Tarea 2: Investigue sobre leyes, políticas e iniciativas de su país (u otro país limítrofe) vinculadas con ciberseguridad. ¿Cuántas se concentran principalmente en el ciberdelito? ¿Qué aspectos de ciberseguridad se indican como los más acuciantes para su país? ¿Hay alguna mención con respecto al modo en que las leyes, políticas, estrategias y/o iniciativas contribuirán a proteger derechos, como el derecho a la privacidad? ¿Qué grado de apertura a la sociedad civil y el público tuvo el proceso de formulación de estrategias? Incluya sus comentarios en la página de debate correspondiente.
Las políticas y leyes que regulan el tema de ciberseguridad y ciberdefensa son:
- CONPES 3701 de 2011: sobre Lineamientos CiberSeguridad y Ciberdefensa que determina las directrices de las políticas públicas a desarrollarse sobre el tema. Entre otras cosas, decreta la creación de cuatro organizaciones para la protección del país en el entorno digital, como es Agencia Nacional de Seguridad Cibernética que cuenta con el Grupo de Respuesta a Emergencias Cibernéticas de Colombia (COLCERT).
El CONPES también evidencia la necesidad de crear fiscalías especializadas en ciberdelitos y entrenar jueces para que sepan manejar casos de este tipo. Además autoriza la creación de la Plataforma Única de Monitoreo y Análisis (Puma). - Ley 527 de 1999: Sobre la validez jurídica y probatoria de la información electrónica, lo que incluye comercio electrónico y firma digital.
- Ley 594 de 2000: Es la ley General de Archivos que estipula los criterios de Seguridad para archivos del Estado.
- Ley 906 de 2004 (Código procedimiento Penal): El artículo 236 permite la recuperación de información en Internet cuando el fiscal tenga motivos fundados para inferir que hay información útil para la investigación.
- Ley 1273 de 2008. Es la ley de Delitos Informáticos y protección del bien jurídico tutelado que en este caso es la información.
- Ley 1266 de 2008: Es la ley de Habeas data financiera, estipula los estándares de seguridad en datos personales.
- Ley 1341 de 2009: Determina el marco general de las políticas en TIC lo que incluye protección al usuario, calidad de servicio y las potestades del Estado en la regulación, control y vigilancia de las redes y espectro radioeléctrico.
- Resolución 3066 de 2011: Régimen general de protección de los derechos de los usuarios de los Servicios de comunicaciones.
- Ley 1453 de 2011: Reforma el Código Penal y el Código de Procedimiento Penal en materia de seguridad. Por ejemplo regula el procedimiento para la intercepciones legales por parte de autoridades encargadas y la retención, análisis y custodia de información transmitida a través de redes de telecomunicaciones.
Se encuentran también los delitos cibernéticos de pornografía infantil. - Ley 1480 de 2011: Sobre la Protección al consumidor por medios electrónicos, es decir en transacciones electrónicas
- Ley estatutaria 1581 de 2012: Es la ley sobre Protección de datos personales.
- Ley estatutaria 1621 de 2013: Fortalece el marco jurídico que permite a los organismos de inteligencia y contrainteligencia cumplir con su misión institucional. Entre las disposiciones se encuentra la regulación de los centros de información de datos archivos para que sea dentro de lo establecido por la Constitución Política.
- Ley 1712 de 2014: es la ley de Transparencia en el acceso a la información pública nacional.
Aunque la anterior es una lista general (faltan algunos decretos que regulan el tema) se puede evidenciar que existen leyes con políticas muy claras sobre ciberdelito y ciberseguridad, comenzando con un documento maestro como es el CONPES hasta leyes como la 1621 sobre inteligencia. De la lista se puede observar también que hay leyes que procuran la protección de los usuarios de Internet como es la ley de Habeas Data y la ley 1453 sobre intercepciones legales en el marco de investigaciones penales.
La apertura de escenarios de discusión para esta clase de políticas ha sido reducido y a pesar de los escándalos dentro del gobierno colombiano aún no hay políticas claras para la vigilancia dentro Internet en pro de la protección del Estado que tenga en cuenta estándares o principios para proteger derechos humanos.
Las leyes, políticas e iniciativas que tienen que tienen relación con el tema de ciberseguridad en Colombia son:
- El plan nacional de ciberseguridad que posteriormente dio lugar a la creación del Grupo de Respuesta a Emergencias Cibernéticas de Colombia (coICERT) y el Centro Cibernético Policial (CCP) y que es abarcado en el CONPES 3701 de 2011 y que establece los Lineamientos de política para la Ciberseguridad y Ciberdefensa. De este conpes se desprende la Agenda estratégica de innovación: ciberseguridad.
