Cuatro grupos de expertos advirtieron que el dictamen de la Iniciativa 6347, Ley de Ciberseguridad, presenta riesgos por tener un modelo centrado en seguridad nacional, militarización y opacidad en la fiscalización. En este contexto, Ana Isabel Antillón, de la mesa de Certeza Jurídica de Guatemala No Se Detiene —uno de los centros que publicó su análisis— amplió a Prensa Libre puntos que preocupan desde la sociedad civil la regulación que se busca aprobar.

La iniciativa podría ser conocida en tercera lectura este martes 30 de septiembre en el pleno del Congreso de la República.

Otros organismos que se pronunciaron fueron la Alianza por un Congreso Eficiente, la Alianza Técnica de Apoyo al Legislativo (ATAL) y el bufete de abogados ALTA. Señalan que la gobernanza propuesta carece de coordinación clara entre instituciones y excluye a la sociedad civil, la academia y al sector privado, lo que debilita la legitimidad del ente rector y aleja la iniciativa de las buenas prácticas internacionales.

Este es un extracto de la conversación que Antillón tuvo con Prensa Libre, quien aboga por revisar penas y conceptos de los ciberdelitos que tipifica el dictamen.

¿Cuáles son los vacíos que ven a nivel de certeza jurídica en el texto de Ley de Ciberseguridad?

Hemos identificado algunos desafíos en el texto de la ley respecto a su concepción y estructura sobre cómo debe llevarse a cabo la ciberseguridad, partiendo del órgano de coordinación.

Encontramos que las entidades encargadas de coordinar acciones de prevención de ataques cibernéticos suelen ser de carácter civil o con gobernanza mixta, es decir, con participación del sector público, privado y de la sociedad civil, porque es un tema que involucra a todos. Muchas de las infraestructuras digitales relevantes para estos procesos pertenecen al sector privado.

Por otro lado, la normativa también incluye los denominados ciberdelitos, es decir, delitos cometidos en el ciberespacio. La forma en que están regulados actualmente amerita una revisión, pues deberían abordarse como reformas al Código Penal. Además de enfocar la redacción en ese sentido, es necesario revisar las penas, ya que algunas podrían resultar excesivamente altas y generar desproporción, como ya lo han señalado ciertos centros especializados.

Asimismo, la redacción hace referencia a otros delitos contemplados en el Código Penal que no concuerdan. Incluso, uno de los artículos mencionados ya fue declarado inconstitucional por la Corte de Constitucionalidad.

¿Cuáles considera que deben ser los mecanismos de control ciudadano?

La efectiva rendición de cuentas, si se maneja desde un marco de seguridad nacional, no es viable, porque la información quedaría siempre como reservada, aun cuando cierta parte de ella es útil para las entidades de la sociedad civil. Esa información permite conocer de dónde provienen los ataques y preparar a instituciones, sector privado, empresas y organizaciones para responder, ya que también pueden ser víctimas. En consecuencia, el proceso de rendición de cuentas ante el Congreso de la República se dificultaría en cierto nivel. Claro está, hay asuntos que son de seguridad nacional y que la Constitución protege.

Sin embargo, sí existe un nivel de información que debería manejarse y al cual la población puede tener acceso. Otro aspecto preocupante es el de las compras públicas, que también se consideran de carácter reservado.

Para usted, ¿qué tipo de modelo de autoridad de ciberseguridad sería más adecuado para Guatemala, tomando en cuenta las experiencias de otros países?

El tema de la gobernanza es, en general, una decisión política que debe asumir el país. Sin embargo, es una discusión en la que deben participar distintas entidades: la academia, el sector privado, las organizaciones de la sociedad civil y, por supuesto, las instituciones públicas.

Desde nuestra perspectiva, podría adoptarse un modelo que dependa, por ejemplo, de un Ministerio de Gobernación. No obstante, nos sentimos más cómodos con la creación de una nueva entidad autónoma que lleve este control. También podría ubicarse en otro ministerio, siempre que exista un consejo con participación de los actores mencionados. La academia, en particular, tiene hoy mucho que aportar: universidades con carreras, estudios y publicaciones sobre el tema. En Guatemala, la academia tiene un valor importante y debería ser parte de la toma de decisiones.

