Modificación del Código Procesal Penal: obtención de pruebas en delitos informáticos

cracker_informatico

 

PROYECTO DE LEY

El Senado y la Cámarade Diputados de la Nación, reunidos en el Congreso de la Nación, sancionan con fuerza de ley:

ARTÍCULO 1°.‑ Incorpórase como artículo 185 bis del Código Procesal Penal de la Nación el siguiente artículo con su correspondiente epígrafe:

Secuestro de dispositivos de almacenamiento informático: Prohibición.

ARTÍCULO 185 bis.- Los funcionarios de la policía y fuerzas de seguridad no podrán acceder a los dispositivos de almacenamiento informático que secuestren, sino que los remitirán intactos a la autoridad judicial competente; sin embargo, en los casos urgentes, podrán dirigirse a la más inmediata, la que autorizará el acceso si lo creyere oportuno.

ARTÍCULO 2°.- Sustitúyese el artículo 224 del Código Procesal Penal de la Nación por el siguiente:

ARTÍCULO 224.- Si hubiere motivo para presumir que en determinado lugar existen cosas vinculadas a la investigación del delito, o que allí puede efectuarse la detención del imputado o de alguna persona evadida o sospechada de criminalidad, el juez ordenará por auto fundado el registro de ese lugar.

El juez podrá proceder personalmente o delegar la diligencia en el fiscal o en los funcionarios de la policía o de las fuerzas de seguridad. En caso de delegación, expedirá una orden de allanamiento escrita, que contendrá: la identificación de causa en la que se libra; la indicación concreta del lugar o lugares que habrán de ser registrados; la finalidad con que se practicará el registro y la autoridad que lo llevará a cabo. El funcionario actuante labrará un acta conforme lo normado por los artículos 138 y 139 de este Código.

En caso de urgencia, cuando medie delegación de la diligencia, la comunicación de la orden a quien se le encomiende el allanamiento podrá realizarse por medios electrónicos. El destinatario de la orden comunicará inmediatamente su recepción al juez emisor y corroborará que los datos de la orden, referidos en el párrafo anterior, sean correctos. Podrá usarse la firma digital. La Corte Suprema de Justicia de la Nación, o el órgano en que ésta delegue dicha facultad, reglamentará los recaudos que deban adoptarse para asegurar la seriedad, certidumbre y autenticidad del procedimiento.

Cuando, por existir evidente riesgo para la seguridad de los testigos del procedimiento, fuese necesario que la autoridad preventora ingrese al lugar primeramente, se dejará constancia explicativa de ello en el acta, bajo pena de nulidad.

Si en estricto cumplimiento de la orden de allanamiento, se encontrare objetos que evidencien la comisión de un delito distinto al que motivó la orden, se procederá a su secuestro y se le comunicará al juez o fiscal interviniente.

En el caso de que en la diligencia se hallaran dispositivos de almacenamiento informático y hubiere motivos suficientes para presumir que estos pudieren contener datos relativos a la investigación, el juez ordenará su secuestro. Para el caso en que no fuera posible, ordenará que se obtenga una copia forense de tal dispositivo o, en su caso, que se conserven los datos en él contenidos de conformidad con las disposiciones establecidas en el artículo 232 ter, tercer párrafo. El registro de el o los dispositivos hallados no podrá extenderse más allá del objeto de la orden respectiva, bajo pena de nulidad.

ARTICULO 3°.- Incorpórase, como artículo 224 bis del Código Procesal Penal de la Nación, el siguiente artículo con su correspondiente epígrafe:

Registro de dispositivos de almacenamiento informático.

ARTÍCULO 224 bis.- Si existieren motivos para presumir que un dispositivo de almacenamiento informático contiene datos relativos a la investigación y fuera posible el registro de tal dispositivo por medios técnicos y en forma remota, así se ordenará con los mismos recaudos del artículo anterior. En tal caso, su objeto deberá estar precisamente detallado, bajo pena de nulidad.

ARTÍCULO 4°.- Sustitúyese el artículo 230 del Código Procesal Penal de la Nación por el siguiente:

ARTÍCULO 230.- El juez ordenará la requisa de una persona, mediante decreto fundado, siempre que haya motivos suficientes para presumir que oculta en su cuerpo cosas relacionadas con un delito. Antes de proceder a la medida podrá invitársela a exhibir el objeto de que se trate.

Si el objeto se tratase de un dispositivo de almacenamiento de datos informáticos, el decreto deberá asimismo individualizarlo y proceder de conformidad con lo establecido en el artículo 224.