- El Decreto 0032 de 2013 “Por la cual se crea la Comisión Nacional Digital y de Información Estatal”.
- La Ley 1273 de 2008 por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado “de la protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones.
- La Ley 1341 de 2009 por la cual se definen Principios y conceptos sobre la sociedad de la información y la organización de las Tecnologías de la Información y las Comunicaciones -TIC-, se crea la Agencia Nacional del Espectro y se dictan otras disposiciones"
Estas fueron las que me parecieron mas pertinentes renombrar, teniendo en cuenta que la compañera Karen Cabrera nombra varias leyes y políticas referentes al tema.
Frente al proceso de formulación de estrategias, en el 2014 el Ministerio de las TIC abrió convocatoria para iniciativas de industria tic y academia que fortalezcan ciberseguridad en el Estado que se realizó en cooperación con Colciencias, con el proposito de promover nodos de innovación como puntos de encuentro colaborativos para generar espacios de concertación y diseño de soluciones para impulsar la innovación y promover el uso y apropiación de TIC en las entidades del Estado.
A pesar de lo anterior, concuerdo con Karen en que la apertura de de escenarios de escenarios de discusión para esta clase de políticas ha sido reducida.
ARGENTINA:
Recientemente, durante la 3ª Conferencia y Taller Internacional de la República Argentina sobre Ciberseguridad, realizada por la Oficina Nacional de Tecnologías de la Información (ONTI) y la OEA, se anunció que Argentina se integra a la Red 24/7 sobre Delitos de Alta Tecnología, iniciativa coordinada por la OEA. El objetivo de la Red, es la conservación de datos que son de fundamental necesidad para la investigación de un delito que cruza fronteras.
Cabe destacar que la ONTI, dependiente de la Jefatura de Gabinete de Ministros, se constituye como el organismo responsable a nivel nacional de establecer los lineamientos y programas en materia de seguridad de la información en la Administración Pública Nacional. Dentro de dicha Oficina, en 2011 se puso en marcha Programa Nacional de Infraestructuras Criticas de Información y Ciberseguridad (ICIC), con el propósito principal de desarrollar las políticas y regulaciones asociadas a la protección de las infraestructuras estratégicas de la información del Estado.
En términos de uso de los conceptos, cabe destacar que, sin perjuicio de otros aspectos, el Director de la ONTI ha destacado en varios congresos la mala utilización del término hacker/crackers.
Por otro lado, en 2008, se sancionó en Argentina la Ley 26.388 de Delitos Informáticos, que modifica artículos del Códido Penal. Entre otras cosas, se considera como delito el acceso indebido a las comunicaciones electrónicas. En este punto, hay una referencia al derecho a la privacidad y protección de datos personales presente en nuestra normativa.También se condena a quienes accedieran “por cualquier medio, sin la debida autorización o excediendo la que posea, a un sistema o dato informático de acceso restringido”.
La sociedad civil es critica al modo en que el Estado trata y protege la información personal de los ciudadanos. Entre algunos hechos, podemos destacar que en el año 2010 un ciberataque contra el sitio web de la Administración Federal de Ingresos Públicos (AFIP) se produjo un fallo en la validación de datos y el acceso a los datos personales de los contribuyentes, tales como copia del DNI, firma y huella digital. También existieron fallas en la publicación de los padrones en Internet que permitió que sea posible la descarga de padrones completos con fotografías.
No obstante, considero que en estos temas, no existe una apertura hacia la sociedad civil y al público en general.
BRASIL
2014
Ley N ° 12965 del 23 de abril 2014
Establece principios, garantías, derechos y deberes para el uso de Internet en Brasil.
http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm
2013
Decreto N ° 7962 del 15 de marzo de 2013
Regula la Ley Nº 8078, de 11 de septiembre de 1990, para disponer la contratación en el comercio electrónico.
http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2013/Decreto/D7962.htm
2012
Ley N ° 12.737 de 30 de noviembre de 2012
Se prevé la tipificación penal de los delitos informáticos; se modifica el Decreto-Ley N ° 2848 del 7 de diciembre 1940 - Código Penal; y otras medidas.
http://www.planalto.gov.br/CCIVIL_03/_Ato2011-2014/2012/Lei/L12737.htm
2011
Ley N ° 12.527 de 18 de noviembre de 2011
Regula el acceso a la información bajo el punto XXXIII del art. 5, inciso II, § 3 del art. 37 y § 2 del art. 216 de la Constitución Federal.
