El artículo original castiga con prisión de 5 a 8 años a las personas que obtengan y transfieran información confidencial para usar dicha información en la vulneración de un sistema informático, apoyándose en tecnologías informativas.
La reforma suprime la referencia a la vulneración a un sistema informático, dejando el delito a la transferencia u obtención de información confidencial.
Así, castiga con las mismas penas una conducta distinta: obtener o transferir mediante uso de tecnologías de información confidencial –por ley, reglamento o acuerdo entre personas naturales o jurídicas– sin el consentimiento de titulares de la información.
La modificación, pese a que forma parte de un dictamen favorable de la Comisión de Seguridad, aún no es ley. El dictamen será sometido a votación del pleno legislativo salvadoreño el próximo martes.
Tracoda advierte riesgos.
El especialista informático Carlos Palomo explicó que, cuando el nuevo artículo 25 indica el que “obtenga o transfiera” un documento confidencial, implica básicamente todo: desde enviar por mensajería instantánea como WhatsApp o Telegram hasta descargar archivos que el Gobierno publique en un sitio web o un portal de transparencia que hayan sido declarados confidenciales.
“Con la reforma, por el solo hecho de descargarlos o mandarlo por WhatsApp podrían procesar” a una persona, ejemplificó.
Palomo, quien también es presidente de la Asociación Transparencia, Contraloría Social y Datos Abiertos (Tracoda) en El Salvador, aseguró que es válido que el legislador busque proteger los datos personales que los salvadoreños entregan a las entidades gubernamentales.
Sin embargo, observó que se podría clasificar errónea o dolosamente como confidencial una información pública e iniciar una persecución penal contra una persona “por el solo hecho de descargar un documento publicado en una página web”.
Palomo aclaró que es posible ver documentos que tienen información confidencial subidos en los portales de transparencia.
Espionaje informático.
La ley actual castiga la obtención de información confidencial cuando se trata de un “espionaje informático”.
El espionaje informático es definido actualmente como la obtención de información confidencial o reservada de sistemas que utilicen tecnologías de la información y la comunicación. Las penas son idénticas al delito que se pretende regular en el artículo 25, es decir, transferir u obtener cualquier información confidencial a través de tecnologías de información y comunicación.
Actualmente, también está prohibido el uso de datos personales en el uso de tecnologías de la información, conducta castigada con penas de 4 a 6 años de prisión. Así mismo, se castiga la difusión o revelación de información privada y personal en tecnologías de información y de comunicación.
Reforma por el bitcoin.
La reforma acordada en la Comisión de Seguridad también busca castigar delitos relacionados a la vulneración de sistemas de transacciones de criptomonedas como el bitcoin. El proyecto original de la reforma indicaba expresamente la palabra “bitcoin” pero fue sustituida como “moneda de curso legal” a sugerencia del diputado Dennis Salinas, de Nuevas Ideas. En El Salvador, la Ley Bitcoin autorizó el bitcoin como moneda de curso legal de El Salvador. La Ley de Integración Monetaria también establece el dólar como moneda de curso legal.
- Castigan delitos contra vulnerables.
La reforma crea delitos contra niños y personas con discapacidad: secuestro de datos informáticos, seducción, intercambio de mensajes o extorsión sexual. Las penas son diferenciadas pero van de 1 hasta 8 años de prisión.
- Más prisión a fraudes a sistemas bitcoin.
La reforma sube las penas del fraude informático de 3-6 años (actual) a 6-10 años. Como novedad, si el fraude se da contra sistemas de transferencias de monedas de curso legal (como el bitcoin) la reforma sube la pena a 10-12 años de prisión.
- Más prisión por hurto lucrativo de identidad.
Suben las penas cuando el hurto de identidad se realiza con ánimo de lucro. Las penas actuales son 3-5 años, y suben de 6-10 años de prisión.
- Pena culposa a responsables de datos.
La reforma agrega que el responsable del almacenamiento o cuido de datos informáticos responderá culposamente, con penas de 1-3 años, cuando haya extracción y uso de datos personales.
- Posesión y uso de equipos de vulneración.
Este delito es castigado con penas de 3-5 años. La reforma baja la pena de 1-3 años cuando no se haya logrado la vulneración o eliminar la seguridad informática.