Las requisas se practicarán separadamente, respetando el pudor de las personas. Si se hicieren sobre una mujer serán efectuadas por otra.

La operación se hará constar en acta que firmará el requisado; si no la suscribiere, se indicará la causa. La negativa de la persona que haya de ser objeto de la requisa no obstará a esta, salvo que mediaren causas justificadas.”

ARTÍCULO 5°.- Sustitúyese el artículo 231 del Código Procesal Penal de la Nación por el siguiente:

ARTÍCULO 231.- El juez podrá disponer el secuestro de las cosas relacionadas con el delito, las sujetas a decomiso o aquellas que puedan servir como medios de prueba.

Sin embargo, esta medida será dispuesta y cumplida por los funcionarios de la policía o de las fuerzas de seguridad, cuando el hallazgo de esas cosas fuera resultado de un allanamiento o de una requisa personal o inspección en los términos del artículo 230 bis, dejando constancia de ello en el acta respectiva y dando cuenta inmediata del procedimiento realizado al juez o al fiscal intervinientes.

Cuando lo que se secuestre sea un dispositivo de almacenamiento informático la diligencia se realizará de la forma prevista en el artículo 224, último párrafo.

ARTÍCULO 6°.- Incorpórase como artículo 232 bis del Código Procesal Penal de la Nación el siguiente artículo con su correspondiente epígrafe:

Orden de presentación de datos contenidos en un dispositivo de almacenamiento informático y de datos de usuarios y/o abonados.

ARTÍCULO 232 bis.- El juez, o el fiscal cuando se encuentre a cargo de la investigación, podrá ordenar por auto fundado, a cualquier persona física o jurídica, la presentación de datos contenidos en un dispositivo de almacenamiento informático que esté bajo su poder o control y al que pueda acceder.

Asimismo, podrá ordenar, a toda persona física o jurídica que preste un servicio a distancia por vía electrónica, la entrega de la información que esté bajo su poder o control referida a los usuarios y/o abonados o los datos con los que cuente de los usuarios y/o abonados a dicho servicio.”

ARTÍCULO 7°.- Incorpórase como artículo 232 ter del Código Procesal Penal de la Nación el siguiente artículo con su correspondiente epígrafe:

Orden de conservación de datos contenidos en un dispositivo de almacenamiento informático.

ARTICULO 232 ter.- El juez, o el fiscal cuando se encuentre a cargo de la investigación, podrá ordenar por auto fundado, a cualquier persona física o jurídica, la conservación y protección de datos contenidos en un dispositivo de almacenamiento informático cuando existan razones para suponer que esos datos puedan ser modificados o eliminados.

La orden deberá incluir con el mayor detalle posible los datos contenidos en un dispositivo de almacenamiento informático a preservar y el tiempo de conservación de los mismos, que podrá alcanzar el término máximo de NOVENTA (90) días, prorrogable por otro idéntico, siempre que se mantengan los motivos que dieron origen como fundamento a la orden.

Durante el cumplimiento de la orden, su destinatario deberá adoptar todas las medidas técnicas y organizativas de seguridad necesarias para que aquella se mantenga en secreto.

ARTÍCULO 8°.- Incorpórase como artículo 236 bis del Código Procesal Penal de la Nación el siguiente artículo con su correspondiente epígrafe:

Intercepción de datos informáticos.

ARTÍCULO 236 bis. El juez podrá ordenar, por auto fundado, la obtención, aun en tiempo real, del contenido de las comunicaciones transmitidas por un sistema informático, para impedirlas o conocerlas.

Bajo las mismas condiciones, el juez podrá ordenar también la obtención, aún en tiempo real, de los datos de tráfico correspondientes a esas comunicaciones.

ARTÍCULO 9°.- Invítase a las Provincias y a la Ciudad Autónoma de Buenos Aires a revisar sus legislaciones procesales a efectos de concordarlas con las disposiciones contenidas en la presente.

 

ARTICULO 10°.‑ Comuníquese al Poder Ejecutivo Nacional.

 

FUNDAMENTOS

Señor presidente:

El presente proyecto de ley está enmarcado dentro de una serie de iniciativas que se están llevando adelante desde hace tiempo, de conformidad con las más avanzadas propuestas que se han venido desarrollando, en el ámbito internacional, en materia de cibercriminalidad y obtención de pruebas digitales.