http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2011/Lei/L12527.htm
2010
Ley N ° 12.270 de 24 de junio de 2010
Provee de concesiones del país u otras obligaciones de suspender las medidas relativas a los derechos de propiedad intelectual y otros, en los casos de incumplimiento del Convenio Constitutivo las obligaciones de la Organización Mundial del Comercio.
https://www.planalto.gov.br/ccivil_03/_ato2007-2010/2010/lei/l12270.htm
2009
Ley N ° 11.900, de 8 de Enero de 2009
Prevé la posibilidad de llevar a cabo el examen y otros actos procesales por sistema de videoconferencia, y otras medidas.
http://www.planalto.gov.br/ccivil_03/_Ato2007-2010/2008/Lei/L11829.htm
Creo que estos son las leyes más relevantes y recientes en Brasil sobre la tecnología y la seguridad pública. La ley de 2014 es muy sofisticado. He hablado de ello en los módulos anteriores. Se hizo en conjunto con la sociedad civil. Algunas personas lo llaman de “constitución de la Internet”. Creo que el nombre es un poco exagerado, pero a través de ella podemos tener una idea de su importancia.
Costa Rica
La Ley 9048 de Delitos Informáticos contempla diferentes aspectos sobre ciberseguridad. Según datos de la Universidad de Costa Rica "se establecen nuevos tipos penales como suplantación de identidad, suplantación de páginas electrónicas e instalación o propagación de programas informáticos maliciosos. También se contemplan otros delitos como la violación de correspondencia y datos personales, extorsión, estafa informática, daño informático y espionaje. Con lo anterior, se busca no sólo la protección de personas físicas, sino también de personas jurídicas.
Otra novedad de la ley es que las penas son más altas para las personas que sean encargadas de administrar o dar soporte a un sistema o red informática y comentan un delito, dado su conocimiento técnico y el acceso que poseen a la información."
Sin embargo, existe polémica en su aplicación en tanto contiene algunos artículos un tanto algunos artículos se cree que vulneran la libertad de prensa. Así que la sociedad civil se ha movilizado recientemente contra esas posiciones, ya que no se creo dicha legislación con el nivel de participación ciudadana deseado.
Algunas posiciones críticas al respecto http://www.ucr.ac.cr/noticias/2012/08/21/expertos-creen-que-ley-de-delitos-informaticos.html
Brasil:
A mí me gustaria hacer una pequeña contribución a @assumpcaovictor.
Es la ley 12.735:
La Ley Azeredo, o 12735, es discutida desde el comienzo de la última década en mi país. De la redacción original, considerada demasiado restrictiva – daba a los proveedores la función de supervisar los usuarios, por ejemplo –, sólo restaran cuatro artículos. Ella penaliza las “conductas realizadas por el uso del sistema electrónico, digital o similar, que se comete contra los sistemas informáticos y similares.” La ley también dice que los órganos de la policía judicial estructurarán “sectores y equipos especializados para combatir el acto criminal en la red de ordenadores, equipo de comunicación o sistema de información”.
http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2012/Lei/L12735.htm
Como bien lo menciona la compañera @CarolinaSanchez de Costa Rica, la ley 9048 es con la que contamos por el momento y la que hace referencia a los posibles delitos informaticos, y a las sanciones dependiendo de la acción cometida.
Me llama mucho la atención que en Colombia exista tanto avance en reglamentos tan específicos sobre el tema, sin duda alguna un país como Costa Rica puede aprender mucho de esta legislación.
@CarolinaSanchez muy interesante el artículo que proporcionaste. Me parece curioso que hayan tenido ayuda técnica de la Unión Europea -cuyos marcos legales tienden a proteger y garantizar los derechos humanos como la libertad de expresión-,no se hayan opuesto a la elaboración del artículo 288 sobre espionaje informático, que pareciera estar construido fines políticos o para atentar contra la libertad de expresión y la labor periodística.
Para el curso, según el link que proporcionó @CarolinaSanchez, dicho artículo plantea: “Será reprimido con prisión de cuatro a ocho años al que procure u obtenga indebidamente informaciones secretas políticas o de los cuerpos de policía nacionales o de seguridad concernientes a los medios de defensa o a las relaciones exteriores de la nación, o afecte la lucha contra el narcotráfico o el crimen organizado”.
@assumpcaovictor Excelente resumen Victor!
@kicabrerap y @JHOAN1993 también pueden revisar el Concepto 2015015431-001 del 27 de marzo de 2015 Superintendencia Financiera de Colombia, que menciona en cierta medida el tema de ciberseguridad, ya que menciona los capítulos de la Circular Básica Jurídica que contienen los requerimientos generales sobre seguridad y calidad de la información, documentación de las operaciones, actualización de software, entre otros aspectos.
