ASISTENCIA MUTUA EN MATERIA DE MEDIDAS PROVISIONALES.
ARTÍCULO 29. CONSERVACIÓN RÁPIDA DE DATOS INFORMÁTICOS ALMACENADOS.
1. Una Parte podrá solicitar a otra Parte que ordene o asegure de otra forma la conservación rápida de datos almacenados por medio de un sistema informático que se encuentre en el territorio de esa otra Parte, respecto de los cuales la Parte requirente tenga la intención de presentar una solicitud de asistencia mutua con vistas al registro o al acceso de forma similar, la confiscación o la obtención de forma similar, o la revelación de los datos.
2. En las solicitudes de conservación que se formulen en virtud del apartado 1 se indicará:
a) La autoridad que solicita dicha conservación;
b) el delito objeto de investigación o de procedimiento penal y un breve resumen de los hechos relacionados con el mismo;
c) los datos informáticos almacenados que deben conservarse y su relación con el delito;
d) cualquier información disponible que permita identificar a la persona encargada de la custodia de los datos informáticos almacenados o la ubicación del sistema informático;
e) la necesidad de la conservación; y
f) que la Parte tiene la intención de presentar una solicitud de asistencia mutua para el registro o el acceso de forma similar, la confiscación o la obtención de forma similar o la revelación de los datos informáticos almacenados.
3. Tras recibir la solicitud de otra Parte, la Parte requerida tomará las medidas adecuadas para conservar rápidamente los datos especificados de conformidad con su derecho interno. A los efectos de responder a una solicitud, no se requerirá la doble tipificación penal como condición para proceder a la conservación.
4. Cuando una Parte exija la doble tipificación penal como condición para atender una solicitud de asistencia mutua para el registro o el acceso de forma similar, la confiscación o la obtención de forma similar o la revelación de datos almacenados, dicha Parte podrá reservarse, en relación con delitos distintos de los previstos con arreglo a los artículos 2 a 11 del presente Convenio, el derecho a denegar la solicitud de conservación en virtud del presente artículo en los casos en que tenga motivos para creer que la condición de la doble tipificación penal no podrá cumplirse en el momento de la revelación.
5. Asimismo, las solicitudes de conservación únicamente podrán denegarse si:
a) La solicitud hace referencia a un delito que la Parte requerida considera delito político o delito relacionado con un delito político;
b) la Parte requerida considera que la ejecución de la solicitud podría atentar contra su soberanía, seguridad, orden público u otros intereses esenciales.
6. Cuando la Parte requerida considere que la conservación por sí sola no bastará para garantizar la futura disponibilidad de los datos o pondrá en peligro la confidencialidad de la investigación de la Parte requirente o causará cualquier otro perjuicio a la misma, informará de ello sin demora a la Parte requirente, la cual decidirá entonces si debe pese a ello procederse a la ejecución de la solicitud.
7. Las medidas de conservación adoptadas en respuesta a la solicitud mencionada en el apartado 1 tendrán una duración mínima de sesenta días, con objeto de permitir a la Parte requirente presentar una solicitud de registro o de acceso de forma similar, confiscación u obtención de forma similar, o de revelación de los datos. Cuando se reciba dicha solicitud, seguirán conservándose los datos hasta que se adopte una decisión sobre la misma.
ARTÍCULO 30. REVELACIÓN RÁPIDA DE DATOS CONSERVADOS SOBRE EL TRÁFICO.
1. Cuando, con motivo de la ejecución de una solicitud presentada de conformidad con el artículo 29 para la conservación de datos sobre el tráfico en relación con una comunicación específica, la Parte requerida descubra que un proveedor de servicios de otro Estado participó en la transmisión de la comunicación, la Parte requerida revelará rápidamente a la Parte requirente un volumen suficiente de datos sobre el tráfico para identificar al proveedor de servicios y la vía por la que se transmitió la comunicación.
2. La revelación de datos sobre el tráfico en virtud del apartado 1 únicamente podrá denegarse si:
a) La solicitud hace referencia a un delito que la Parte requerida considera delito político o delito relacionado con un delito político;
b) la Parte requerida considera que la ejecución de la solicitud podría atentar contra su soberanía, seguridad, orden público u otros intereses esenciales.
ASISTENCIA MUTUA EN RELACIÓN CON LOS PODERES DE INVESTIGACIÓN.
ARTÍCULO 31. ASISTENCIA MUTUA EN RELACIÓN CON EL ACCESO A DATOS INFORMÁTICOS ALMACENADOS.
1. Una Parte podrá solicitar a otra Parte que registre o acceda de forma similar, confisque u obtenga de forma similar y revele datos almacenados por medio de un sistema informático situado en el territorio de la Parte requerida, incluidos los datos conservados en aplicación del artículo 29.
2. La Parte requerida dará respuesta a la solicitud aplicando los instrumentos internacionales, acuerdos y legislación mencionados en el artículo 23, así como de conformidad con otras disposiciones aplicables en el presente capítulo.
3. Se dará respuesta lo antes posible a la solicitud cuando:
a) Existan motivos para creer que los datos pertinentes están especialmente expuestos al riesgo de pérdida o modificación; o
b. los instrumentos, acuerdos o legislación mencionados en el apartado 2 prevean la cooperación rápida.
Una Parte podrá, sin la autorización de otra Parte:
a) Tener acceso a datos informáticos almacenados que se encuentren a disposición del público (fuente abierta), con independencia de la ubicación geográfica de dichos datos; o
b) tener acceso o recibir, a través de un sistema informático situado en su territorio, datos informáticos almacenados situados en otra Parte, si la Parte obtiene el consentimiento lícito y voluntario de la persona legalmente autorizada para revelar los datos a la Parte por medio de ese sistema informático.
ARTÍCULO 33. ASISTENCIA MUTUA PARA LA OBTENCIÓN EN TIEMPO REAL DE DATOS SOBRE EL TRÁFICO.
1. Las Partes se prestarán asistencia mutua para la obtención en tiempo real de datos sobre el tráfico asociados a comunicaciones específicas en su territorio transmitidas por medio de un sistema informático. Con sujeción a lo dispuesto en el apartado 2, dicha asistencia se regirá por las condiciones y procedimientos establecidos en el derecho interno.