En ese sentido, no está de más recordar que el 23 de noviembre de 2001, en la ciudad de Budapest, Hungría, los Estados miembros del Consejo de Europa y otros Estados firmantes elaboraron y suscribieron el Convenio sobre cibercriminalidad (“Convenio de Budapest”), en el que se abordó la temática vinculada con los delitos cometidos a través del uso de las nuevas tecnologías de la información y las comunicaciones, y que consta de diversas secciones que abarcan cuestiones referidas al derecho penal sustantivo, al derecho procesal penal y a la cooperación internacional.

A raíz de ello, durante el primer semestre de 2008, personal del Ministerio de Relaciones Exteriores, Comercio Internacional y Culto; del Ministerio de Justicia y Derechos Humanos; de la Oficina Nacional de Tecnologías de Información dependiente de la Subsecretaría de Tecnologías de Gestión de la Secretaría de Gestión Pública de la Jefatura de Gabinete de Ministros; del Ministerio Público Fiscal de la Nación; representantes del sector académico, del privado y expertos en general realizaron una labor de revisión del articulado de la Convención de Budapest, determinaron su grado de receptividad en las normas vigentes en nuestro país e identificaron posibles puntos de conflicto.

El 4 de junio de 2008 se sancionó la Ley N° 26.388, por la cual se modificó el Código Penal Argentino mediante la incorporación de un conjunto de delitos vinculados con la criminalidad informática, a saber: producción, financiación, comercialización, publicación, divulgación, distribución, entre otros hechos típicos, de pornografía infantil; apoderamiento, acceso, supresión, interrupción, obstrucción, entorpecimiento o desvío indebido de una comunicación electrónica; acceso indebido a bases de datos privadas y/o restringidas; publicación indebida de comunicación electrónica; revelación de secretos; acceso ilegítimo a bancos de datos personales; inserción ilegítima de datos personales; defraudación y/o estafa perpetrada mediante la manipulación de un medio informático; alteración del normal funcionamiento de sistemas; alteración, destrucción y/o inutilización de documentos, programas y sistemas informáticos; venta, distribución o introducción de programas destinados a hacer daño en un sistema informático; sustracción, alteración, ocultamiento, destrucción o inutilización de objetos destinados a servir de prueba ante la autoridad competente, y de registros o documentos confiados a la custodia de un funcionario público o de otra persona en el interés del servicio público.

Posteriormente, en el marco de la Conferencia sobre Cooperación contra el Cibercrimen (Octopus Interface Conference: Cooperation against Cybercrime) –organizada por el Consejo de Europa y desarrollada entre los días 23 y 25 de marzo de 2010 en Estrasburgo, Francia–, la delegación argentina hizo entrega, a las autoridades del mencionado organismo regional, de la solicitud del Jefe de Gabinete de Ministros para que el país fuese invitado a acceder al Convenio de Budapest. A tal fin, la reforma introducida por la Ley N° 26.388 al Código Penal, antes referida, fue presentada como cumplimiento suficiente del requisito de adecuación de la ley de fondo a los parámetros de esta Convención.

Luego, el Jefe de Gabinete de Ministros y el Ministro de Justicia y Derechos Humanos, de manera conjunta y como continuación de la labor oportunamente iniciada desde la Subsecretaría de Tecnologías de Gestión, crearon una Comisión Técnica Asesora en Materia de Cibercrimen, bajo la coordinación de esta última y de la Subsecretaría de Política Criminal, con el fin de desarrollar y formular una propuesta en relación con las cuestiones procesales requeridas para hacer efectiva la lucha contra esa tipología de delitos, y para el tratamiento de las pruebas digitales respecto de esas infracciones y de cualquier otro delito.

Así, el 20 de septiembre de 2010 el Consejo de Europa, luego de un proceso de consulta de estilo, remitió la invitación para que la República Argentina accediese al Convenio de Budapest.

Es por lo hasta aquí expuesto que se propicia el presente proyecto de ley. Como antes se refirió, el capítulo procesal es una parte importante del Convenio de Budapest (ver sección segunda del capítulo 2) y tiene una funcionalidad clara: sus previsiones no se limitan solo al ciberdelito, sino que permiten la investigación de cualquier otro delito (ver artículo 14.2).

En ese sentido, esta reforma resulta por demás oportuna puesto que, si bien en nuestro ámbito rige el principio de libertad probatoria, la aplicación analógica de algunas de las reglas contenidas en los capítulos 2 y 3 del Título 3 del Libro Segundo del Código Procesal Penal de la Nación ha derivado en soluciones contrapuestas para casos idénticos.

