ASPECTOS LEGALES DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y EL COMERCIO ELECTRÓNICO. MÓDULO VI SESIÓN 4

Transcripción

1 ASPECTOS LEGALES DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y EL COMERCIO ELECTRÓNICO. MÓDULO VI SESIÓN 4 V. Perspectiva internacional a) Organización de las Naciones Unidas (ONU) y Unión Internacional de Telecomunicaciones (UIT) La Asamblea General de las Naciones Unidas ha considerado el tema de los delitos informáticos y de la ciberseguridad como un asunto prioritario para la comunidad internacional y ha desarrollado diversos instrumentos para abordarlos. El Manual de las Naciones Unidas para la prevención y control de delitos informáticos señala que cuando el problema delictivo se eleva a la escena internacional, se magnifican los inconvenientes y las insuficiencias, debido a que los delitos informáticos constituyen una nueva forma de crimen internacional y su combate requiere de una eficaz cooperación global concentrada para concretar: i) acuerdos globales acerca del tipo de conductas que deben tipificarse; ii) acuerdos respecto de la definición de los delitos; iii) uniformidad en las leyes sustantivas y procesales de las distintas jurisdicciones; iv) tratados de extradición, y vi) tratados de asistencia legal mutua 1, por mencionar los más importantes. Adicionalmente, la Asamblea General de las Naciones Unidas ha adoptado las siguientes resoluciones en materia de ciberseguridad: i) Resolución aprobada por la Asamblea General A/RES/55/63 del 22 de Enero de 2001 sobre la lucha contra la utilización de la tecnología de la información con fines delictivos 2 ; 1 Otro mecanismo de cooperación internacional a falta de tratados de asistencia legal mutua consiste en la utilización de Cartas Rogatorias en virtud de las cuales una autoridad judicial de un país solicita a su homólogo de otro país apoyo para un caso determinado. 2 Disponible en: 1

2 ii) Resolución aprobada por la Asamblea General A/RES/56/121 del 23 de Enero de 2002 sobre la lucha contra la utilización de la tecnología de la información con fines delictivos; iii) Resolución aprobada por la Asamblea General A/RES/57/239/ del 31 de Enero de 2003 sobre la creación de una cultura global de la ciberseguridad 3, y iv) Resolución aprobada por la Asamblea General A/RES/58/199/ del 30 de Enero de 2004 sobre la creación de una cultura mundial de seguridad cibernética y protección de las infraestructuras de información esenciales. Posteriormente, en el seno de la Cumbre Mundial de la Sociedad de la Información en el ámbito de la Agenda de Túnez de 2005, coordinada preponderantemente por la UIT, se adoptaron los siguientes compromisos en materia de ciberseguridad por parte de los gobiernos participantes, incluidos desde luego el mexicano: 39. Pretendemos crear confianza de los usuarios y seguridad en la utilización de las TIC fortaleciendo el marco de confianza. Reafirmamos la necesidad de continuar promoviendo, desarrollando e implementando en colaboración con todas las partes interesadas una cultura mundial de ciberseguridad, como se indica en la Resolución 57/239 de la Asamblea General de las Naciones Unidas y en otros marcos regionales relevantes. Esta cultura requiere acción nacional y un incremento de la cooperación internacional para fortalecer la seguridad mejorando al mismo tiempo la protección de la información, privacidad y datos personales. El desarrollo continuo de la cultura de ciberseguridad debería mejorar el acceso y el comercio y debe tener en cuenta el nivel de desarrollo social y económico de cada país y respetar los aspectos orientados al desarrollo de la Sociedad de la Información. 40. Destacamos la importancia de enjuiciar la ciberdelincuencia, incluida la que se produce en una jurisdicción pero repercute en otra. Destacamos además la necesidad de concebir instrumentos y mecanismos nacionales e internacionales eficaces y eficientes, 3 Disponible en 2

