406416-desayuno-budapest(visitado el 01/03/19).

Imagen: Universidad Isabel I

DEJA UNA RESPUESTA

Please enter your comment!
Please enter your name here