De manera concordante con la encomiable tipificación de los delitos que hizo la ley 26.388, es necesario regular normas procesales que permitan a los operadores del sistema una eficaz persecución de la cibercriminalidad. Debe tenerse en cuenta que la investigación de estos delitos importa una actividad probatoria diferente de la que generalmente se despliega alrededor de la actividad delictual convencional. Consiguientemente, a fin de que la investigación y eventual sanción de estos delitos no sea infructuosa, se propicia incorporar al Código Procesal Penal reglas que, sin dejar de lado las garantías constitucionales referidas al control de la prueba que se incorpora al proceso, posibiliten su cautela de manera inmediata y eficaz.

El combate al delito novedoso que irrumpe se hará más eficaz, a la par que justo, a medida que, para su uso como prueba, la ocupación de efectos tecnológicos (dispositivos almacenadores de memoria o telecomunicaciones registradas) se realice con todas las garantías; que los datos y la información que sirven en el proceso se obtengan legítimamente, clonándolos con su resumen digital correspondiente; que los peritos que analizan las trazas, rastros y destinos de la información en Internet integren una red de expertos que auxilien con sus conocimientos la tarea diaria de nuestros Tribunales.

En primer lugar, en el proyecto se plantea el agregado de una prohibición de idénticas características a la contenida en el artículo 185 del Código Procesal Penal de la Nación, pero referida a los dispositivos de almacenamiento informático (DAI, que pueden ser desde un simple pendrive hasta los servidores de empresas, organismos públicos o proveedores de Internet, es decir, cualquier dispositivo con memoria de almacenamiento de datos informáticos), con el objeto de no alterar su sistematicidad.

Luego, ya específicamente en lo que respecta a las previsiones del Convenio de Budapest y a su receptación, se plantea la modificación del artículo 224 del aludido código de rito por vía del agregado de dos párrafos finales vinculados con el hallazgo de dispositivos de almacenamiento informático, y con la obtención de una copia forense de estos o, en su caso, el secuestro de dichos dispositivos (ver artículo 19 del Convenio de Budapest). La copia forense es la que no altera los datos existentes en el dispositivo como, por ejemplo: fecha de creación, modificación o borrado de los documentos. El secuestro, a su vez, puede ser impracticable por el tamaño del dispositivo (un servidor completo), por lo que se prevé la medida de conservación de los datos.

La referencia que la modificación hace al nuevo art. 232 ter, tercer párr. alude a la obligación del destinatario de la orden de conservación de los datos y de adoptar las medidas de seguridad tendientes a mantener el secreto de la orden, destinada a no desbaratar la finalidad de la medida judicial dispuesta. Es importante tener en cuenta que, para asegurar el imperio de las garantías constitucionales, la norma bajo comentario conmina con la nulidad cualquier exceso en el objeto de la orden; esto es así dado que existe la posibilidad de acceder a información almacenada por el imputado que no guarde relación con el delito investigado, y de este modo violar su privacidad.

En el mismo sentido, se prevé el agregado de un artículo –224 bis– que, específicamente vinculado con los dispositivos de almacenamiento informático, prevé la posibilidad de ordenar el registro remoto de aquellos salvaguardando, como en el caso anterior, el derecho a la privacidad del encartado, exigiendo la norma que el objeto de la medida probatoria sea pormenorizado.

En lo que respecta a la requisa personal regulada en el artículo 230 del Código Procesal Penal de la Nación, se prevé la incorporación de un segundo párrafo vinculado con el hallazgo de un dispositivo de almacenamiento informático y la remisión, para la actuación, a las reglas del artículo 224 ya referidas.

Asimismo, y con el fin ya mencionado de conservar la sistematicidad del Código Procesal Penal de la Nación, se prevé el agregado de un último párrafo al artículo 231 para el supuesto de que lo secuestrado sea un dispositivo de almacenamiento informático; caso en el que, nuevamente, deberá estarse a las reglas contenidas en el artículo 224, cuya reforma también se postula.

Con el fin de adecuar acabadamente nuestro código de rito a las previsiones del instrumento internacional de referencia, se ha proyectado la previsión de la orden de presentación de datos contenidos en un dispositivo de almacenamiento informático y de datos relativos a los usuarios de servicios a distancia por vía electrónica –artículo 232 bis, ver artículo 18 del Convenio de Budapest–, y de la orden de conservación y protección de datos contenidos en un dispositivo de almacenamiento informático –artículo 232 ter, ver artículos 16 y 17 del Convenio de Budapest–.