3 para promover la cooperación internacional, entre otros, de los organismos encargados de aplicar la ley en materia de ciberdelincuencia. Instamos a los gobiernos a que, en cooperación con otras partes interesadas, promulguen leyes que hagan posible la investigación y enjuiciamiento de la ciberdelincuencia, respetando los marcos vigentes, por ejemplo, las Resoluciones de la Asamblea General de las Naciones Unidas 55/63 y 56/121 sobre la lucha contra la utilización de la tecnología de la información con fines delictivos y el Convenio sobre el Delito Cibernético del Consejo de Europa. 41. Estamos decididos a hacer frente eficazmente al problema cada vez más importante que plantea el correo basura. Tomamos nota de los actuales marcos multilaterales de cooperación regional e internacional de las distintas partes interesadas en materia de correo basura, por ejemplo, la Estrategia contra el correo basura del APEC, el Plan de Acción de Londres, el Memorándum de Entendimiento de Seúl- Melbourne contra el Correo Basura, así como las actividades que realizan en este ámbito la OCDE y la UIT. Exhortamos a todas las partes interesadas a que adopten un enfoque multidimensional para contrarrestar el correo basura, en el que se incluya, entre otras medidas, la educación del consumidor y de las empresas así como el establecimiento de una legislación adecuada y de los organismos y mecanismos necesarios para aplicar esas leyes, el perfeccionamiento permanente de las medidas técnicas y autorreguladoras, las prácticas idóneas, y la cooperación internacional. Las declaraciones precitadas fueron abordadas en las siguientes líneas de acción: C5. Creación de confianza y seguridad en la utilización de las TIC ; C6. Entorno habilitador, y C7. Aplicaciones de las TIC: ventajas en todos los aspectos de la vida del Plan de Acción hacia la Segunda Fase de la CMSI en Túnez (2005), a raíz de los cuales la UIT desarrolló la Agenda sobre Ciberseguridad Global. 3

4 En el ámbito regional, los gobiernos latinoamericanos han desarrollado los Planes de Acción de la Sociedad de la Información en América Latina y el Caribe 4, elac 2007 y elac 2010, instrumentados bajo la coordinación de la Comisión Económica para América Latina y el Caribe (CEPAL) de las Naciones Unidas. El Grupo de Trabajo No. 2 de elac, tiene la encomienda de promover y adoptar una estrategia regional para establecer condiciones de seguridad en las redes de telecomunicaciones con miras a garantizar los derechos ciudadanos como la privacidad y además mejorar la seguridad de las transacciones y prevenir acciones delictivas contra de la seguridad de los Estados, que incorpora los esfuerzos realizados en el seno de la Organización de Estados Americanos (OEA). El Grupo de Trabajo No. 2 ha advertido que la ciberdelincuencia no es causa de la falta de normatividad, ya que a nivel internacional existe la voluntad reglamentaria de controlarla. La dificultad y complejidad se encuentra en los trabajos que hay que realizar y los medios que se requieren para alcanzar los objetivos para combatir la ciberdelincuencia y el crimen organizado. b) Consejo de Europa El Convenio sobre Ciberdelincuencia adoptado por el Consejo de Europa 5, es un instrumento normativo supranacional avalado por los Estados participantes en la Cumbre de la Sociedad de la Información que aborda los siguientes temas: 1. Derecho penal: infracciones a la confidencialidad, integridad y disponibilidad de los datos y sistemas informáticos; infracciones informáticas; infracciones relacionadas con los ataques a la propiedad intelectual y derechos afines. 2. Derecho procesal que establece medidas para lograr el almacenamiento rápido de datos informáticos y de datos relativos al tráfico; así como la divulgación rápida a las autoridades competentes; la conservación y protección de la integridad de los datos durante el tiempo necesario que las autoridades competentes requieran para 4 Véase: 5 El Convenio fue aadoptado el 23 de noviembre de 2001 y entró en vigor en julio de 2004, tras su ratificación por cinco Estados. Localizado en: 4

