-Al respecto del Decreto 39-2022 del Congreso de la República-
Los niveles avanzados de comunicación mediante el uso de aparatos denominados inteligentes, así como, las redes sociales y el internet de las cosas, han dado paso a un mundo en donde los datos personales son transferidos a velocidades no esperadas, con lo cual, muchas personas pueden hacer un tratamiento inadecuado de los mismos. En tal razón, el principio de mínima transferencia de datos sensibles ha interiorizado la necesidad de generar mecanismos legales de protección de datos personales, instituciones y finalmente derecho penal.
Siendo así, el planteamiento general inicial sobre la legislación de ley de prevención y protección contra la ciberdelincuencia tiene un problema de fondo, inicia por el derecho penal sin establecer bien los elementos sustantivos del derecho de protección de datos y las formas en que estos pueden ser vulnerados. Puede decirse empieza por el final del proceso de protección de datos.
Existe en Guatemala la creencia que el artículo 31 constitucional y la ley de acceso a información pública han cerrado el debate sobre protección de datos, lo cual es una equivocación básica, puesto que se ha dejado descuidada la protección de datos en manos de privados, por lo cual se deben establecer las reglas iniciales, esto, antes de ir a un área penal.
Asimismo, por ciberdelincuencia, según la Unión Internacional de la Organización de Naciones Unidas debe ser entendida como un «conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas, seguros y tecnologías que pueden utilizarse para proteger los activos de la organización y los usuarios en el ciber entorno.»
Debe, entonces, advertirse que el planteamiento de crear delitos contra la ciberdelincuencia tiene dos ámbitos: a) el de la protección de los datos personales; y; b) el de la protección de activos de organizaciones y los usuarios en el ciber entorno, esto último es, la protección de la infraestructura tecnológica para evitar el tráfico de información y de datos.
El Decreto Legislativo 39-2022 fue aprobado de forma apresurada, sin tener en cuenta un proceso integral que debe seguirse, siendo este: a) Legislación sobre protección de datos y ciberespacios; b) Legislación sobre garantía de hábeas data; c) Creación de los ámbitos de seguridad cibernética y ciberdefensa en el sistema nacional de seguridad; y d) Legislación penal que corresponda con las anteriores.
Derivado que ha generado mucha controversia el artículo 19 de esta ley, corresponde decir que la imprecisión en la construcción técnica, la hace una norma que puede permitir interpretación por analogía, con lo cual se violenta el principio de legalidad penal, creando mayor riesgo de vulneración de derechos a partir de su aplicación, que de protección de estos.
Es importante la consideración que las normas penales deben contener un supuesto de hecho que contradice el orden jurídico y por tanto lesiona bienes protegidos, así como, una parte en donde se expresa la pena a imponerse. Sin embargo, en casi todos los delitos que crea, no solo se construye esta estructura básica del derecho penal, si no que se agregan párrafos con regulaciones impropias a este tipo de derecho, lo que crea confusión en lo que está prohibido y en lo que está permitido, generando una violación al derecho constitucional de libertad de acción.
Con lo expuesto, mi opinión es que este debe ser vetado por la presidencia, y debe iniciarse un espacio de diálogo real que pueda dar paso a la construcción de una agenda integral de protección de datos y ciberseguridad.
