|
Qué deben tener en cuenta las empresas ante la ley de delitos informáticos La ley sancionada esta semana por la Cámara de Diputados afectará la vida interna de las organizaciones y las obligará a adoptar políticas internas claras. La ley de delitos informáticos que sancionó la Cámara de Diputados el miércoles tendrá consecuencias directas en la vida diaria de las empresas. La norma busca proteger la privacidad del correo electrónico, pero obligará a las compañías a establecer y publicar reglas internas para el uso de las herramientas y aplicaciones tecnológicas basadas en Internet. Infobaeprofesional.com consultó a abogados especializados en tecnologías de la información y la comunicación (TIC) y a los principales proveedores de seguridad informática, quienes analizaron la nueva legislación y recomendaron los temas que deberán tener en cuentas las organizaciones cuando comience a entrar en vigencia. La
ley cumple una vieja deuda pendiente: la actualización del Código Penal,
de comienzos del siglo pasado, a la altura de las nuevas tecnologías. De esta manera, la nueva ley tipifica los delitos informáticos y los equipara con los de violación de correspondencia epistolar, algo que la jurisprudencia ya había establecido en los últimos años desde los juzgados. La ley también considera como delito al acceso indebido a un banco de datos personales. Daniel Bustos Ventura, abogado y coordinador de Legal&Forensics, el departamento legal de la empresa I-Sec, explicó que la ley “sirve para cubrir varios agujeros, principalmente en lo que es correo electrónico debido a que limita mucho el tema del acceso”. Recordó que hasta el momento sólo se tenían leyes que permitían castigar “conductas parecidas, pero no específicas. Entonces se daban dudas como las siguientes: ¿Dañar una página de Internet es dañar una cosa? Abrir un correo electrónico ¿es abrir una correspondencia? ¿O distribuir pornografía por Internet encuadra dentro de lo que es distribución para el Código Penal? Todo estos vacíos legales que daban cuenta de conductas parecidas son los que se cubren con el nuevo proyecto. Christian Vila-Toscano, consultor de I-Sec, recordó también que hasta ahora “no había una ley que dijera que el e-mail no se podía leer. Las normativas vigentes lo que hacían era operar a través de analogías. Ahora ya hay una ley específica”.
Sin embargo, las compañías deberán ser cuidadosas en el uso de la tecnología, explicó. Por ejemplo, a partir de esta ley es considerado como un delito el acceso de un correo electrónico sin permiso. Las organizaciones deberán poner en práctica y comunicar internamente una política de privacidad que en forma clara y definida informe a sus empleados cuáles son los límites en el uso de las herramientas tecnológicas de la empresa, y cuáles son las consecuencias, advirtió. Palazzi enfatizó en la importancia de aclarar que la empresa ejercerá un control sobre el correo electrónico del trabajador y la forma en que lo hará. Recalcó que con la reforma el acceso indebido a los sistemas informáticos es un delito. Sin embargo,
recordó que los testeos y las pruebas de la seguridad de un sistema
de una empresa por parte de consultores especializados (una práctica conocida
como “hacking ético”) no deberá ser considerado como tal. Para
ello es recomendable que exista un documento de seguridad donde se acuerde
y consienta esta operación.
Indicó que en este caso deberá analizarse en forma concreta la política de privacidad de cada empresa, con el fin que los empleadores puedan analizar los e-mails de los empleados y así resguardar el correcto uso de los elementos informáticos de la compañía. De no hacerlo en forma correcta el acceso a la información por parte de las firmas podría ahora ser considerado “indebido” y por lo tanto incluido en el nuevo tipo legal, enfatizó. En cambio, Claudio Avín, especialista en Soluciones de Seguridad de Microsoft Argentina opinó que las penas son “muy livianas, porque no deja de ser un delito aunque se haga con una herramienta, si se quiere, de guante blanco”. En ese sentido, planteó qué sucederá “cuando alguien, sin querer, manda un e-mail que puede ser ilegal. Un ejemplo: ¿qué pasa si a tu PC le entra un malware (código malicioso) y envía un e-mail pornográfico? Porque ahora la pornografía por Internet está penada. ¿Es culpa tuya por no tener segura la PC? ¿La culpa es de la empresa? El problema, hasta ahora, sigue siendo la autenticación de la identidad. La identidad sigue siendo muy fácil de violar”. Daniel Monastersky, titular de Monastersky & Asociados Abogados, resaltó que la reforma permite ahora a las empresas hacer valer sus derechos y acceder a la justicia en el caso de que su sitio web o sus soportes informáticos sean violados. Explicó que el presupuesto para que se haga efectiva la sanción penal es la “intromisión indebida” de un tercero en la base de datos de la compañía. “El hackeo de programas, la interrupción de comunicaciones y el espionaje industrial –obtención de información por parte de empleados infieles- serán ahora penados por la ley”, concluyó.