5 allegarse de ellos; el mandato de presentación de la información; la captura y registro de datos almacenados; la recogida de los datos en tiempo real; la protección adecuada de los derechos humanos y las libertades fundamentales. 3. Los Estados están obligados a adoptar las medidas legislativas, o las que fueren necesarias, para sancionar con penalmente en sus leyes nacionales: a. El acceso deliberado e ilegítimo a la totalidad de un sistema o parte del mismo; b. La interceptación deliberada o ilegítima de los datos durante su transmisión no pública, con destino a un sistema, procedente de éste o en el interior del mismo; c. El hecho deliberado o ilegítimo de dañar, borrar, deteriorar, alterar o suprimir datos; d. La obstaculización grave deliberada e ilegítima del funcionamiento de un sistema; e. La producción, venta, obtención para uso, importación, difusión y otras formas de aprovechamiento de dispositivos concebidos o adaptados para realizar alguna de las infracciones citadas; f. La introducción, alteración, borrado o suspensión deliberada e ilegítima de datos, generando datos falsos, alteración, borrado o supresión de datos y toda forma de ataque al funcionamiento de un sistema con intención, dolosa o delictiva, de obtener ilegítimamente un beneficio económico para sí mismo o para un tercero; g. Fraude informático; h. Pornografía infantil; i. Delitos relacionados con infracciones a la propiedad intelectual y derechos afines. j. Se considera infracción penal la complicidad de las acciones así como la tentativa deliberada de realizarlas. 4. Los Estados deben establecer sus competencias respecto a las infracciones penales. 5. Reglas que afectan la cooperación internacional en materia de extradición, la colaboración con fines de investigación, los procedimientos relativos a las 5

6 infracciones penales relacionadas con los sistemas y datos informáticos, así como la recolección de pruebas de infracciones penales en formato electrónico. 6. Creación de una red de colaboración que esté disponible las 24 horas del día, los siete días de la semana y que cuente con un servicio de información nacional y con asistencia inmediata para las infracciones. Cabe mencionar, que en adición a los Estados miembros del Consejo de Europa, también han suscrito la Convención Canadá, Estados Unidos, Japón y Sudáfrica, cuestión que merece especial atención, toda vez que la ratificación de este instrumento por parte de México favorecería enormemente la consolidación del régimen legal del TLCAN, con independencia de la necesidad de adaptar las leyes nacionales para incorporar los principios de la Convención en nuestra legislación sustantiva y procesal. c) OCDE Dentro de los trabajos relevantes de la OCDE en materia de seguridad de la información, es preciso considerar las Directrices sobre Políticas Públicas en materia de Criptografía de 1998, que tienen dentro de sus objetivos centrales el promocionar el uso de la criptografía para: i) fomentar la confianza en las infraestructuras, redes y sistemas de información y comunicaciones; ii) contribuir a garantizar la seguridad de los datos, y iii) proteger la intimidad en las infraestructuras de información y comunicaciones, tanto nacionales como mundiales. Adicionalmente, las Directrices para la Seguridad de los Sistemas de Información y las Redes 6 publicadas en julio de 2002, establecen los siguientes mandatos para los Estados Miembro: 1. Deben estar conscientes de la necesidad de garantizar la seguridad de los sistemas y redes de información y de las acciones que se requieren para reforzar la seguridad. 2. Deben responsabilizarse de la seguridad de los sistemas y de la redes de información. 6 Disponibles en: 6

7 3. Deben actuar con rapidez y con ánimo de cooperación para prevenir, detectar y responder a los incidentes de seguridad. 4. Deben respetar los intereses legítimos de las demás partes interesadas. 5. Deben coadyuvar para que la seguridad de los sistemas y de las redes de información sean compatibles con los valores de una sociedad democrática. 6. Deben evaluar los riesgos. 7. Deben integrar la seguridad como elemento esencial de los sistemas y redes de información. 8. Adoptar una solución global de gestión de la seguridad. 9. Deben examinar y revaluar la seguridad de los sistemas y redes de información así como introducir las modificaciones adecuadas en sus políticas, prácticas, medidas y procedimientos de seguridad. Adicionalmente, el Grupo de Trabajo de la OCDE sobre la seguridad de la información y la vida privada, ha llevado a cabo importantes contribuciones respecto de los instrumentos y proyectos que a continuación se indican, a efecto de fortalecer la confianza de los usuarios en línea y promover el comercio electrónico: 1. Declaración Ministerial de Ottawa sobre Autenticación para el Comercio Electrónico (1998); 2. Directrices para la Protección de los Consumidores de Prácticas Comerciales Transfronterizas Fraudulentas y Engañosas; 3. Encuesta sobre Marcos Legales y de Políticas Públicas para los Servicios de Autenticación en línea y Firmas Electrónicas en los países de la OCDE (2002/2003); 4. Foro Global sobre Seguridad en los Sistemas de Información y Redes (2003); 5. Encuesta sobre la instrumentación de las Guías de Seguridad de 2002 de la OCDE (2004); 7 6. Foro Internacional OCDE/APEC sobre Seguridad en los Sistemas de Información y Redes (2005); 7. Encuestas nacionales sobre políticas de Seguridad de la Información; 8. Promoción de una Cultura de Seguridad en los Países Miembros de la OCDE 7 Disponible en: 7