2. Cada Parte prestará dicha asistencia como mínimo respecto de los delitos por los que se podría conseguir la obtención en tiempo real de datos sobre el tráfico en un caso similar en su país.
ARTÍCULO 34. ASISTENCIA MUTUA RELATIVA A LA INTERCEPTACIÓN DE DATOS SOBRE EL CONTENIDO.
Las Partes se prestarán asistencia mutua para la obtención o grabación en tiempo real de datos sobre el contenido de comunicaciones específicas transmitidas por medio de un sistema informático en la medida en que lo permitan sus tratados y el derecho interno aplicables.
RED 24/7.
1. Cada Parte designará un punto de contacto disponible las veinticuatro horas del día, siete días a la semana, con objeto de garantizar la prestación de ayuda inmediata para los fines de las investigaciones o procedimientos relacionados con delitos vinculados a sistemas y datos informáticos, o para la obtención de pruebas electrónicas de un delito. Dicha asistencia incluirá los actos tendentes a facilitar las siguientes medidas o su adopción directa, cuando lo permitan la legislación y la práctica internas:
a) El asesoramiento técnico;
b) la conservación de datos en aplicación de los artículos 29 y 30;
c) la obtención de pruebas, el suministro de información jurídica y la localización de sospechosos.
2. a) El punto de contacto de una Parte estará capacitado para mantener comunicaciones con el punto de contacto de otra Parte con carácter urgente.
b) Si el punto de contacto designado por una Parte no depende de la autoridad o de las autoridades de dicha Parte responsables de la asistencia mutua internacional o de la extradición, el punto de contacto velará por garantizar la coordinación con dicha autoridad o autoridades con carácter urgente.
3. Cada Parte garantizará la disponibilidad de personal debidamente formado y equipado con objeto de facilitar el funcionamiento de la red.
DISPOSICIONES FINALES.
ARTÍCULO 36. FIRMA Y ENTRADA EN VIGOR.
1. El presente Convenio estará abierto a la firma de los Estados miembros del Consejo de Europa y de los Estados no miembros que hayan participado en su elaboración.
2. El presente Convenio estará sujeto a ratificación, aceptación o aprobación. Los instrumentos de ratificación, aceptación o aprobación se depositarán en poder del Secretario General del Consejo de Europa.
3. El presente Convenio entrará en vigor el primer día del mes siguiente a la expiración de un plazo de tres meses desde la fecha en que cinco Estados, de los cuales tres como mínimo sean Estados miembros del Consejo de Europa, hayan expresado su consentimiento para quedar vinculados por el Convenio de conformidad con lo dispuesto en los apartados 1 y 2.
4. Respecto de cualquier Estado signatario que exprese más adelante su consentimiento para quedar vinculado por el Convenio, éste entrará en vigor el primer día del mes siguiente a la expiración de un plazo de tres meses desde la fecha en que haya expresado su consentimiento para quedar vinculado por el Convenio de conformidad con lo dispuesto en los apartados 1 y 2.
ARTÍCULO 37. ADHESIÓN AL CONVENIO.
1. Tras la entrada en vigor del presente Convenio, el Comité de Ministros del Consejo de Europa, previa consulta con los Estados Contratantes del Convenio y una vez obtenido su consentimiento unánime, podrá invitar a adherirse al presente Convenio a cualquier Estado que no sea miembro del Consejo y que no haya participado en su elaboración. La decisión se adoptará por la mayoría establecida en el artículo 20.d) del Estatuto del Consejo de Europa y con el voto unánime de los representantes con derecho a formar parte del Comité de Ministros.
2. Para todo Estado que se adhiera al Convenio de conformidad con lo dispuesto en el anterior apartado 1, el Convenio entrará en vigor el primer día del mes siguiente a la expiración de un plazo de tres meses desde la fecha del depósito del instrumento de adhesión en poder del Secretario General del Consejo de Europa.
ARTÍCULO 38. APLICACIÓN TERRITORIAL.
1. En el momento de la firma o del depósito de su instrumento de ratificación, aceptación, aprobación o adhesión, cada Estado podrá especificar el territorio o territorios a los que se aplicará el presente Convenio.
2. En cualquier momento posterior, mediante declaración dirigida al Secretario General del Consejo de Europa, cualquier Parte podrá hacer extensiva la aplicación del presente Convenio a cualquier otro territorio especificado en la declaración. Respecto de dicho territorio, el Convenio entrará en vigor el primer día del mes siguiente a la expiración de un plazo de tres meses desde la fecha en que el Secretario General haya recibido la declaración.
3. Toda declaración formulada en virtud de los dos apartados anteriores podrá retirarse, respecto de cualquier territorio especificado en la misma, mediante notificación dirigida al Secretario General del Consejo de Europa. La retirada surtirá efecto el primer día del mes siguiente a la expiración de un plazo de tres meses desde la fecha en que el Secretario General haya recibido dicha notificación.
ARTÍCULO 39. EFECTOS DEL CONVENIO.
1. La finalidad del presente Convenio es completar los tratados o acuerdos multilaterales o bilaterales aplicables entre las Partes, incluidas las disposiciones de:
– El Convenio europeo de extradición, abierto a la firma en París el 13 de diciembre de 1957 (STE n.º 24);
– el Convenio europeo de asistencia judicial en materia penal, abierto a la firma en Estrasburgo el 20 de abril de 1959 (STE n.º 30);
– el Protocolo adicional al Convenio europeo de asistencia judicial en materia penal, abierto a la firma en Estrasburgo el 17 de marzo de 1978 (STE n.º 99).
2. Si dos o más Partes han celebrado ya un acuerdo o tratado sobre las materias reguladas en el presente Convenio o han regulado de otra forma sus relaciones al respecto, o si lo hacen en el futuro, tendrán derecho a aplicar, en lugar del presente Convenio, dicho acuerdo o tratado o a regular dichas relaciones en consonancia. No obstante, cuando las Partes regulen sus relaciones respecto de las materias contempladas en el presente Convenio de forma distinta a la establecida en el mismo, deberán hacerlo de una forma que no sea incompatible con los objetivos y principios del Convenio.