En el Ecuador no existe una normativa que regule los elementos y herramientas de internet, es por ello que se necesita u marco regulatorio y de modernización del tema jurídico; en el Código Orgánico Integral Penal COIP, se introdujeron delitos relacionados con el entorno digital pero no se abordo la creación de un glosario o profundizar en temas de avanzada como la ciberseguridad; ciberpaz; ciberguerra; etc.
En el país la privacidad es un tema que cada vez toma más importancia, sobre todo ya que en esta último semestre se han bajado contenidos sin procesos administrativos ni judiciales, entonces lo más interesante del tema de ciberseguridad es pensar en un marco jurídico que regule este y varios conceptos afines.
Una de las acciones políticas relacionadas con la ciberseguridad ha sido el asilo político a Julian Assange en la embajada Ecuatoriana en Londrés, sin embargo al mismo tiempo el Gobierno ha tenido cambio de criterios con personas a quienes se les ha cerrado sus cuentas en redes sociales, evidenciando una contradición.
En cuanto a la privacidad aún hay una deuda de su reconocimiento en la Constitución, derecho tanto en el ámbito análogo y digital.
Una interesante propuesta se acaba de presentar ante la Asamblea Legislativa un proyecto de ley llamado Código Ingenios, Código de la Economía social de los Conocimientos y la Innovación, en éste código se declara al internet como un servicio básico, esta normativa ingenios se lo realizo a través de un proceso de wiki legislación teniendo muy buena acogida y realizando un proceso democrático de acceso a la información y la participación. Este proyecto de ley reforma la ley de propiedad intelectual y tiene avances significativos en temas de limitaciones y excepciones al derecho de autor.
Hola o/ En el Perú, las políticas públicas en torno a la Ciberseguridad son muy incipientes. De hecho, la primera iniciativa de empezar a legislar acerca de estos temas fue en 2012 en una Convención sobre Defensa.
Dicha iniciativa dio como fruto que en 2013 se lanzara el Plan Nacional de Gobierno Electrónico de 2013-2017, en donde se definen términos como los de ciberseguridad, http://www.ongei.gob.pe/docs/Política_Nacional_de_Gobierno_Electronico_2013_2017.pdf
Más allá de ese plan, otras leyes que han tocado este tópico son las penales. Está aquí la Ley 30096 de “Delitos Informáticos” que crea tipos penales para regular estos supuestos delictivos. http://cipher.pe/download/Ley-30096-Ley-de-Delitos-Informaticos.pdf
En Argentina en lo referente a los delitos informáticos en el código penal, existía un proyecto de ley del 2001, pero no fue tomado en cuenta, el país cuenta con una historia de procastinacion legislativa en muchos campos, y esta no fue la excepción. En 2006 se viola la privacidad de periodistas, jueces y personajes muy importantes del ambiente político (http://edant.clarin.com/diario/2006/05/11/elpais/p-01001.htm) debido a ello se comienza el análisis de diferentes proyectos que culminan en la ley 26.388 (http://www.infoleg.gob.ar/infolegInternet/anexos/140000-144999/141790/norma.htm) que trata el delito de ofrecimiento y distribucion de pornografia infantil, violacion de secretos y privacidad. estafa informatica, daños a bienes intangibles y distribucion de virus, interrupcion de comunicaciones electronicas y alteracion de pruebas.
aprobada despues de que gran parte del sector empresarial de las nuevas tecnologías hiciera mucho lobby para frenar la regulación, aun la que ampara su infraestructura informática como lo hace dicha ley.
En 2013 se aprueba una ley que condena el Grooming o como se lo llama desde ciertos sectores del estado “Ciberhostigamiento” (http://www.infoleg.gob.ar/infolegInternet/anexos/220000-224999/223586/norma.htm)
En Ciudad Autonoma de Buenos Aires existe la unidad fiscal de ciberdelitos, la cual brinda soporte a diferentes unidades del país, y es uno de los sectores mas avanzados en el tema que existen, trabajan de manera coordinada con Interpol, G8, FBI y demás organizaciones, el trabajo realizado en cuanto a delitos informáticos es muy interesante y adjunto el link de un informe elaborado por ellos.