8 (2005); 8 9. Utilización de Autenticación a través de las Fronteras en los países Miembro de la OCDE (2005), y 10. Guías sobre Autenticación en Línea Tecnologías basadas en Biométricos. 11. Medición de la seguridad y confianza en el ambiente en línea utilizando datos oficiales (2008). 9 De igual forma, se encuentra colaborando en proyectos relacionados con: 12. La Administración de Identidad Digital; 13. Los Códigos Maliciosos, y 14. Un Marco Común para la instrumentación de Seguridad Informática y Privacidad. Durante la reunión Ministerial El Futuro de la Economía de Internet 10 se llevó a cabo una mesa redonda titulada: Building Confidence en donde se trataron algunos aspectos sobre ciberdelincuencia y el robo de identidad en los países miembros de la OCDE. La Declaración de Seúl para el Futuro de la Economía Internet 11 fue el resultado de dicha reunión Ministerial y contempla las siguientes recomendaciones en materia de seguridad y cibercrimen: c) Fortalecer la confianza y seguridad, a través de políticas que: Protejan las infraestructuras de información crítica contra los riesgos de la seguridad a nivel nacional e internacional. Reduzcan la actividad maliciosa en línea, a través del reforzamiento de la cooperación nacional e internacional entre todas las comunidades de los partícipes en su camino hacia una efectiva prevención, protección, intercambio de información y respuesta. Promuevan la investigación para responder a las amenazas de seguridad emergentes. 8 Véase en: 9 Disponible en: 10 Celebrada en Corea el 17 y 18 de Junio de Localizada en: 8

9 Incrementen la cooperación transfronteriza entre los gobiernos y las autoridades ejecutoras de la legislación en las áreas de mejora a la ciberseguridad, en el combate al spam, así como la protección de la privacidad, consumidores y menores de edad. d) APEC El Grupo de Trabajo sobre Seguridad Electrónica (APEC TEL e-security Task Group) cuyo mandato incluye la elaboración de políticas y recomendaciones, así como la implementación y el monitoreo de proyectos para fomentar la cooperación internacional y regional con otros organismos en materia de seguridad y ciberdelincuencia, lanzó en 2002, su Estrategia en materia de Ciberseguridad (APEC Cybersecurity Strategy) 12 que contiene diversas medidas y recomendaciones para proteger a las empresas y consumidores del cibercrimen y que refuerzan la confianza del consumidor respecto del uso de Internet y las transacciones de comercio electrónico. El 3 de junio de 2005, los Ministros de APEC aprobaron la Declaración de Lima y el Programa de Acción para el Grupo de Trabajo en Información y Telecomunicaciones de APEC. En ambos documentos se reconoció la importancia de garantizar la seguridad y la integridad de la infraestructura de las comunicaciones de la región del APEC, en particular de Internet, con el fin de reforzar la confianza y confidencialidad de los usuarios. Asimismo, se adoptaron los Principios para la Acción contra el Spam y las Pautas de implementación para la acción contra el Spam. El Programa de Acción plantea a las Economías miembro: i) Continuar las labores para instrumentar la Estrategia de Ciberseguridad y desarrollar una estrategia que la complemente como una guía para el trabajo futuro de APEC, para promover un ambiente en línea confiable, seguro y sustentable; ii) Reforzar las capacidades de las economías de APEC, incluyendo la mejora de la habilidad para responder y cooperar rápidamente frente a los incidentes de seguridad, y 12 Localizada en: 9