3. Nada de lo dispuesto en el presente Convenio afectará a otros derechos, restricciones, obligaciones y responsabilidades de las Partes.
Mediante notificación por escrito dirigida al Secretario General del Consejo de Europa, cualquier Estado podrá declarar, en el momento de la firma o del depósito de su instrumento de ratificación, aceptación, aprobación o adhesión, que se acoge a la facultad de exigir elementos complementarios según lo dispuesto en los artículos 2, 3, 6.1.b), 7, 9.3 y 27.9.e).
ARTÍCULO 41. CLÁUSULA FEDERAL.
1. Los Estados federales podrán reservarse el derecho a asumir las obligaciones derivadas del capítulo II del presente Convenio de forma compatible con los principios fundamentales por los que se rija la relación entre su gobierno central y los estados que lo formen u otras entidades territoriales análogas, siempre que siga estando en condiciones de cooperar de conformidad con el capítulo III.
2. Cuando formule una reserva en aplicación del apartado 1, un Estado federal no podrá aplicar los términos de dicha reserva para excluir o reducir sustancialmente sus obligaciones en relación con las medidas contempladas en el capítulo II. En todo caso, deberá dotarse de una capacidad amplia y efectiva que permita la aplicación de las medidas previstas en dicho capítulo.
3. Por lo que respecta a las disposiciones del presente Convenio cuya aplicación sea competencia de los estados federados o de otras entidades territoriales análogas que no estén obligados por el sistema constitucional de la federación a la adopción de medidas legislativas, el gobierno federal informará de esas disposiciones a las autoridades competentes de dichos estados, junto con su opinión favorable, alentándoles a adoptar las medidas adecuadas para su aplicación.
Mediante notificación por escrito dirigida al Secretario General del Consejo de Europa, cualquier Estado podrá declarar, en el momento de la firma o del depósito de su instrumento de ratificación, aceptación, aprobación o adhesión, que se acoge a una o varias de las reservas previstas en el apartado 2 del artículo 4, apartado 3 del artículo 6, apartado 4 del artículo 9, apartado 3 del artículo 10, apartado 3 del artículo 11, apartado 3 del artículo 14, apartado 2 del artículo 22, apartado 4 del artículo 29 y apartado 1 del artículo 41. No podrán formularse otras reservas.
ARTÍCULO 43. SITUACIÓN DE LAS RESERVAS Y RETIRADA DE LAS MISMAS.
1. La Parte que haya formulado una reserva de conformidad con el artículo 42 podrá retirarla en todo o en parte mediante notificación dirigida al Secretario General del Consejo de Europa. Dicha retirada surtirá efecto en la fecha en que el Secretario General reciba la notificación. Si en la notificación se indica que la retirada de una reserva surtirá efecto en una fecha especificada en la misma y ésta es posterior a la fecha en que el Secretario General reciba la notificación, la retirada surtirá efecto en dicha fecha posterior.
2. La Parte que haya formulado una reserva según lo dispuesto en el artículo 42 retirará dicha reserva, en todo o en parte, tan pronto como lo permitan las circunstancias.
3. El Secretario General del Consejo de Europa podrá preguntar periódicamente a las Partes que hayan formulado una o varias reservas según lo dispuesto en el artículo 42 acerca de las perspectivas de que se retire dicha reserva.
1. Cualquier Estado Parte podrá proponer enmiendas al presente Convenio, que serán comunicadas por el Secretario General del Consejo de Europa a los Estados miembros del Consejo de Europa, a los Estados no miembros que hayan participado en la elaboración del presente Convenio así como a cualquier Estado que se haya adherido al presente Convenio o que haya sido invitado a adherirse al mismo de conformidad con lo dispuesto en el artículo 37.
2. Las enmiendas propuestas por una Parte serán comunicadas al Comité Europeo de Problemas Penales (CDPC), que presentará al Comité de Ministros su opinión sobre la enmienda propuesta.
3. El Comité de Ministros examinará la enmienda propuesta y la opinión presentada por el CDPC y, previa consulta con los Estados Partes no miembros en el presente Convenio, podrá adoptar la enmienda.
4. El texto de cualquier enmienda adoptada por el Comité de Ministros de conformidad con el apartado 3 del presente artículo será remitido a las Partes para su aceptación.
5. Cualquier enmienda adoptada de conformidad con el apartado 3 del presente artículo entrará en vigor treinta días después de que las Partes hayan comunicado su aceptación de la misma al Secretario General.
ARTÍCULO 45. SOLUCIÓN DE CONTROVERSIAS.
1. Se mantendrá informado al Comité Europeo de Problemas Penales del Consejo de Europa (CDPC) acerca de la interpretación y aplicación del presente Convenio.
2. En caso de controversia entre las Partes sobre la interpretación o aplicación del presente Convenio, éstas intentarán resolver la controversia mediante negociaciones o por cualquier otro medio pacífico de su elección, incluida la sumisión de la controversia al CDPC, a un tribunal arbitral cuyas decisiones serán vinculantes para las Partes o a la Corte Internacional de Justicia, según acuerden las Partes interesadas.
ARTÍCULO 46. CONSULTAS ENTRE LAS PARTES.
1. Las Partes se consultarán periódicamente, según sea necesario, con objeto de facilitar:
a) La utilización y la aplicación efectivas del presente Convenio, incluida la detección de cualquier problema derivado del mismo, así como los efectos de cualquier declaración o reserva formulada de conformidad con el presente Convenio;
b) el intercambio de información sobre novedades significativas de carácter jurídico, político o tecnológico relacionadas con la ciberdelincuencia y con la obtención de pruebas en formato electrónico;
c) el estudio de la conveniencia de ampliar o enmendar el presente Convenio.
2. Se mantendrá periódicamente informado al Comité Europeo de Problemas Penales (CDPC) acerca del resultado de las consultas mencionadas en el apartado 1.
