La Asamblea Legislativa aprobó el jueves la reforma de la Ley Especial contra Delitos Informáticos y Conexos para sancionar con cárcel a quienes hagan uso ilegítimo de datos de terceros.

En el artículo 11 se incluye el inciso de fraude informático "el que mediante el uso indebido de las tecnologías de la información y comunicación, valiéndose de cualquier manipulación de sistemas informáticos, componentes, datos, metadatos o la información en ellas contenida inserte instrucciones falsas o fraudulentas que resulten en un provecho para sí o para un tercero será sancionado con prisión de seis a 10 años.

Asimismo, será sancionado con prisión de 10 a 12 años quien en razón de sus funciones tenga acceso legítimo a un sistema informático, base de datos, sistemas de relaciones con clientes, sistemas de plataformas de ventas, servicios de centros de contacto, servicios basados en tecnología Blockchain o servicios donde información de terceros están disponibles con el fin de consultar, extraer o utilizar de manera ilegítima, registros de información de terceros o para otorgar beneficios no autorizados.

"El problema es el contexto"

"El problema con este tipo de iniciativas o de leyes muchas veces no es el texto, sino el contexto en el que estamos viviendo, y qué instituciones son las que las van a aplicar, con qué discrecionalidad y con qué intencionalidad lo harán", dijo la diputada de Vamos, Claudia Ortiz.

Agregó que el texto de la reforma puede estar bien estructurado, la duda está en su aplicación. "Lo que podemos esperar en su aplicación, muchas veces con la discrecionalidad que hemos visto en el uso del poder y de las instituciones, no nos deja del todo tranquilos respecto a que se use de la mejor manera", sostuvo.

Para leer: Grupo de hackers filtra base de datos de 974,428 cotizantes del ISSS

La diputada de ARENA, Marcela Villatoro, señaló, previo al desarrollo de la plenaria, que la reforma podría ser "positiva en cierto modo".

"Ojalá que se logre mejorar", dijo.

“Laguna jurídica e impunidad”

Para la aprobación del dictamen de la reforma, la Comisión de Salvadoreños en el Exterior recibió los aportes de Karla Machón, presidenta de la Cámara Americana de Comercio de El Salvador (AmCham), Sergio Campos, coordinador general y con Héctor Cuchilla, presidente del Comité de Ciberseguridad de la Cámara.

Campos expuso que ven necesarias las reformas en tanto a que se pueda perseguir este tipo de delitos y que también las empresas tengan ese respaldo de la seguridad jurídica.

“Se ha analizado el marco normativo actual que existe, junto también con la experiencia que las industrias han vivido respecto a todos estos tipos de ilícitos y se ha concluido que actualmente existe lo que en Derecho se conoce como una laguna jurídica, precisamente, para poder judicializar este tipo de ilícitos”, señaló el especialista.

Cuchilla, investigador forense digital, explicó cómo funciona la industria los servicios tercerizados, lo que se conoce en el país como “call center” o “centros de contacto”: Una compañía en el exterior o local contrata a un centro de contacto para que maneje todos sus interacciones de servicio al cliente, de venta, de soporte técnico; pero en ese proceso de oficina le va a dar una cierta cantidad de permisos sobre los datos.

LEA: Comisión avala que se amplié el alcance del delito de fraude informático

“El problema que hemos estado notando nosotros es que hay sindicatos de crimen organizado que buscan a los colaboradores de los centros de contacto, les ofrecen sobornos para facilitar información que está en la base de datos de esas empresas. Esa información luego es utilizada para secuestrar cuentas, hacer compras, desviar fondos”, explicó Cuchilla.

Además, expuso las consecuencias a nivel empresarial, señalando que existe una cadena de afectación. “En primera instancia el cliente pierde su información, el cliente presenta su queja con la entidad que manejaba sus datos, este pasa el reclamo al centro de contacto, el centro de contacto lo va a pagar, pero eso también conlleva pérdida de negocios, de reputación, multas”.

“El problema legal que vemos es que cuando queremos judicializar estos casos es que yo no voy a poder suministrar evidencia, porque según la legislación actual, yo no fui víctima directa de este incidente, aunque yo pagué todos los costos”, resaltó.

Machón, por su parte, añadió que actualmente si un colaborador comete un acto ilícito que afecte al cliente final, por filtración de información, confidencialidad, extorsión o incurren fraude; no pueden proceder legalmente si el cliente no está inscrito en El Salvador o no es dueño de la información según las leyes salvadoreñas.

“Esto genera impunidad, limita nuestra capacidad de acción y debilita la confianza a nuestros socios internacionales. En paralelo, El Salvador tiene una enorme oportunidad estratégica de incrementar su participación en el mercado global de call centers y servicios”, consideró.

Karla Machón informó que estiman que por delitos de este tipo en años recientes, El Salvador ha perdido alrededor de 5,000 puestos de trabajo.

“Respaldar esta reforma significa defender la confianza fortalecer nuestra competitividad global proteger empleos y consolidar El Salvador como un destino sólido y moderno en la industria digital”, concluyó Machón.

Sin vulnerar la libertad de expresión. El diputado Reynaldo Cardoza expresó que la reforma al marco legal no es para vulnerar la libertad de expresión, sino para “perseguir a pícaros”.

Lo anterior, en referencia a casos de estafas que conoce de personas de su departamento, Chalatenango, pues lamentó que los campesinos son vulnerables a caer en estas prácticas.

Nuevas definiciones

El dictamen establece que en el art. 3 se incorporen los literales “v”, “w”, “x”, “y” y “z” de la siguiente manera:

v) Propietario de los datos: es la persona o entidad que tiene la propiedad principal sobre sus datos, esto implica la autoridad de exigir la implementación de políticas y procedimientos sobre cómo se almacenan y manejan sus datos. El propietario de los datos tiene el derecho a que se garantice que sus datos sean precisos, accesibles y protegidos contra usos no autorizados.

w) Custodio de los datos: Es la persona o entidad encargada de la gestión técnica de la protección de los datos. Esto incluye tareas como la implementación de medidas de seguridad, la administración de la infraestructura de almacenamiento de datos y el cumplimiento de las políticas y procedimientos exigidos por el propietario de los datos. 

El custodio de los datos asegura que esto se maneje de acuerdo con los estándares y regulaciones aplicables.

x) Controlador de los datos: Es la persona o entidad que determina los propósitos y los medios para el procesamiento de datos personales, esto implica decidir por qué y cómo se procesan los datos personales.

El controlador de los datos personales tiene la responsabilidad de garantizar que el procesamiento de datos cumpla con los estándares y regulaciones aplicables.

y) Procesador de los datos: Es la persona o entidad que procesa datos personalmente en nombre del controlador de los datos. Las actividades de procesamiento puede incluir la recopilación, eliminación de datos personales. El procesador de los datos posee además la calidad de custodio de los datos, por lo que debe seguir las instrucciones del controlador de los datos y cumplir con las obligaciones contractuales.

z) Metadatos: Se definen como los datos que proporcionan información sobre uno o más aspectos de los datos, se utiliza para resumir la información básica sobre los datos que pueden facilitar el seguimiento con datos específicos.