10 cuando sea necesario, conducir cursos de capacitación para mejorar la respuesta de los equipos de seguridad y de los equipos de respuesta a los incidentes computacionales; iii) Continuar con los esfuerzos para combatir el Ciberdelito; incluyendo las actividades maliciosas que atacan la infraestructura de redes y promover la construcción de capacidades contra las amenazas de los ciberdelincuentes; iv) Continuar su trabajo en materia de seguridad de la información para asegurar un ambiente en línea seguro, confiable, y sostenible, incluyendo las implicaciones de seguridad de las tecnologías emergentes; v) Desarrollar lineamientos que asistan a las economías para protegerse de ataques externos a los sistemas electrónicos de información y a la infraestructura y servicios esenciales, vi) Continuar el trabajo cooperativo con otras agencias en temas de seguridad, tales como la UIT, OCDE y la OEA, creando un ambiente seguro para el desarrollo de la sociedad de la información. e) Organización de Estados Americanos (OEA) La OEA es un organismo regional intergubernamental en el participan 42 países, y cuenta con un Grupo de Expertos en materia delitos informáticos, cuya información es publicada en el sitio Web: Portal Interamericano de Cooperación en Materia de Delito Cibernético. 13 La tarea principal del grupo de expertos consiste en elaborar un diagnóstico sobre las actividades delictivas vinculadas con las computadoras y la información en los Estados miembros; así como elaborar un reporte sobre el estado que guarda la legislación, las políticas y las prácticas nacionales de la materia El Grupo de Expertos contribuye al intercambio de conocimientos y experiencias para combatir los delitos informáticos en la región, fortaleciendo las capacidades de las autoridades de los Estados Miembros. En el seno de la OEA, se ha constituido la Comisión Interamericana de Telecomunicaciones (CITEL) que promueve la seguridad de la información en el ámbito de 13 Localizado en: 10

11 las redes de telecomunicaciones en la región. CITEL promueve la instrumentación de una cultura de ciberseguridad para proteger la infraestructura de las telecomunicaciones, aumentar la conciencia de los actores en la región y establecer sistemas de información para compartir datos relevantes sobre los riesgos e incidentes en materia de seguridad de la información para enfrentarlos de manera más eficiente. Durante la XXXIV Asamblea General de la OEA se adoptó la Estrategia Interamericana Integral para Combatir las Amenazas a la Seguridad Cibernética: Un enfoque multidimensional y multidisciplinario para crear una cultura de seguridad cibernética. La Estrategia se fundamenta en tres ejes fundamentales: i) La constitución de una red interamericana de alerta y vigilancia para difundir información sobre seguridad cibernética y para responder a crisis, incidentes y amenazas a la seguridad de las computadoras; ii) La implementación de normas técnicas que faciliten el desarrollo de redes y sistemas de información dignos de confianza y fiables; y iii) La adopción de marcos jurídicos nacionales que protejan los sistemas de información, impidan el uso de computadoras en actividades ilícitas y sancionen el delito cibernético. La Estrategia se apoya en los esfuerzos y conocimientos especializados del Comité Interamericano contra el Terrorismo (CICTE), la CITEL, y de la Reunión de Ministros de Justicia o Ministros o Procuradores Generales de las Américas (REMJA) y reconoce la necesidad de que todos los participantes y usuarios de las redes y sistemas de información tomen consciencia de sus funciones y responsabilidades para preservar la seguridad de las redes y fomentar una cultura de ciberseguridad a nivel regional. En materia de cooperación internacional, es importante destacar el Tratado de Asistencia Jurídica Mutua de la Organización de Estados Americanos, en virtud del cual todos los países miembro se obligan a conformar un grupo de cooperación procesal 24X7, es decir, que proporcione y reciba información las 24 horas de los siete días de la semana durante los 365 días del año. 11