3. Cuando proceda, el CDPC facilitará las consultas mencionadas en el apartado 1 y tomará las medidas necesarias para ayudar a las Partes en sus esfuerzos por ampliar o enmendar el Convenio. Como máximo tres años después de la entrada en vigor del presente Convenio, el Comité Europeo de Problemas Penales (CDPC) llevará a cabo, en cooperación con las Partes, una revisión de todas las disposiciones del Convenio y, en caso necesario, recomendará las enmiendas procedentes.
4. Salvo en los casos en que sean asumidos por el Consejo de Europa, los gastos realizados para aplicar lo dispuesto en el apartado 1 serán sufragados por las Partes en la forma que éstas determinen.
5. Las Partes contarán con la asistencia de la Secretaría del Consejo de Europa para desempeñar sus funciones en aplicación del presente artículo.
1. Cualquier Parte podrá denunciar en cualquier momento el presente Convenio mediante notificación dirigida al Secretario General del Consejo de Europa.
2. Dicha denuncia surtirá efecto el primer día del mes siguiente a la expiración de un plazo de tres meses desde la fecha en que el Secretario General haya recibido la notificación.
El Secretario General del Consejo de Europa notificará a los Estados miembros del Consejo de Europa, a los Estados no miembros que hayan participado en la elaboración del presente Convenio y a cualquier Estado que se haya adherido al mismo o que haya sido invitado a hacerlo:
a) Cualquier firma;
b) el depósito de cualquier instrumento de ratificación, aceptación, aprobación o adhesión;
c) cualquier fecha de entrada en vigor del presente Convenio de conformidad con los artículos 36 y 37;
d) cualquier declaración formulada en virtud del artículo 40 o reserva formulada de conformidad con el artículo 42;
e) cualquier otro acto, notificación o comunicación relativo al presente Convenio.
En fe de lo cual, los infrascritos, debidamente autorizados a tal fin, firman el presente Convenio.
Hecho en Budapest, el 23 de noviembre de 2001, en francés e inglés, siendo ambos textos igualmente auténticos, en un ejemplar único que se depositará en los archivos del Consejo de Europa. El Secretario General del Consejo de Europa remitirá copias certificadas a cada uno de los Estados Miembros del Consejo de Europa, a los Estados no miembros que hayan participado en la elaboración del presente Convenio y a cualquier Estado invitado a adherirse al mismo.
--------------------------------------------------------------------------------------
LA JEFE DE ÁREA DE LA OFICINA DE INTERPRETACIÓN DE LENGUAS CERTIFICA: Que la procedente traducción esta fiel y literalmente hecha de un documento en fancés e inglés que a tal efecto se me ha exhibido, Madris, a 9 de enero de dos mil dos
--------------------------------------------------------------------------------------
LA SUSCRITA COORDINADORA DEL GRUPO INTERNO DE TRABAJO DE TRATADOS DE LA DIRECCIÓN DE ASUNTOS JURÍDICOS INTERNACIONALES DEL MINISTERIO DE RELACIONES EXTERIORES DE LA REPÚBLICA DE COLOMBIA
CERTIFICA:
Que la reproducción del texto que antecede es copia fiel y completa de la copia certificada del "Convenio sobre la Ciberdelincuencia", adoptado el 23 de noviembre de 2001, en Budapest, documento que reposa en los archivos del Grupo Interno de Trabajo de tratados de la dirección de asuntos jurídicos internacionales de este Ministerio y que consta de dieciséis (16) folios.
Dado en Bogotá, D.C, a los veintiséis (26) días del mes de mayo de dos mil diecisiete (2017).
OLGA LUCÍA ARENAS NEIRA
Coordinadora del Grupo Interno de Trabajo de Tratados
EXPOSICIÓN DE MOTIVOS DEL PROYECTO DE LEY.
por medio de la cual se aprueba el “Convenio sobre la Ciberdelincuencia”, adoptado el 23 de noviembre de 2001, en Budapest.
Honorables Senadores y Representantes:
En nombre del Gobierno nacional, y en cumplimiento del numeral 16 del artículo 150, numeral 2 del artículo 189 y el artículo 224 de la Constitución Política, presentamos a consideración del Honorable Congreso de la República, el proyecto de ley, por medio de la cual se aprueba el “Convenio sobre la Ciberdelincuencia”, adoptado el 23 de noviembre de 2001, en Budapest.
A. Contexto Internacional
El crecimiento de las amenazas en el ciberespacio, así como la utilización de nuevas tecnologías para generar amenazas informáticas, constituyen una preocupación común, dado que impactan de manera significativa la seguridad de la información, en los ámbitos tanto público como privado. Esto lo que pone de manifiesto es la necesidad de desarrollar de forma estricta políticas de seguridad necesarias para establecer controles que permitan proteger tanto a la ciudadanía sociedad, como al el Estado y sus infraestructuras críticas, ante estas nuevas amenazas. Tales políticas de seguridad han de ser respaldadas por un adecuado marco normativo sustancial y procesal de naturaleza penal, para que su implementación sea efectiva.
Por esta razón, en noviembre de 2001, producto de una reunión internacional de expertos celebrada en Budapest, Hungría, se creó el único marco existente para aplicar una política penal común para proteger a la sociedad frente a la ciberdelincuencia, mediante la adopción de legislación adecuada y el fortalecimiento de la cooperación internacional. En la actualidad, este documento es considerado como el estándar mundial en esta materia.
Varios Estados europeos, junto a otras naciones como Estados Unidos, Japón, Canadá y Sudáfrica, vieron con interés el contenido del Convenio en virtud de que representaba una oportunidad valiosa para contar con un instrumento aplicable en todos los países del mundo y así lograr consenso internacional en la persecución de las nuevas formas de delincuencia ejecutadas a través de los medios telemáticos, considerando que más que cualquier otro fenómeno criminal, la ciberdelincuencia no tiene fronteras.