Lucas Martínez, gerente de Iniciativas de Seguridad de Microsoft Cono Sur, explicó en ese sentido y con relación a “la sanción de la violación de correo, esto no es una cuestión de software. Por el contrario, la responsabilidad queda en manos del empresario”. “Igualmente, y aunque fuera un problema de software, en nuestro caso uno de los cambios de SQL 2008 es que permite hacer una auditoria de datos y operar todo el sistema pero sin poder ver la información. Eso te asegura que un administrador, por más permisos que tenga, no pueda entrar a la información almacenada”, dijo Martínez. Claudio Avin, especialista en Soluciones de Seguridad de Microsoft Argentina, advirtió que las empresas van a tener que comenzar a revisar diversas herramientas informáticas porque puede que muchas no estén en sintonía con lo que marca la ley. “En el caso del correo si bien uno no puede revisar la correspondencia tradicional, sí puede meterse en el servidor y revisar el contenido”, señaló. “El administrador de sistemas va a ser clave porque de él dependerán las herramientas que pueden generar o no legalidad”, afirmó. Para Avín, el empresario argentino tiene hoy su sistema de correo con herramientas que permiten revisar los correos. O sea, no está haciendo nada que el software no permita hacerlo “pero eso mismo –advirtió-- ahora pasará a ser ilegal. De este modo, lo que entrará en juego es el comportamiento del empresario”. Con relación
a los cambios que motivará la ley, estimó que se deberá encarar “un análisis
importante no sólo del lado del usuario empresarial, sino también del
usuario de Internet en general. La ley no implicará tanto un cambio de
software sino más bien un cambio en la actitud de los empresarios. Seguramente
habrá nuevas herramientas que permitan adecuarse a la ley. El problema
de esas herramientas, en todo caso, está en cómo son utilizadas”, concluyó.
Beliera señaló que también se debe “estudiar el orden dentro de las empresas. Porque se puede decir que la información que desarrolla una persona dentro de una organización por un tema contractual es un trabajo en pos del negocio de la empresa. De ahí --subrayó-- que haya que definir qué es propiedad intelectual y qué es información confidencial del usuario en la empresa. Pero inclusive en esos casos siempre se pueden dar grises”. Avín recordó
que hubo “algunas malas experiencias con la ley de datos personales”,
y afirmó que la ley “regula el manejo de la información, pero se siguen
viendo en sitios de Internet públicos en los que se ofrecen bases de datos
de la Argentina. Y eso es ilegal”. Para el consultor de Microsoft, “todo
irá mejor de acuerdo a la fuerza con la que se haga cumplir la ley. Otro
problema, y ya en el caso de los jueces, es la falta de educación en el
tema. Dependerán mucho de sus asesores”.
La cuestión
según Vila es la siguiente: “Hoy el proveedor opera recibiendo
y correo y reenviándolo, pero en ese trayecto puede leerlo. En
la actualidad es así. Ahora el proveedor tendrá que cambiar su manera
de trabajo y sumarse a lo que sucede en el resto de los países. Por ley
ahora está prohibido que tengan la facultad de leer tu correspondencia”.
Con este fundamento la magistrada había rechazado la presentación de un abogado que denunció, precisamente, que le habían “hackeado” su cuenta de correo electrónico. La jueza entendió
que la legislación no preveía episodios de esta naturaleza, por lo que
consideró que se trataba de una “conducta atípica” y, en consecuencia,
no punible. La magistrada había formulado una exhortación indirecta al Poder Legislativo para que subsane el vacío legal en relación con los delitos informáticos.
Así, Ricardo Weschler, fiscal de la Cámara Nacional de Casación Penal, consideró que “hackear información del correo electrónico constituye delito" y aseguró que "no cree que haya vacío legal”. Según el funcionario,
la Corte tipificó estas conductas como delito y, aunque falta especificación,
“toda violencia contra la privacidad constituye delito contra la libertad”. Para Gregorio Badeni, Profesor titular de Derecho Constitucional de la Universidad de Buenos Aires, la conducta no sancionada en aquel momento vulneraba las garantías consagradas en los artículos 18 y 19 de la Constitución Nacional. El constitucionalista
consideraba, además, que la conducta no castigada se encontraba tipificada
en el artículo 153 del Código Penal, por lo que descartaba que existiera
vacío normativo en la materia.
En ese sentido pueden mencionarse la sentencia dictada por la Sala I de la Cámara del Crimen en el caso “Grimberg” (2003) y la sentencia fallada por la Sala VI de la misma Cámara en el caso “Lanata”. De la misma
manera se manifestaron las Salas VIII y X de la Cámara laboral en los
casos “Pereyra” (2003) y “Vestiditos S.A.” (2003)
|
