Por: Jersain Llamas Covarrubias

El pasado 26 de enero de 2024 marcó un punto crítico en la seguridad de la información en México, cuando datos personales de más de 300 periodistas mexicanos que han o asisten a la famosa mañanera del Presidente de la República, fueron revelados sin autorización. Este ataque, que expuso documentos sensibles como pasaportes, credenciales electorales, RFC, direcciones y números de teléfono, plantea preguntas fundamentales sobre la legislación existente y la necesidad de abordar los vacíos legales en el ámbito de los ciberdelitos.

Al respecto, desde el enfoque normativo, la Ley General de Protección de Datos Personales en Posesión de los Sujetos Obligados (LGPDPPSO)[1], y en específico el artículo 66 de los Lineamientos Generales de Protección de Datos Personales para el Sector Público[2], indican que los responsables del sector público deben notificar al titular y al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) las vulneraciones de seguridad dentro de un plazo máximo de setenta y dos horas, a partir de que se confirme la ocurrencia de estas y se hayan comenzado a tomar las acciones encaminadas a detonar un proceso de mitigación de la afectación.

Y a pesar de que se iniciaron acciones inmediatas de atención de comunicación con los periodistas afectados[3], esto no era suficiente y se tenía que realizar la notificación formal de vulneración de seguridad, la cual fue atendida posteriormente, mediante la Coordinación General de Comunicación Social y Vocería del Gobierno de la República, que notificó a los periodistas afectados por el presunto hackeo y la filtración de la base de datos de la conferencia mañanera del presidente Andrés Manuel López Obrador mediante correo electrónico[4].

Ya se notificó, pero ahora ¿Qué sigue?

El Gobierno Federal, mediante rueda de prensa comunicó que “realizará la denuncia ante la fiscalía por este suceso por la acción de extracción ilegal de información”. Sin embargo, surge una pregunta crucial: ¿Qué delito se está cometiendo en este caso? ¿Qué ley contempla este delito?

En el Código Penal Federal[5], particularmente en el Título Noveno de la legislación mexicana aborda la Revelación de Secretos y el Acceso Ilícito a Sistemas y Equipos de Informática. En el Capítulo I, se establecen sanciones para quienes revelen secretos sin justificación, incluyendo penas específicas para revelación de secretos industriales. En el Capítulo II, relacionado con el Acceso Ilícito a Sistemas y Equipos de Informática, se imponen penas de prisión y multa para aquellos que accedan, modifiquen o destruyan información en sistemas protegidos. Se especifican sanciones para el acceso indebido a sistemas del Estado y de seguridad pública, con aumentos en las penas si la conducta obstaculiza la justicia o si la información se utiliza en beneficio propio o ajeno.

En el caso de la LGPDPPSO[6], contempla únicamente sanciones, mencionando diversas causas de sanción por incumplimiento de obligaciones, como actuar con negligencia en solicitudes de derechos ARCO, incumplir plazos, manipular datos personales, tratar datos en contravención a principios, entre otros. Ciertas conductas se consideran graves y en casos de presuntos delitos, se debe realizar una denuncia ante la autoridad competente.

No obstante, como se aprecia, la ley del sector público (LGPDPPSO) solo contempla sanciones. Y la diferencia fundamental entre una sanción y un delito radica en la gravedad y naturaleza de la conducta infractora. Un delito es una violación seria de las leyes penales, sujeta a castigos que pueden incluir multas o prisión, y es procesado a través del sistema de justicia penal. Por otro lado, una sanción se refiere a medidas correctivas o punitivas aplicadas por incumplimientos que, aunque no llegan al nivel de delito, violan normativas específicas en ámbitos como lo administrativo o disciplinario.

Por otra parte, se debe hacer la aclaración que, aunque la ley del sector privado en la materia de protección de datos, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP)[7], si contempla delitos; en el Capítulo XI referente a los Delitos en Materia del Tratamiento Indebido de Datos Personales, estableciendo que aquel que, estando autorizado para procesar datos personales con fines lucrativos, cause una violación de seguridad a las bases de datos bajo su custodia, y quien, con el objetivo de obtener beneficios indebidos, manipule datos personales mediante el engaño, aprovechándose de errores en la persona autorizada para transmitirlos, duplicando la pena en caso de datos sensibles. Se debe hacer la aclaración respecto a que esta normatividad no aplica al caso en concreto, toda vez que dicha ley no se aplica al sector público debido a sus marcos normativos y responsabilidades distintos.

En resumen, la legislación actual, incluyendo el Código Penal Federal y la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados del sector público, no presenta disposiciones específicas que sancionen de manera directa el delito de extracción ilegal de información. Aunque existen medidas punitivas por incumplimientos relacionados con el manejo de datos, la falta de una normativa clara y específica para este delito dificulta la persecución y castigo efectivo de quienes realizan extracciones ilegales de información.

¿Entonces, no hay delito cibernético?

La respuesta es sencilla: NO.  La afirmación de que el Gobierno federal denunciará ante la Fiscalía la extracción ilegal de información demuestra un compromiso en la lucha contra las amenazas cibernéticas y la protección de la integridad de los datos. Pero la efectividad de estas declaraciones podría verse limitada por la ausencia de disposiciones específicas en el código penal y las leyes de protección de datos que aborden directamente la extracción ilegal de información.

El principio legal «nullum crimen, nulla poena sine lege» (no hay crimen, no hay pena sin ley) destaca la importancia de contar con leyes claras y específicas que definan los delitos y establezcan las consecuencias legales correspondientes. En este caso, la falta de disposiciones legales específicas relacionadas con la extracción ilegal de información podría dificultar la persecución efectiva de los ciberdelincuentes.

En consecuencia, este acontecimiento destaca la imperiosa necesidad de una legislación integral de ciberseguridad en México y reforma en ciberdelitos. Los delitos cibernéticos y la violación de la privacidad deben ser abordados con leyes claras y específicas que se adapten a la realidad digital en constante evolución.

La moraleja de este acontecimiento radica en la urgencia de reformar y fortalecer las leyes relacionadas con la ciberseguridad y ciberdelitos. México necesita una legislación que no solo proteja los datos personales, sino que también establezca medidas punitivas efectivas contra aquellos que violan la privacidad en línea y accesos no autorizados a información personal.

El país está en un punto de inflexión donde la tecnología avanza más rápido que las leyes que la regulan. La creación de una ley de ciberseguridad robusta y la reforma de los ciberdelitos son pasos cruciales para salvaguardar los bienes jurídicos relacionados con la información personal de todos los mexicanos en la era digital.
@zjersain