En la actualidad, el Convenio de Budapest ha sido firmado por 45 de los 47 Estados miembros del Consejo de Europa. De ese grupo, 35 lo han ratificado. Estados no miembros del Consejo de Europa, como Australia, Estados Unidos, Japón, la Isla Mauricio, República Dominicana y Panamá, son Estados Parte del Convenio. Además, más de 24 países han sido invitados a adherirse al Convenio, por lo que en el momento se encuentran adelantando el proceso de ratificación interna en este sentido.
Por su parte, el 11 de septiembre de 2013, Colombia fue invitada por el Consejo de Europa a adherirse al Convenio de Budapest, gracias a las gestiones del Gobierno nacional encaminadas a contar con instrumentos jurídicos y de cooperación internacional para enfrentar de forma efectiva el delito cibernético. El término establecido para formalizar la adhesión es de 5 años por lo que solo hasta el año 2018 Colombia tiene la posibilidad de aceptar dicha invitación.
B. Contexto Nacional
Colombia es el primer país de América Latina con Internet de alta velocidad que ha tenido como finalidad llevar este medio a todos sus ciudadanos a lo largo del territorio nacional. En el mismo sentido, aproximadamente desde el año 2005, Colombia se ha comprometido a fortalecer la seguridad de la información y desde 2010, cuando se implementó el Plan Vive Digital, el país ha experimentado una revolución digital que ha llevado el uso de las tecnologías de la información y las comunicaciones a ser una herramienta para el desarrollo del país.
Esta revolución digital implica que tanto los ciudadanos como el sector privado y las entidades públicas dependan cada día más de las tecnologías de la información y las comunicaciones, como lo evidencian las últimas cifras registradas, incluyendo las de conexiones de banda ancha en el país, las cuales se multiplicaron significativamente en los últimos años, pasando de 213 millones en 2010, a 15,130 millones en 2016, tal y como se ilustra en el Gráfico 1.
Gráfico 1. Evolución de conexiones de banda ancha en Colombia Millones de conexiones de banda ancha
Fuente: Ministerio de Tecnologías de la Información y las Comunicaciones, 2016.
Así mismo, el número de municipios conectados incrementó hasta llegar a 1.075 en el 2016 y el número de terminales en las instituciones educativas públicas también aumentó. En el pasado había 24 niños por terminal, y en la actualidad solo 4. Esta tendencia en el incremento del uso de las TIC también se ve evidenciada en el número de empresas de dicho sector, el cual pasó de 2.657 a 5.404, y las Mipymes se multiplicaron del 7% al 75%.
En el mismo sentido, aproximadamente desde el año 2005, Colombia se ha comprometido en la misma medida a fortalecer la seguridad de información, es por esto que a través del Decreto número 1078 de 2015 se da obligatoriedad a las Entidades del Estado para implementar el Modelo de Seguridad y Privacidad de TI del Ministerio TIC.
Si bien este aumento en la conectividad en Colombia ha traído consigo innumerables beneficios para el país, también se han incrementado las amenazas cibernéticas, las vulnerabilidades y los incidentes digitales, afectando la seguridad de los ciudadanos, las organizaciones públicas y privadas, e incluso infraestructuras que hacen parte de los intereses de la Nación. Las técnicas y objetivos de los ataques cibernéticos se han sofisticado, teniendo como consecuencia una mayor dificultad para su oportuna detección.
Durante los últimos años, Colombia ha sido foco de interés para distintos ataques cibernéticos, los cuales se han sofisticado trayendo consigo el incremento de la efectividad de los mismos y una mayor dificultad para su oportuna detección. Escenario que preocupa al Gobierno nacional toda vez que las condiciones para desarrollar actividades socioeconómicas en el país cada día se soportan más en el uso de las TIC, y los incidentes digitales en Colombia afectan a varios agentes y sectores (Gráficos 2 y 3).
Gráfico 2. Sectores afectados en Colombia por incidentes digitales 2016
Gráfico 3. Total incidentes digitales por Entidad 2016
Fuente: colCERT, 2016.
C. Marco Normativo Nacional
El país viene desarrollando Instrumentos Normativos que contemplan temáticas relacionadas con la seguridad de la información, la ciberseguridad y la ciberdefensa las cuales se relacionan en esta marco normativo.
En el año 2009 se expidió la Ley 1273 “Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado – denominado “de la protección de la información y de los datos”– y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones”. Se crearon los siguientes tipos penales: Capítulo I – “De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos”. Este capítulo tipifica las siguientes conductas penales: Acceso Abusivo a un sistema informático, obstaculización ilegítima de sistema informático o de red de telecomunicación, interceptación de datos informáticos, daño informático, uso de software malicioso, violación de datos personales, suplantación de sitios web para capturar datos personales. Capítulo II – “De los atentados informáticos y otras infracciones”, este capítulo tipifica el: hurto por medios informáticos y semejantes, así como la transferencia no consentida de activos.
Por medio de la Ley 1273 se adoptan los lineamientos del Convenio de Budapest celebrado en el año 2001. La decisión, de proferir las leyes internas en concordancia al Convenio sobre Ciberdelincuencia, fue tomada por considerarse de vital importancia que los desarrollos normativos incluyeran esas directrices de la legislación europea que se habían empezado a introducir en los ordenamientos jurídicos de diferentes países; aun cuando Colombia no es parte del Consejo de Europa y aún no había sido invitada a adherirse al mismo.
Colombia cuenta con una legislación procesal penal integral y efectiva para abordar los delitos cibernéticos, reconoce los tratados internacionales con Interpol y Europol y, específicamente, la Ley 1581 de 2012 establece un marco básico para la protección de datos, divulgación y denuncia de las violaciones de seguridad. Por su parte, dentro de las leyes de carácter ordinario se encuentran unas que regulan diversos temas asociados con la seguridad digital, el comercio electrónico, la pornografía y la explotación sexual de menores en el ciberespacio, la racionalización de trámites y procedimientos, los derechos de autor y conexos, entre otros.
D. Política Pública
En el año 2011, el Gobierno nacional aprobó el Conpes 3701 en el cual establecieron los lineamientos de política de ciberseguridad y ciberdefensa. Este documento establece las medidas que deben adoptar las entidades que tengan acceso al manejo de la información para contrarrestar el incremento de las amenazas informáticas, dentro de las cuales se establecieron normas técnicas y estándares nacionales e internacionales, así como iniciativas internacionales sobre protección de infraestructura crítica y ciberseguridad.
