El Convenio sobre la Ciberdelincuencia, también conocido como Convenio de Budapest, ha sido finalmente aprobado por Costa Rica (Ley No. 9452 publicada el pasado 3 de julio de 2017).

Se trata de un Tratado Internacional elaborado en el marco del Consejo de Europa, pero abierto a la adhesión de países no miembros de la Unión Europea. Al ser el único instrumento internacional relativo a delitos informáticos y la prueba relacionada con los mismos, ha gozado de gran aceptación internacional, siendo Costa Rica el país número 56 en ratificarlo.

El objetivo del Convenio es el desarrollo de una política penal común entre los estados signatarios, mediante la tipificación de delitos relacionados con 4 categorías de delitos: (i) contra la confidencialidad, integridad y disponibilidad de los datos y sistemas informáticos; (ii) informáticos; (iii) relacionados con el contenido; y (iv) relacionados a la infracción de propiedad intelectual y derechos afines. Adicionalmente, se crean una serie de obligaciones de cooperación internacional con la finalidad de perseguir el cibercrimen, fenómeno que no reconoce fronteras.

Previo a continuar, conviene indicar que por la aprobación del Convenio los delitos en él indicados no pasan inmediatamente a ser parte de nuestra legislación, sino que requieren una adopción expresa por medio del procedimiento de trasposición. Es decir, Costa Rica tendrá que aprobar legislación interna que tipifique expresamente los delitos y otras disposiciones contenidas en el Convenio, respetando los lineamientos en él desarrollados. Adicionalmente, ya varios de los delitos que desarrolla el Convenio existen en nuestra legislación interna.

Uno de los aspectos más interesantes que contiene el Convenio es la responsabilidad de las personas jurídicas en la comisión de los delitos en él tipificados. Dicha responsabilidad podrá ser penal, civil o administrativa cuando los delitos descritos se cometan por cuenta de esa persona jurídica, es decir por medio de una persona física, sea en calidad personal o como miembro de un órgano directivo que actúe con un poder de representación o una autorización para tomar decisiones o ejercer funciones de control. Pero también alcanzará la responsabilidad a las personas jurídicas cuando la comisión del delito derive de la falta de vigilancia sobre su personal que actúe bajo su autoridad.

Costa Rica no ha dado aún el paso de reconocer la responsabilidad penal de las personas jurídicas –NOTA: Esto cambió en el año 2019 mediante la aprobación de la Ley No. 9699 que contempla la responsabilidad penal de las personas jurídicas-, , por lo que la responsabilidad probablemente se mantendrá como civil o administrativa. Sin embargo, lo realmente importante es la necesidad de que las empresas, sobre todo aquellas relacionadas con servicios informáticos, adopten medidas de compliance que les permitan demostrar la existencia de medidas de vigilancia sobre su personal, con la finalidad de demostrar que en caso de comisión de un delito por parte de su personal haciendo uso, por ejemplo, de herramientas de la empresa, son ajenas a cualquier tipo de responsabilidad.

Por último, conviene indicar que, a la hora de aprobar la Convención, Costa Rica hizo dos interpretaciones relevantes: a) No será punible la utilización, reproducción o almacenamiento de propiedad intelectual por medio de un sistema informático cuando sea sin fines de lucro y para la enseñanza. b) No extraditará nacionales. El Convenio entrará en vigor 3 meses después de su depósito en el Consejo de Europa.

¿Cuándo se aprobarán las reformas al derecho interno derivadas de su aprobación? Muy buena pregunta.