En cuanto al art. 232 bis, debe mencionarse que también faculta a los fiscales para ordenar la medida si están a cargo de la investigación. En el supuesto del primer párrafo deberá tratarse de datos relacionados con el delito que se esté investigando, ya que el artículo se inserta entre las medidas de coerción dispuestas por la ley procesal penal que fulminan con la nulidad a las pruebas obtenidas excediendo dicho objeto. Como sostiene el art. 15 de la Convención de Budapest, estos procedimientos deberán asegurar, en la medida de lo posible, la supervisión judicial u otras formas de supervisión independiente, la motivación justificante de la aplicación, la limitación del ámbito de aplicación, y la duración del poder o del procedimiento en cuestión. En relación con el segundo parágrafo, la cuestión se torna aun más sensible por el derecho a la privacidad. En este tipo de investigaciones será ineludible requerir a los proveedores de internet los datos relativos a los abonados cuyas conexiones aparezcan involucradas en la investigación del delito. Estos datos pueden ser los de identidad, domicilio, los relacionados con la facturación y pago del servicio, y cualquier otra información relativa al lugar donde se ubican los equipos informáticos. El artículo bajo análisis importa un avance que redunda en dos sentidos: no implica el secuestro de los dispositivos de almacenamiento informático con el consiguiente perjuicio que se irrogaría al imputado, a la vez que posibilita actuar de manera inmediata de acuerdo con las específicas modalidades de comisión de los delitos informáticos.

El art. 232 ter es un corolario del anterior, puesto que regula la posibilidad de cautelar elementos probatorios que por su naturaleza pueden desaparecer irremisiblemente de manera fugaz. La conservación de datos se conoce como quick freeze; para graficar su utilidad, puede decirse que sería correctamente dispuesta si, por ejemplo, se estuviesen tomando medidas simultáneas con distintos servidores y se necesitase conservar unos datos hasta la obtención de otros que podrían confirmar ciertas hipótesis de investigación. La regla no comprende datos de contenido, mas sí se refiere a los denominados datos de tráfico de las comunicaciones electrónicas, básicamente direcciones IP del emisor y del receptor de la comunicación o de visitantes de páginas web, y fecha, hora y huso horario de la conexión.

Finalmente, se proyecta el agregado de un artículo vinculado con la obtención en tiempo real –mientras está ocurriendo– del contenido de las comunicaciones transmitidas por un sistema informático y de los datos de tráfico correspondientes a esas comunicaciones –artículo 236 bis, ver artículos 20 y 21 del Convenio de Budapest–.

A esta altura no está de más destacar que si bien, como antes se refirió, la reforma que se propicia está vinculada con la necesidad de llenar en lo inmediato un vacío legal en la materia, el contenido de este proyecto guarda concordancia y coherencia con las reglas previstas en el Proyecto de Código Procesal Penal de la Nación elaborado por la Comisión Asesora para la Reforma de la Legislación Procesal Penal –Decreto N° 115/2007– en la que estuvieron representados el estamento judicial, el político, el académico, y de la que formaron parte los más importantes especialistas en la materia.

Por lo expuesto, teniendo en cuenta los consensos existentes en consultas formuladas a fuerzas de seguridad y proveedores de servicios electrónicos, y a otras instituciones y sectores interesados de la sociedad, la iniciativa propuesta fortalecerá los mecanismos de prueba previstos en nuestro código de forma en materia penal, de modo de adecuarlo a los más modernos estándares internacionales. Indudablemente, el esfuerzo de los Estados para ampliar su política criminal y la persecución de delitos no convencionales en cuanto a las especiales modalidades de comisión debe ir acompañado, como se sostuvo, de necesarias reglas procesales para brindar seguridad y claridad a las investigaciones que se lleven a cabo. Hay que tener en cuenta que la realidad siempre va a la vanguardia de la normas, y que el carácter novedoso de la cibercriminalidad hace que se elaboren y reelaboren normas tendientes a captar una realidad que pocas décadas atrás se desconocía. Asimismo, para posibilitar la cooperación internacional y honrar los compromisos del Estado Nacional en cuanto a la persecución de esta actividad delictual, es preciso contar con herramientas procesales como las del presente proyecto.

En base a los fundamentos explicitados, solicito a mis pares acompañen el presente proyecto de ley.