En abril del 2016 se aprobó el Conpes 3854 de Seguridad Digital Integral, en el que se estableció la implementación en cinco ejes: i) Establecer un marco institucional claro en torno a la seguridad digital, basado en la gestión de riesgos; ii) Crear las condiciones para que las múltiples partes interesadas gestionen el riesgo de seguridad digital en sus actividades socioeconómicas y se genere confianza en el uso del entorno digital; iii) Fortalecer la seguridad de los individuos y del Estado en el entorno digital, a nivel nacional y trasnacional, con un enfoque de gestión de riesgos; iv) Fortalecer la defensa y soberanía nacional en el entorno digital con un enfoque de gestión de riesgos; y v) Impulsar la cooperación, colaboración y asistencia en materia de seguridad digital, a nivel nacional e internacional.
Dentro del Conpes 3854, se manifestó que la política de Ciberseguridad y Ciberdefensa adoptada por Colombia, debe ser complementada para responder adecuadamente a los nuevos tipos de incertidumbres e incidentes digitales y, adicional a lo anterior, se puso en evidencia que Colombia dispone de un marco normativo nacional disperso en torno a la seguridad digital que comprende leyes, decretos y otros actos expedidos bajo condiciones diferentes a las actuales, por lo cual se creó la política nacional de seguridad digital.
Para cumplir con los objetivos establecidos en los frentes expuestos en la Política Nacional de Seguridad Digital se establecieron diferentes estrategias. En concreto, para impulsar la cooperación, colaboración y asistencia en materia de seguridad digital, a nivel nacional e internacional se planteó la búsqueda de la adhesión de Colombia a diferentes convenios internacionales, dentro del cual se resaltó el Convenio de Budapest.
A. Objeto del Acuerdo
El Convenio del Consejo de Europa tiene por objeto la materialización de una política criminal común en materia de ciberdelincuencia mediante la adopción de los siguientes lineamientos:
- Intensificación de la cooperación entre Estados y su relación con el sector privado con el fin de prevenir la comisión de ilícitos en las redes informáticas.
- Adopción de la legislación interna pertinente, que permita combatir las amenazas a bienes jurídicos tutelados como la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos, protegiendo en general los intereses vinculados al desarrollo de las tecnologías de la información.
B. Explicación del Articulado
El articulado del “Convenio de Budapest” está separado en las siguientes secciones:
i. Legislación sustantiva
Con el objeto de construir una Política Criminal común, encaminada a sancionar la criminalidad en el ciberespacio, el “Convenio de Budapest” estipula en los artículos 2 a 12 los tipos penales pertinentes para enfrentar este fenómeno. Los Estados Parte adquieren la obligación de adecuar su legislación interna a las exigencias estipuladas en dichos instrumentos, relativas a los temas de acceso ilícito, interceptación ilícita, ataques a la integridad de los datos, ataques a la integridad del sistema, abuso de los dispositivos, falsificación informática, fraude informático, delitos relacionados con la pornografía infantil, delitos relacionados con infracciones de la propiedad intelectual, y responsabilidad de las personas jurídicas. En el Anexo I, se establece un cuadro comparativo con los tipos penales establecidos en el Convenio y con legislación promulgada al respecto.
En este tipo de conductas el sujeto pasivo, es decir, la víctima del ilícito, puede ser cualquier persona natural o jurídica que sea dueña de un sistema de procesamiento de información.
ii. Legislación procesal
En los artículos 16 a 21 del Convenio, se estipulan procedimientos y poderes para las autoridades públicas, que también deben ser adoptados por los Estados parte en su legislación procesal interna. En el Anexo II se establece un cuadro comparativo que a la fecha tiene Colombia con lo establecido en el Convenio.
Las obligaciones impuestas por la normatividad en mención, se resumen en los siguientes 4 puntos:
a) Adoptar medidas para garantizar la conservación inmediata de “datos informáticos almacenados” y la divulgación de los denominados “datos de tráfico”;
b) Otorgar facultades a las autoridades competentes, para que puedan solicitar a los proveedores de servicios y demás particulares la entrega de datos almacenados en su poder;
c) Disponer de medios idóneos para interceptar y compendiar en tiempo real “datos de tráfico” asociados con una comunicación particular;
d) Expedir la regulación pertinente, que habilite a sus autoridades a acceder y decomisar, cualquier sistema o soporte de almacenamiento informático.
iii. Cooperación internacional
El Convenio estipula la aplicación de instrumentos “para luchar de forma efectiva contra dichos delitos(1), facilitando su detección, investigación y sanción, tanto a nivel nacional como internacional, y estableciendo disposiciones que permitan una cooperación internacional rápida y fiable”, tomando como base los acuerdos de legislación uniforme o recíproca de los Estados, y el propio derecho interno de las partes a efectos de investigar o realizar procedimientos conjuntos relativos a los delitos relacionados con sistemas y datos informáticos o para obtener pruebas en formato electrónico de delitos.
Se busca entonces, instar a los Estados Parte a cooperar de la manera más amplia posible, por lo que Colombia se comprometería a dar trámite a las solicitudes de asistencia para la investigación y recolección de materia probatoria. Asimismo, adquiriría las obligaciones para conservar y comunicar datos informáticos almacenados de interés para los Estados Partes, prestar asistencia concerniente al acceso trasfronterizo de los mismos y a establecer un punto de contacto localizable las 24 horas del día, los siete días de la semana.
Se formulará una reserva al artículo 14 del tratado, con miras a proteger los derechos constitucionales del hábeas data y la intimidad personal. En dicho postulado normativo se faculta a los Estados a reservarse el derecho de aplicar las medidas establecidas en el artículo 20 del Convenio relativo a “Obtención en tiempo real de datos relativos al tráfico”, pero únicamente para ciertas categorías de delitos especificados en la reserva.
