Diputados de Nuevas Ideas presentaron una iniciativa de reforma a la Ley Especial contra Delitos Informáticos y Conexos que busca sancionar con penas de diez a 12 años de prisión para las personas que se aprovechen del acceso legítimo a bases de datos de terceros y lo utilicen de manera ilegal o en beneficio propio.
La pieza de correspondencia ingresó en la sesión plenaria de este jueves suscrita por Dania González, Juan Rodríguez, Elisa Rosales, Alexia Rivas, Norma Lobo y Rubén Flores; se envió a estudio de la Comisión de Salvadoreños en el Exterior, Legislación y Gobierno.
Una parte de la propuesta de reforma es al delito de fraude informático, el cual establece sanciones de seis a diez años de prisión a quien por medio del uso indebido de las Tecnologías de la Información y la Comunicación, “valiéndose de cualquier manipulación en sistemas informáticos o cualquiera de sus componentes, datos informáticos o información en ellos contenida, consiga insertar instrucciones falsas o fraudulentas que produzcan un resultado que permita obtener un provecho para sí o para un tercero en perjuicio ajeno”.
En proyecto de reforma modifica la redacción para incorporar unos términos así: “El que mediante el uso indebido de las Tecnologías de la Información y la Comunicación, valiéndose de cualquier manipulación en sistemas informáticos, sus componentes, datos, metadatos, configuraciones o la información en ellos contenida, inserte instrucciones falsas o fraudulentas que resulten en un provecho para sí o para un tercero, en perjuicio ajeno”, y mantiene el mismo rango de años de cárcel.
Luego propone incorporar un inciso tercero para sancionar con una pena de prisión entre diez y 12 años a quienes usen su acceso a base de datos “con el fin de consultar, extraer o utilizar de manera ilegítima, registros de información de terceros, o para otorgar beneficios no autorizados, eliminar, ocultar o no documentar interacciones, realizar manipulaciones indebidas sobre los registros de información contenidos en dichos sistemas”.
También para los casos de “crear información falsa a nombre del propietario de los datos, excediendo las autorizaciones otorgadas, con el fin de obtener un beneficio para sí o para un tercero, en perjuicio del propietario de los datos, o del controlador o procesador de los mismos”.
Se aplicaría para quien “en razón de sus funciones”, tenga acceso legítimo a un sistema informático, base de datos, sistemas de gestión de relaciones con clientes (CRM), sistemas y plataformas de ventas, servicios de centros de contacto, servicios basados en tecnologías blockchain, servicios de subcontratación de procesos de negocio, y sistemas o servicios donde los registros de información de terceros estén disponibles.
Garantías de protección
La propuesta de los diputados oficialistas argumenta que es necesario contar con un marco legal “que brinde seguridad jurídica y certeza tanto a las entidades que ya operan en nuestro país y que custodian, controlan o procesan los datos de los usuarios, así como a aquellas nuevas inversiones que puedan verse incentivadas a establecerse en nuestro país, al contar con una normativa de avanzada que ofrezca garantías para el maneo de la información sensible de sus clientes o usuarios”.
Añade que aunque ya existe la ley para sancionar delitos informáticos “no existe una tipificación que permita que las entidades que custodian, controlan o procesan los datos de los usuarios puedan ejercer acciones penales contra los delitos de fraude informático”.
Indica que actualmente está habilitado para iniciar las acciones penales el propietario de los datos, “quien en la mayoría de ocasiones reside fuera del territorio nacional”.
Nuevos términos
La propuesta también incorpora nuevas definiciones a la Ley: Propietario de los datos, Custodio de los datos, Controlador de los datos y Procesador de los Datos.
- Propietario de los Datos: “Es la personas o entidad que tiene la propiedad principal sobre sus datos. Esto incluye la autoridad para exigir la implementación de políticas y procedimientos sobre cómo se manejan, almacenan y protegen sus datos. El propietario de los datos tiene el derecho a que se garantice que sus datos sean precisos, accesibles y protegidos contra usos no autorizados.
- Custodio de los Datos: Es la persona o entidad encargada de la gestión técnica y la protección de los datos. Esto incluye tareas como la implementación de medidas de seguridad, la administración de la infraestructura de almacenamiento de datos y el cumplimiento de las políticas y procedimientos exigidos por el Propietario de los Datos. El custodio de los datos asegura que estos se manejen de acuerdo con los estándares y regulaciones aplicables.
- Controlador de los Datos: Es la persona o entidad que determina los propósitos y los medios para el procesamiento de los datos personales. Esto implica decidir por qué y cómo se procesan los datos personales. El Controlador de los Datos tiene la responsabilidad principal de garantizar que el procesamiento de datos cumpla con los estándares y regulaciones aplicables.
- Procesados de los Datos: Es la persona o entidad que procesa datos personales en nombre del Controlador de los Datos. Las actividades de procesamiento pueden incluir la recopilación, almacenamiento, modificación o eliminación de datos personales. El Procesador de los Datos, posee además la calidad de custodio de los datos, por lo que, debe seguir las instrucciones del Controlador de los Datos y cumplir con las obligaciones contractuales y legales en relación con el manejo seguro y adecuado de los datos personales, así como los estándares y regulaciones aplicables.