Nueva Ley de Delitos Informáticos de El Salvador

Por Mauricio París

El desarrollo de la tecnología informática ha abierto las puertas a nuevas posibilidades de delincuencia antes impensables. La magnitud de los perjuicios ocasionados es a menudo muy superior a la usual en la delincuencia tradicional y también son mucho más elevadas las posibilidades de que no lleguen a descubrirse o castigarse.

Con 70 votos de todos los partidos políticos, la Asamblea Legislativa de El Salvador aprobó la Ley Especial Contra Delitos Informáticos, Decreto No. 260, publicado en el Diario Oficial del 26 de febrero de 2016, que busca sancionar delitos cometidos por medio de las nuevas tecnologías de información y comunicación y el uso de datos almacenados y difusión de información privada

Un delito informático o ciber delito es toda aquella acción antijurídica y culpable, que se da por vías informáticas o que tiene como objetivo destruir y dañar ordenadores, medios electrónicos y redes de Internet. Debido a que la informática se mueve más rápido que la legislación, existen conductas criminales por vías informáticas que no pueden considerarse como delito.

Una de las principales causas por las que se decidió legislar en este campo fueron situaciones de denegación de servicio, malware y trolleo que se han producido en los últimos años en los sitios web de la entidades Estatales y en las empresas privada de este país. Al no contar con una tipificación establecida se producía una situación de inseguridad jurídica e impunidad.

El objetivo general de esta legislación es desarrollar una normativa que proteja de manera integral el tema de la protección de identidad de las personas que acceden al mundo de la tecnología.

Su marco de aplicación es sobre hechos punibles realizados total o parcialmente dentro del territorio salvadoreño, también se aplicara si el hecho inició fuera de dicho territorio pero se consumó dentro de él o en los que se utilizó infraestructura tecnológica salvadoreña, por ejemplo redes informáticas o servidores. También se aplicará en aquellos casos en que las víctimas sean ciudadanos salvadoreños o se afecten bienes jurídicos del Estado salvadoreño.

En relación a los delitos informáticos en sí,  estos son algunos de los más relevantes que se regularon:

  1. Acceso indebido a sistemas informáticos: que se podría configurar por ejemplo accediendo sin permiso al Whatsapp de su pareja.
  2. Daños a sistemas informáticos: que se sancionan incluso de forma culposa en casos de imprudencia, negligencia, impericia o inobservancia de las normas establecidas, por ejemplo un empleado que instala software malicioso sin autorización en contradicción con las políticas de seguridad informática de la empresa.
  3. Posesión de equipos o prestación de servicios para la vulneración de la seguridad: es un tipo penal curioso por cuanto sanciona la mera tenencia con fines de comercialización de estos equipos.
  4. Acoso sexual tecnológico: Se sanciona una conducta sexual indeseada por su receptor que implique frases, señas u otras conductas inequívocas de carácter sexual.
  5. Estafa y el fraude informático: La diferencia entre ambos tipos penales es muy sutil y parece que puede complicar su aplicación en cuanto a tipicidad de las conductas. Pareciera que la diferencia radica en que en el fraude informático el hecho ilícito principal es el uso indebido de la tecnología, mientras que en la estafa, la tecnología es sólo la herramienta mediante la cuál se comete el delito. Es decir, por ejemplo la alimentación con órdenes de compra falsas de un sistema de compras de una empresa sería una estafa informática, mientras que el hackeo de dicho sistema para procurar un pago en una cuenta bancaria distinta de la registrada sería un fraude informático.
  6. Utilización de Datos Personales: Se sanciona el mero uso sin autorización de datos personales por medio de sistemas informáticos, sin diferenciar el tipo de datos personales que sean utilizados, lo cuál pareciera excesivo, tomando en consideración que la Ley define Datos Personales Sensibles, que son los que entendemos revisten un mayor interés en su protección.
  7. Delitos informáticos contra menores de edad: Se regula con gran detalle situaciones de vulnerabilidad de menores de edad, tales como pornografia, corrupción y acoso.
  8. Acciones tipo revenge porn: Se sanciona la revelación indebida de datos o información de carácter personal cuando sin consentimiento se difunda información o datos, siendo un agravante en la pena que se trate de imágenes, videos, textos o audios que constituyan material sexual explícito.

Un tema que fue muy discutido en el Salvador es la no inclusión del artículo 24, el cual se refería a los delitos contra el honor y la intimidad de las personas a través de soportes informaticos, incluidas, las redes sociales por medio de la publicación de información falsa, dejando en la impunidad a quienes causen daño a la imagen de terceras personas por medio de las plataformas digitales, en especial redes sociales.

Los diputados consideraron que en su redacción original se atentaba contra la libertad de expresión en las redes sociales.  El artículo original decía: “quien causare perjuicio, dañe la dignidad, el honor o la intimidad de una persona o grupo de personas (…) haciendo uso de las tecnologías de la Información y la Comunicación, será sancionado con prisión de uno a tres años”. En uno de los incisos del artículo se exoneraba de responsabilidad a los medios de comunicación.

Un diputado, llevó al plenario una nueva propuesta de redacción buscando que aquel que “desde el anonimato o usando identidades falsas, (…) dañare la intimidad mediante el uso de las tecnologías de la información y comunicación, serán sancionados con prisión de uno a tres años”. Además, propuso incluir agravantes para quienes pusieran en riesgo la integridad física de una persona o difundieran información dañina con un ánimo de lucro.  Sin embargo esta propuesta no logró los votos suficientes para ser incluida en la Ley por lo que quedaron sin regular los ataques de los troles en las redes sociales.

Por último, esta Ley contiene dos definiciones interesantes en materia de Protección de Datos Personales. Primero, define Datos Personales como: “la información privada concerniente a una persona, identificada o identificable, relativa a su nacionalidad, domicilio, patrimonio, dirección electrónica, número telefónico u  otra similar.” Esta definición pareciera más acertada en su redacción que el legislador salvadoreño le dio a este mismo concepto en la Ley de Firma Electrónica que fue aprobada en el último trimestre del año 2015, sin embargo, existe una evidente contradicción entre ambas legislaciones en el tanto la Ley de Firma Electrónica define Dato Personal de Alcance Público como: “Datos que no afectan la intimidad del titular de la misma, como los datos relativos al estado familiar de la persona entre otros, y que pueden estar contenidos en registros públicos.” No obstante, en la Ley de Delitos Informáticos se incluyó una definición de Datos Personales Sensibles que los delimita como “los que corresponden a una persona en lo referente al credo, religión, origen étnico, filiación o ideologías políticas, afiliación sindical, preferencias sexuales, salud física o mental, situación moral, familiar y otras informaciones íntimas de similar naturaleza o que pudieran afectar el derecho al honora, a la propia imagen, a la intimidad personal y familiar.”

Entonces, los datos relativos al estado o situación familiar de una persona ¿Son de alcance público o sensibles? Como indicamos en otro artículo sobre el tema, usualmente los datos relativos a la familia son considerados sensibles, y por ende, consideramos que la legislación más acertada sobre el tema es la Ley de Delitos Informáticos.