También se plantea la posibilidad de reservar la aplicación del artículo 21, concerniente a la “Interceptación de datos relativos al contenido” en los casos en que un sistema informático:
- Se haya puesto en funcionamiento para un grupo restringido de usuarios.
- No emplee las redes públicas de telecomunicación y no esté conectado a otro sistema informático, ya sea público o privado.
Estas reservas protegerían posibles vulneraciones a derechos establecidos como fundamentales en la Constitución Política de Colombia ampliamente desarrollados por la Corte Constitucional.
Al respecto del derecho a la Intimidad Personal, la Corte ha dispuesto lo siguiente:
“Se trata de un derecho “general, absoluto, extrapatrimonial, inalienable e imprescriptible y que se pueda hacer valer “erga omnes”, vale decir, tanto frente al Estado como a los particulares. En consecuencia, toda persona, por el hecho de serlo, es titular a priori de este derecho y el único legitimado para permitir la divulgación de datos concernientes a su vida privada. Su finalidad es la de asegurar la protección de intereses morales; su titular no puede renunciar total o definitivamente a la intimidad pues dicho acto estaría viciado de nulidad absoluta. Este derecho, que se deduce de la dignidad humana y de la natural tendencia de toda persona a la libertad, a la autonomía y a la autoconservación, protege el ámbito privado del individuo y de su familia como el núcleo humano más próximo”(2).
Por otro lado, en relación al Hábeas Data, la Corte Constitucional en Sentencia T-358 de 2014 ha considerado que en la jurisprudencia constitucional, el derecho al Hábeas Data fue primero interpretado:
“como una garantía del derecho a la intimidad, de allí que se hablara de la protección de los datos que pertenecen a la vida privada y familiar, entendida como la esfera individual impenetrable en la que cada cual puede realizar su proyecto de vida y en la que ni el Estado ni otros particulares pueden interferir.
[…]
[D]esde los primeros años de la nueva Carta, surgió al interior de la Corte una segunda línea interpretativa que consideraba el hábeas data una manifestación del libre desarrollo de la personalidad. Según esta línea, el hábeas data tiene su fundamento último “(…) en el ámbito de autodeterminación y libertad que el ordenamiento jurídico reconoce al sujeto como condición indispensable para el libre desarrollo de la personalidad y en homenaje justiciero a su dignidad””.
A partir de 1995, surge una tercera línea interpretativa que es la que ha prevalecido desde entonces y que apunta al hábeas data como un derecho autónomo, en que el núcleo del derecho al hábeas data está compuesto por la autodeterminación informática y la libertad – incluida la libertad económica. Este derecho como fundamental autónomo, requiere para su efectiva protección de mecanismos que lo garanticen, los cuales no sólo deben pender de los jueces, sino de una institucionalidad administrativa que además del control y vigilancia tanto para los sujetos de derecho público como privado, aseguren la observancia efectiva de la protección de datos y, en razón de su carácter técnico, tenga la capacidad de fijar política pública en la materia, sin injerencias políticas para el cumplimiento de esas decisiones.
Tomando en cuenta los postulados precitados, al realizar la reserva del artículo 14, también se evitaría una posible declaratoria de inexequibilidad por parte de la Corte Constitucional, en el marco del control previo, automático e integral.
IV. IMPORTANCIA DEL CONVENIO DE BUDAPEST PARA COLOMBIA.
La expansión de las amenazas en el ciberespacio, así como la utilización de nuevas tecnologías para generar amenazas informáticas, constituyen una preocupación común a todos los países, dado que impactan de manera significativa la seguridad de la información, en los ámbitos tanto público como privado.
Los fenómenos de criminalidad que afectan la Ciberseguridad son generados, en muchas ocasiones, por actores que se encuentran en una jurisdicción geográfica diferente en la que se cometen los delitos, por lo que las pruebas de un acto delictivo no son accesibles sin la colaboración judicial y técnica de las legítimas autoridades públicas que rigen sobre ese territorio. Por lo tanto, en este marco y en los casos que suponen la utilización de redes de comunicación, la cooperación internacional es esencial para prevenir y enfrentar cualquier acto delictivo en materia cibernética, por ello Colombia debe adherirse al Convenio sobre la ciberdelincuencia del Consejo de Europa.
Este es el único instrumento internacional que cubre todas las áreas relevantes de la legislación sobre ciberdelincuencia –derecho penal, derecho procesal y cooperación internacional– y trata con carácter prioritario una política penal contra la ciberdelincuencia en cada uno de los países miembros. El Convenio de Budapest, permite no sólo avanzar en temas de cooperación internacional contra delitos informáticos, sino también fortalecer las leyes y regulaciones nacionales contra el ciberdelito de todo nivel.
Por las anteriores consideraciones, el Gobierno nacional, a través de la Ministra de Relaciones Exteriores, el Ministro de Justicia y del Derecho, el Ministro de Defensa Nacional y el Ministro de Tecnologías de la Información y las Comunicaciones, solicitan al Honorable Congreso de la República aprobar el proyecto de ley, por medio de la cual se aprueba el “Convenio sobre la Ciberdelincuencia”, adoptado el 23 de noviembre de 2001, en Budapest.
De los Honorables Congresistas,
RAMA EJECUTIVA DEL PODER PÚBLICO
PRESIDENCIA DE LA REPÚBLICA
Bogotá, D. C., 8 de junio de 2017
Autorizado. Sométase a la consideración del Honorable Congreso de la República para los efectos constitucionales.
(Fdo.) JUAN MANUEL SANTOS CALDERÓN
La Ministra de Relaciones Exteriores,
(Fdo.) María Ángela Holguín Cuéllar.
DECRETA:
ARTÍCULO 1o. Apruébase el “Convenio sobre la Ciberdelincuencia”, adoptado el 23 de noviembre de 2001, en Budapest.
ARTÍCULO 2o. De conformidad con lo dispuesto en el artículo 1o de la Ley 7 de 1944, el “Convenio sobre la Ciberdelincuencia”, adoptado el 23 de noviembre de 2001, en Budapest, que por el artículo 1 de esta ley se aprueba, obligará a la República de Colombia a partir de la fecha en que se perfeccione el vínculo internacional respecto del mismo.