http://delitosinformaticos.fiscalias.gob.ar/wp-content/uploads/2014/02/CyberCrime-Informe-Final-2013-flip.pdf
En Bolivia, en septiembre del año 2014, la Autoridad de Regulación y fiscalización de Telecomunicaciones y Transportes (ATT) conjuntamente con la Unión International de Telecomunicaciones (UIT) y la International Multilateral Partnership against Cyber Threats (IMPACT), organizaron un seminario-taller en la ciudad de La Paz con el objeto de capacitar a interesados técnicos sobre ciber-seguridad, y esperar que emerja un grupo que pueda asesorar sobre directrices de ciber-seguridad a niveles estatales. Como resultado del mencionado taller se analizó la necesidad de crear un Centro Nacional Cibernético. El motivante principal eran las conclusiones del mencionado seminario donde los participantes determinaron que Bolivia (como todos los Estados del mundo) puede ser objeto de ataques cibernéticos, y que era necesario crear una institución que analice esta posibilidad.
Personalmente no participé del mencionado seminario, sin embargo las organizaciones y comunidades tecnológicas no fueron invitadas, excepto la fundación “Redes” misma que resulta ser un Spin-off de la Agencia para el Desarrollo de la Sociedad de la Información en Bolivia (ADSIB), y algunas esferas gubernamentales, y un grupo de la universidad estatal. Sin embargo, no se sabe mucho de esta entidad, desde la comunicación oficial mediante rueda de prensa del planeamiento de su creación. Si bien los procesos en Bolivia son particularmente lentos, es posible que este tema se esté manejando en niveles más altos del Estado, ya que son temas que conciernen la seguridad nacional y otros temas relativos a la seguridad e interés público, y hasta militar.
Como mencioné anteriormente, el código penal Boliviano prevé dos tipos penales que protegen a la ciudadanía, pero que ofrecen poca adaptación a la posible conducta de un hacker, cracker, moder, espía, y/u otras personas que pudieren vulnerar la seguridad computacional o tecnológica, ya sea de privados o del sector público en general. La carencia de la definición de algunos temas en cuanto al mundo cibernético y al ciberespacio en general, hacen complicada la situación.
En calidad de abogado Comercial e informático tengo a muchos ingenieros que me preguntan si pueden legalmente ofrecer servicios de ethical hacking en territorio boliviano. Para responderles es necesaria una mirada detallada de su modelo de negocio y de su actividad de oferta y de trabajo mismo. Si aún no tenemos definidos muchos aspectos, el sector público es capaz de interpretar cualesquier oferta de servicio de ethical hacking como una posible vulneración o vulnerabilidad automática, y el sector publico suele recaer en sus técnicos de planta para tratar de asegurar la “seguridad” de su entorno informático y de sus sistemas.
Pienso que si algún grupo incluso pequeño de personas ejerciera un ataque sobre Bolivia, estilo DoS, no existiría una política clara, ni un momento preciso donde se sepa con seguridad que los sistemas están nuevamente seguros.
Por otro lado la inseguridad y la ignorancia del ciudadano de a pie hace sumamente complicado el crecimiento de iniciativas informáticas y del comercio electrónico. Los usuarios temen usar sus tarjetas de crédito en el internet (en Bolivia es necesario llamar al banco para que el Banco habilite su uso por internet, ya que existe también inseguridad por parte del regulador y del mismo banco sobre el uso legal de la tarjeta de crédito en instancias de internet. Los bancos en este tema siguen dando pasos de Bebé porque están inseguras de las posibilidades legales y técnicas. Sin duda los bancos contratan servicios de importantes empresas del extranjero para resguardar los datos de sus usuarios.
Alternamente la comunidad de ethical hacking y de hacklabs está creciendo significativamente en Bolivia. Me parece que la normativa no debe tardar en llegar, pero la verdad también siento que esto no es una prioridad del gobierno actual, aparentemente ocupado en cosas distintas. La indiferencia de la población civil es parcial, ya que se siente que las personas buscan cada vez más, sobre todo a través de dispositivos móviles alternativas comerciales en Internet; pero el uso del celular o pagar a través de internet sigue siendo un tema aparte para algunos pioneros que entienden los pasos de cuidado que deben tener al usar su tarjeta en internet. Y es que carencia de conocimiento de conceptos de ciber-espacio, ciber-delitos, y otros temas, hacen difícil el entendimiento de la población.
La necesidad de ley y definiciones se hace notar también en el desarrollo de startups que carecen de un marco jurídico claro. Si bien el gobierno dice dar pasos hacia un gobierno digital, de vez en cuando actualizando sistemas y ofreciendo servicios a través del internet, es necesario que el gobierno reconozca que no estamos bien en el tema, y que necesitamos una política pública relacionada a la ciber-seguridad, y posteriormente un cuerpo normativo que establezca las directrices.