La iniciativa de ley 6347 de ciberseguridad, que recibió dictamen favorable este 26 de agosto por parte de la Comisión de Asuntos de Seguridad Nacional del Congreso, propone tipificar al menos una docena de nuevos delitos y reforzar otros ya contemplados en la legislación vigente.

Según Ana Antillón, coordinadora de la mesa de Certeza Jurídica de Guatemala No Se Detiene, el país ha estado rezagado en materia legislativa relacionada con la transformación digital, especialmente en aspectos como la protección de datos e información.

Mario Menéndez, asesor de la comisión, explicó que todos los delitos incluidos en la propuesta son nuevos, aunque algunos se asemejan a tipos penales existentes, con la diferencia de que están vinculados al entorno digital.

Jorge Mario Villagrán, presidente de dicha comisión, informó que las penas para estos delitos oscilarán entre seis y 30 años de prisión. No obstante, Menéndez advirtió que, debido a la acumulación de delitos de esta índole, los jueces podrían imponer penas mayores.

Según el dictamen, se destaca la creación de una fiscalía especializada en Ciberdelincuencia, esta competencia será la encargada de la investigación penal, formulación de requerimientos y el litigio de los delitos contemplados en el ámbito digital. Asimismo, la red 24/7, señala José Pablo Mendoza, diputado ponente de la iniciativa, es una ventanilla específica que tendría el Ministerio Público, especializada y exclusivamente para atender a los delitos cibernéticos.

Delitos propuestos en la iniciativa de ley de ciberseguridad

Según el dictamen favorable emitido por la Comisión de Asuntos de Seguridad Nacional del Congreso, los delitos ligados al ámbito digital que serían tipificados como ciberdelitos en la iniciativa de ley 6347 son los siguientes:

Artículo 274

Se sancionará a quien:

• Fije, reproduzca o retransmita una difusión transmitida por satélite, radio, hilo, cable o fibra óptica sin autorización del titular de los derechos.
• Comunique al público una difusión o transmisión en un sitio accesible mediante pago de admisión o con fines de consumo, sin autorización del titular de los derechos.
• Manufacture, ensamble o modifique dispositivos o sistemas —tangibles o intangibles— que puedan utilizarse para decodificar señales de satélite codificadas.
• Distribuya, borre, altere o dañe registros informáticos.
• Altere, borre o inutilice instrucciones o programas utilizados por computadoras.
• Copie o reproduzca, sin autorización del autor, instrucciones o programas de computación.
• Cree bancos de datos o registros informáticos con información que pueda afectar la intimidad de las personas.
• Utilice registros informáticos o programas para ocultar, alterar o distorsionar información relevante para actividades comerciales, obligaciones con el Estado o para falsear estados contables o patrimoniales de personas físicas o jurídicas.
• Obtenga o utilice, sin autorización, datos contenidos en registros informáticos, bancos de datos o archivos electrónicos.
• Distribuya o difunda programas o instrucciones destructivas que puedan perjudicar registros, programas o equipos informáticos.
• Altere el número proveniente de un operador extranjero de telefonía utilizado exclusivamente para tráfico internacional.

Artículo 275

Se sancionará a:

• Personas individuales o jurídicas que comercialicen terminales móviles reportadas como robadas.
• Quien reprograme o modifique el Número Serial Electrónico de terminales móviles.

Artículo 303

Se castigará a quien posea medicamentos, productos farmacéuticos, dispositivos médicos o material médico quirúrgico producidos fraudulentamente que se distribuyan por cualquier medio, incluyendo los electrónicos o informáticos.

Delitos agravados por el uso de tecnología

La iniciativa también refuerza figuras penales ya existentes, incorporando elementos tecnológicos que agravan su ejecución:

Artículo 173

Actos con fines sexuales o eróticos, sin constituir violación, cometidos mediante violencia física o psicológica. Se tipifica como delito en todos los casos cuando la víctima sea menor de 14 años o tenga una incapacidad volitiva o cognitiva.

Artículo 188

Ejecutar o hacer ejecutar actos sexuales frente a personas menores de edad o con incapacidad volitiva o cognitiva.

Artículo 189

• Permitir a menores de edad presenciar espectáculos sexuales reservados para adultos.
• Distribuir o permitir el acceso de menores a material pornográfico.

Artículo 190

Violación a la intimidad sexual: acceso, uso o modificación de datos de contenido sexual en perjuicio de terceros.

Artículo 193

Producción o fabricación de material pornográfico con imagen o voz real o simulada de menores de edad o personas con incapacidad volitiva.

Artículo 195 Bis

Comercialización o difusión de material pornográfico de menores o personas con incapacidad volitiva.

Artículo 195 Ter

Posesión o adquisición consciente de material pornográfico de menores o personas con incapacidad volitiva.

Artículo 196

Publicaciones o espectáculos obscenos que atenten contra la moral por su exposición a menores de edad o al público en general.

Pilares de la iniciativa de ley de ciberseguridad

Carlos Cuéllar, miembro de Bancert (en inglés, Banking Computer Emergency Response Team, o la plataforma de ciberseguridad de la comunidad bancaria de Guatemala), indicó que anteriormente la legislación en materia de ciberseguridad era ambigua, por lo que fue necesario ajustarla y alinearla con los estándares internacionales establecidos por el Convenio de Budapest. Cuéllar añadió que el objetivo de contar con una ley marco es facilitar el apoyo internacional en caso de crisis cibernéticas.

Mendoza, explicó que esta se sustenta en tres pilares fundamentales: la tipificación de delitos con sus respectivas penas de prisión, la creación del Centro de Respuesta a Incidentes de Seguridad Informática de Guatemala (C-SIRT-GT) y el establecimiento de una red 24/7.

Según el dictamen, el C-SIRT-GT sería la entidad responsable de la detección, análisis, gestión y respuesta ante incidentes de ciberseguridad en todo el territorio nacional. Además, tendría a su cargo el monitoreo permanente para atender incidentes cibernéticos, garantizar la continuidad operativa y el rendimiento de la red, así como brindar servicios proactivos y reactivos en materia de seguridad informática.

Antillón, indicó que esta institución deberá contar con equipos especializados en la atención de ataques cibernéticos. Agregó que cada entidad deberá tener su propio centro de respuesta a incidentes, algunos de carácter sectorial.

Próximos pasos para la aprobación de la ley

Villagrán afirmó que solicitarán a la junta directiva del Congreso que la iniciativa de ley sea conocida en el pleno el martes de la próxima semana.

Por su parte, el diputado José Pablo Mendoza indicó que el dictamen fue respaldado por tres bancadas distintas, lo que, en su opinión, facilitará los acuerdos y consensos necesarios para su aprobación.

Antillón, advirtió que, aunque se trata de una norma urgente, la ley contempla un plazo de entre 90 y 120 días tras su aprobación para establecer la institucionalidad pública y preparar a las entidades responsables para su implementación.

Del mismo modo, Cuéllar aseguró que la ley tiene carácter de urgencia nacional, ya que, además de tipificar los delitos, permitirá darles seguimiento y aplicar las sanciones correspondientes.