ARTÍCULO 3o. La presente ley rige a partir de la fecha de su publicación.
Dada en Bogotá, D. C., a los
Presentado al Honorable Congreso de la República por la Ministra de Relaciones Exteriores, el Ministro de Justicia y del Derecho, el Ministro de Defensa Nacional y el Ministro de Tecnologías de la Información y las Comunicaciones.
LEY 424 DE 1998
(enero 13)
por la cual se ordena el seguimiento a los convenios internacionales suscritos por Colombia.
El Congreso de Colombia
DECRETA:
ARTÍCULO 1o. El Gobierno nacional a través de la Cancillería presentará anualmente a las Comisiones Segundas de Relaciones Exteriores de Senado y Cámara, y dentro de los primeros treinta días calendario posteriores al período legislativo que se inicia cada 20 de julio, un informe pormenorizado acerca de cómo se están cumpliendo y desarrollando los Convenios Internacionales vigentes suscritos por Colombia con otros Estados.
ARTÍCULO 2o. Cada dependencia del Gobierno nacional encargada de ejecutar los Tratados Internacionales de su competencia y requerir la reciprocidad en los mismos, trasladará la información pertinente al Ministerio de Relaciones Exteriores y este, a las Comisiones Segundas.
ARTÍCULO 3o. El texto completo de la presente ley se incorporará como anexo a todos y cada uno de los Convenios Internacionales que el Ministerio de Relaciones Exteriores presente a consideración del Congreso.
ARTÍCULO 4o. La presente ley rige a partir de su promulgación.
El Presidente del honorable Senado de la República.
Amylkar Acosta Medina.
El Secretario General del honorable Senado de la República,
Pedro Pumarejo Vega.
El Presidente de la honorable Cámara de Representantes,
Carlos Ardila Ballesteros.
El Secretario General de la honorable Cámara de Representantes,
Diego Vivas Tafur.
REPÚBLICA DE COLOMBIA - GOBIERNO NACIONAL
Publíquese y ejecútese.
Dada en Santa Fe de Bogotá, D. C., a 13 de enero de 1998.
ERNESTO SAMPER PIZANO
La Ministra de Relaciones Exteriores,
María Emma Mejía Vélez.
RAMA EJECUTIVA DEL PODER PÚBLICO
PRESIDENCIA DE LA REPÚBLICA
Bogotá, D. C., 8 de junio de 2017
Autorizado. Sométase a la consideración del Honorable Congreso de la República para los efectos constitucionales.
(Fdo.) JUAN MANUEL SANTOS CALDERÓN
La Ministra de Relaciones Exteriores,
(Fdo.) María Ángela Holguín Cuéllar.
DECRETA:
ARTÍCULO 1o. Apruébase el “Convenio sobre la Ciberdelincuencia”, adoptado el 23 de noviembre de 2001, en Budapest.
ARTÍCULO 2o. De conformidad con lo dispuesto en el artículo 1o de la Ley 7 de 1944, el “Convenio sobre la Ciberdelincuencia”, adoptado el 23 de noviembre de 2001, en Budapest, que por el artículo 1 de esta ley se aprueba, obligará a la República de Colombia a partir de la fecha en que se perfeccione el vínculo internacional respecto del mismo.
ARTÍCULO 3o. La presente ley rige a partir de la fecha de su publicación.
El Presidente del honorable Senado de la República,
Efraín José Cepeda Sarabia.
El Secretario General del honorable Senado de la República,
Gregorio Eljach Pacheco.
La Presidenta (E) de la honorable Cámara de Representantes,
Lina María Barrera Rueda.
El Secretario General de la honorable Cámara de Representantes,
Jorge Humberto Mantilla Serrano.
REPÚBLICA DE COLOMBIA – GOBIERNO NACIONAL
Comuníquese y cúmplase.
Ejecútese, previa revisión de la Corte Constitucional, conforme al artículo 241-10 de la Constitución Política.
Dada en Bogotá, D. C., a 24 de julio de 2018.
La Ministra de Educación Nacional de la República de Colombia, delegataria de funciones presidenciales, mediante Decreto número 1255 de 2018,
Yaneth Giha Tovar.
La Viceministra de Relaciones Exteriores del Ministerio de Relaciones Exteriores, encargada de las funciones del Despacho de la Ministra de Relaciones Exteriores,
Patti Londoño Jaramillo.
El Ministro de Justicia y del Derecho,
Enrique Gil Botero.
El Ministro de Defensa Nacional,
Luis Carlos Villegas Echeverri.
El Viceministro de Conectividad y Digitalización del Ministerio de Tecnologías de la Información y las Comunicaciones, encargado del Empleo del Despacho del Ministro de Tecnologías de la Información y las Comunicaciones,
Juan Sebastián Rozo Rengifo.
NOTAS AL FINAL:
1. “Actos dirigidos contra la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, redes y datos informáticos, así como el abuso de dichos sistemas, redes y datos, mediante la tipificación de esos actos”.
2. Ver: Sentencia C-640/10, agosto 18 de 2010, Bogotá, D. C.
<Consultar norma en SUIN JURISCOL: http://www.suin.gov.co/viewDocument.asp?ruta=Leyes/30035501>
Las notas de vigencia, concordancias, notas del editor, forma de presentación y disposición de la compilación están protegidas por las normas sobre derecho de autor. En relación con estos valores jurídicos agregados, se encuentra prohibido por la normativa vigente su aprovechamiento en publicaciones similares y con fines comerciales, incluidas -pero no únicamente- la copia, adaptación, transformación, reproducción, utilización y divulgación masiva, así como todo otro uso prohibido expresamente por la normativa sobre derechos de autor, que sea contrario a la normativa sobre promoción de la competencia o que requiera autorización expresa y escrita de los autores y/o de los titulares de los derechos de autor. En caso de duda o solicitud de autorización puede comunicarse al teléfono 617-0729 en Bogotá, extensión 101. El ingreso a la página supone la aceptación sobre las normas de uso de la información aquí contenida.