Otro aspecto que se ha criticado bastante en esta ley, y que usted misma mencionaba, es el de las compras públicas bajo reserva. ¿Cuáles son los problemas o los principales retos que podrían enfrentarse a partir de tener las compras públicas bajo reserva?

Se puede conocer que se está adquiriendo cierto tipo de tecnología, pero las características específicas son las que se vuelven reservadas. No todo el proceso de compra, sino únicamente las especificaciones técnicas. De lo contrario, no habría manera de saber qué tipo de software o hardware se está comprando, ni tampoco a quién o a qué país se adquiere esa tecnología.

Las compras pueden ir desde computadoras hasta software muy sofisticado. En ese sentido, considero que deberían establecerse criterios claros para definir qué adquisiciones corresponden realmente a seguridad nacional.

Para efectos de las compras, la propia Ley de Contrataciones del Estado debería contemplar estas características. Actualmente, por ejemplo, el Ejército compra sin estar sujeto a reservas. Por ello, es necesario precisar en qué casos una compra puede catalogarse como de seguridad nacional y quién tiene la potestad de hacer esa clasificación.

¿Cómo considera que podrían redactarse de mejor manera estos tipos penales para que respeten la ley que se tenía con anterioridad?

Como país debemos fortalecer la asistencia técnica legislativa de calidad para los diputados, facilitándoles ejercicios de derecho comparado y mostrando cómo otros países aplican estas normas. Existen convenios internacionales que contemplan este tipo de delitos y sería útil reflexionar sobre su redacción, pensando en una verdadera política criminal. Guatemala cuenta con expertos en derecho penal que pueden ayudar a redactar tipos penales más precisos y evitar leyes penales en blanco, como sucede en la propuesta actual. En delitos como propiedad intelectual, abuso sexual o pornografía infantil, se hace referencia a otras normas, sin definir en el propio texto cuál es la conducta delictiva.

En cuanto a prevención, una de las críticas recurrentes es que la ley se centra en sancionar una vez cometido el delito, pero no establece un régimen preventivo. Para ello, es necesario invertir en formación y desarrollo de capital humano, así como fortalecer equipos técnicos en las instituciones. También deben realizarse ejercicios controlados que pongan a prueba los sistemas, identifiquen debilidades y permitan ajustes, además de establecer protocolos y estándares mínimos que las instituciones deben cumplir para mantenerse alertas ante posibles ataques.

La generación de boletines sobre tecnologías y orígenes de los ataques es fundamental. Asimismo, debería contemplarse la aplicación de sanciones administrativas si no se cumplen los protocolos establecidos. De esa manera, se cerrarían los espacios que facilitan la comisión de delitos cibernéticos. Y, si estos ocurren, entraría en vigor la parte sancionatoria ya prevista como reformas al Código Penal.

¿Cuáles son los delitos, o analizando la tipificación de ciberdelitos que se menciona en la ley que usted considera que tal vez podrían redactarse de una mejor manera?

Todos los delitos necesitan una revisión de redacción para mejorarse e incorporarse con mayor claridad. Sin embargo, me preocupan especialmente dos artículos. El artículo 13, que se refiere a los delitos de propiedad intelectual, establece un aumento de las penas, pero remite directamente a la ley de propiedad intelectual. Por eso insisto en que es una ley penal en blanco: no define en el propio texto cuál es la conducta que se sanciona en el Código Penal. Este es muy específico, y necesitamos tipificar con claridad la conducta que se desea sancionar. De lo contrario, cuando llegue a tribunales, la justicia no podrá aplicarse correctamente por falta de precisión en los textos.

El otro es el artículo 14, sobre pornografía infantil. Señala que cuando se utilizan sistemas informáticos o tecnologías de la información para cometer delitos tipificados en ciertos artículos del Código Penal, se aplican sanciones. Sin embargo, hace referencia, por ejemplo, al artículo 196, que ya fue declarado inconstitucional dentro del expediente 1021-2002.

Ese tipo de situaciones se encuentran en el dictamen, por lo que se requiere una revisión completa de toda la normativa.

¿Considera necesario que se regrese esta propuesta de ley a comisión para su reevaluación y ajustes necesarios?

Creo que la mejor forma de hacer una discusión más detallada, como le mencionaba, tomando en cuenta los aportes de diversas entidades, sería facilitar el retorno del dictamen a la comisión.