Ciberdelitos: reformas a leyes penales de El Salvador. 

Laura Hernández Rivera

Abogada y notaria con más de 10 años de experiencia. Especialista en Tecnologías, Protección de Datos Personales, Seguridad de la Información, Propiedad Intelectual Compleja y Políticas Públicas.

02/11/2022

Recientemente la Asamblea Legislativa de El Salvador reformó el Código Procesal Penal y la Ley Especial contra los Delitos Informáticos y Conexos con el objeto de actualizar la normativa actual relativa a los ciberdelitos, y establecer reglas que permitan detectar, investigar y sancionar los ciberdelitos. En este artículo abordamos los puntos que consideramos más relevantes de ambas reformas. 

¿Qué son los ciberdelitos o delitos informáticos?

Son conductas o actividades ilícitas, reguladas en las leyes penales, que puedan cometerse a través de las tecnologías de la información y la comunicación (TIC’s), o que afectan el funcionamiento o integridad de éstas. La virtualización de las actividades personales y profesionales, como medida para evitar la proliferación de la covid-19, ha provocado el aumento de los ciberdelitos y los riesgos asociados al uso de las TIC y los ciberdelitos. 

En El Salvador los ciberdelitos están regulados en la “Ley de Delitos Informáticos y Conexos” (D.L. No. 260, de fecha 04 de febrero de 2016). La ley tiene por objeto, según el texto legal, “proteger los bienes jurídicos de aquellas conductas delictivas cometidas por medio de las tecnologías de la información y la comunicación, así como la prevención y sanción de los delitos cometidos en perjuicio de los sistemas informáticos, su infraestructura o cualquiera de sus  componentes, los datos almacenados, procesado o transferidos; o los cometidos mediante el uso de dichas tecnologías que afecten intereses asociados a otros bienes jurídicos como el patrimonio, la integridad o identidad sexual, la identidad, intimidad y propia imagen de las personas naturales o jurídicas”. 

Aspectos relevantes de las reformas

  1. Ley de Delitos Informáticos y Conexos (LEDIC). 

Las reformas a la LEDIC fueron aprobadas por la Asamblea Legislativa a finales de 2021, sancionadas y publicadas por el Presidente Nayib Bukele en el Diario Oficial el 12 de enero del presente año. 

  • Se incorporan definiciones como código malicioso, virus informático. 
  • Se reforman algunos tipos penales relativos a: interferencia de sistema informático; daños a sistemas informáticos; posesión y uso de equipos o prestación de servicios para la vulneración de la seguridad; estafa informática; fraude informático (incorpora la afectación de transacciones en bitcoin y otras criptomonedas); falsedad de documento y firmas (descifrado de documentos); hurto por medios informáticos; hurto de identidad; obtención y divulgación no autorizada de códigos o contraseñas de acceso a programas o datos; utilización de datos personales; obtención y transferencia de información de carácter confidencial (criminaliza la mera obtención y transferencia de información confidencial); secuestro de sistemas, programas o datos informáticos. 
  • Se agregan artículos en el capítulo III, relativo a los delitos informáticos relacionados con el contenido de los datos, y en el capítulo IV, relativo a delitos informáticos contra niños, niñas, adolescentes, o personas con discapacidad. 

II. Código Procesal Penal (CPP)

Las reformas al CPP, aprobadas recientemente por la Asamblea, están pendientes de la sanción presidencial y la publicación en el Diario Oficial.  

-Regula el empleo de técnicas de investigación penal mediante programas informáticos, y mediante la legalización de la figura del “Agente Encubierto Digital”. 

– Define y enumera la información digital podrá ser presentada como evidencia digital. 

– Regula el registro de cadena de custodia, la incorporación, producción y valoración de la evidencia digital. 

– En la fase de instrucción del proceso penal se le faculta, ampliamente, a la Fiscalia General de la República la posibilidad de solicitar medidas cautelares para bloquear sitios en internet, redes sociales y plataformas, y asegurar la información contenida en ellas. 

Consideraciones

La promoción de la normativa en materia de ciberdelitos requiere de la participación multisectorial y la discusión amplia como mecanismo para procurar que las normas propuestas respondan a los estándares técnicos internacionales, a la necesidad de protección de la seguridad de sus ciudadanos en ambientes virtuales o al utilizar las tecnologías y, también, que sea observante de la normativa interna y los acuerdos y convenios internacionales en materia de derechos humanos. En el caso salvadoreño, hay dos aspectos graves de las reformas: no hubo participación multisectorial ni discusión de los proyectos de reformas, y las reformas son amplias, ambiguas y deficientes en la técnica legislativa. Todo lo anterior puede favorecer la afectación de derechos fundamentales. 

El agente encubierto digital podría monitorear, buscar, extraer, guardar, utilizar, transferir, ampliamente y sin controles, básicamente cualquier tipo de información contenida en dispositivos o transmitida mediante las TIC’s; la información colectada no requerirá necesariamente que se extraiga y certifique mediante procedimientos forenses aplicados por un perito forense certificado y especialista en evidencia digital; cualquier información digital será considerada evidencia y prueba válida en un juicio. 

El agente encubierto también podrá extraer información sin la autorización de un juez imparcial que determine el ejercicio legítimo de derechos, y esa información podrá introducirse como evidencia digital y prueba valida en un juicio penal. Dicha prueba podría no ser científica, idónea o legal; incluso podría haberse obtenido mediante la violación a derechos fundamentales y aun así ser incorporada al proceso penal y valorada como prueba. Ya sea que la información confidencial se haya obtenido en el ejercicio de la libertad de prensa o del derecho de acceso a información, el agente podrá extraerla y el juez tendrá a su disposición normas penales ambiguas, imprecisas y amplias que no cumplen con los estándares técnicos en materia de ciberdelitos ni con estándares de protección de derechos humanos y fundamentales. 

Es responsabilidad de los Estados prevenir, investigar y sancionar los ciberdelitos sin afectar el ejercicio legítimo de derechos y garantías procesales. Las reformas penales ponen en riesgo la libertad de expresión, libertad de prensa, la intimidad y seguridad, y los derechos de los titulares de datos personales del investigado o de terceros. Las reformas podrían utilizarse para criminalizar actividades realizadas en ejercicio de derechos fundamentales reconocidos en la Constitución de la Republica de El Salvador, y en convenios y tratados internacionales en materia de derechos humanos; podría afectar los derechos y garantías procesales de los investigados y la privacidad de terceras personas con quien el investigado interactúe mediante las TIC’s.