DECRETO No.
236.-
LA ASAMBLEA
LEGISLATIVA DE LA REPÚBLICA DE EL SALVADOR,
CONSIDERANDO:
I. Que la Constitución de
la República, reconoce a la persona humana como el origen y el fin de la
actividad del Estado, que está organizado para la consecución de la justicia,
de la seguridad jurídica y del bien común.
II. Que mediante
Decreto Legislativo No. 260, de fecha 04 de febrero de 2016, publicado en el
Diario Oficial No. 40, Tomo 410, del 26 de ese mismo mes y año, se emitió el
Ley Especial contra los Delitos Informáticos y Conexos, la que tiene por objeto
proteger los bienes jurídicos de aquellas conductas delictivas cometidas por
medio de las Tecnologías de la Información y la Comunicación, así como la
prevención y sanción de los delitos cometidos en perjuicio de los sistemas
informáticos, su infraestructura o cualquiera de sus componentes, los datos
almacenados, procesados o transferidos; o los cometidos mediante el uso de
dichas tecnologías que afecten intereses asociados a otros bienes jurídicos
como el patrimonio, la integridad o identidad sexual, la identidad, intimidad y
propia imagen de las personas naturales o jurídicas.
III. Que en la
actualidad se han identificado una diversidad de conductas que pueden cometerse
a través del abuso de las Tecnologías de la Información y la Comunicación, que
actualmente no se encuentran reguladas en la Ley, generándose con ello
perjuicios a bienes jurídicos tutelados por la Constitución por lo que deben
ser regulados para combatir la delincuencia.
IV. Que de igual
manera, en razón de los avances de las tecnologías y comunicaciones se vuelve
indispensable la actualización del marco normativo que la regula, introduciendo
modificaciones a algunos de los tipos penales existentes, incrementado la pena
de unos de ellos en razón de la alta lesividad que representan y estableciendo
las nuevas formas de las conductas delictivas que permitan homologar la
legislación bajo los estándares internacionales para facilitar su detección,
investigación y sanción.
V. Qué para
aplicar a los hechos punibles de la normativa existente, es necesario dotar a
las instituciones responsables de la investigación del delito y del ejercicio
de la acción penal, como son la Fiscalía General de la República y la Policía Nacional
Civil de los recursos institucionales necesarios para ello.
POR TANTO,
en
uso de sus facultades constitucionales y a iniciativa de los Diputados:
Francisco Eduardo Amaya Benítez, Walter David Coto Ayala, Carlos Hermann Bruch
Cornejo, Mauricio Edgardo Ortiz Cardona, Dennis Fernando Salinas Bermúdez,
Francisco Josué García Villatoro, Erick Alfredo García Salguero y Ana Maricela
Canales de Guardado.
DECRETA, las
siguientes:
REFORMAS A LA LEY ESPECIAL CONTRA LOS DELITOS INFORMÁTICOS Y
CONEXOS.
Art 1.- Refórmase el Art. 3, en el sentido de incorporar las siguientes
definiciones:
“r) Código Malicioso: Todo programa o
conjunto de instrucciones en un lenguaje de programación que ejecuta el
programa y que es diseñado para causar algún tipo de perjuicio;
s) Virus Informático:
Es un programa malicioso que tiene por objetivo alterar el normal
funcionamiento de un ordenador, equipo, dispositivo o su información;
t) Personas con
Discapacidad: Son todas aquellas personas que tengan deficiencias físicas, psicosociales,
intelectuales o sensoriales a largo plazo que, al interactuar con diversas
barreras, puedan ver impedida o reducida su participación plena y efectiva en
todos los ámbitos de la sociedad y que le generen mayor riesgo de padecer
abusos tanto de carácter sexual, físico o psicológico;
u) Seducción: Conjunto de
conductas que tienen como finalidad establecer una relación de intimidad para
obtener un contacto de índole sexual.”
Art. 2.- Refórmase el Art. 6, de la siguiente forma:
“Interferencia
del Sistema Informático
Art. 6.- El que intencionalmente y por cualquier medio interfiera o altere
el funcionamiento de un sistema o programa informático, de forma temporal o
permanente, será sancionado con prisión de tres a seis años.
Se
considerará agravada la interferencia o alteración, si ésta recayera en
programas o sistemas informáticos públicos o en sistemas informáticos
destinados a la prestación de servicios de salud, de comunicaciones, de
provisión y transporte de energía, de medios de transporte u otros de servicio
público, o destinados a la prestación de servicios financieros, o la
realización de transacciones en Bitcoin u otras criptomonedas que permitan su
convertibilidad automática e instantánea a moneda de curso legal, en estos
casos la sanción de prisión será de cuatro a siete años.”
Art. 3.- Refórmase el Art. 7, de la siguiente forma:
“Daños a
Sistemas Informáticos
Art. 7.- El que destruya, dañe, modifique, ejecute un programa o realice
cualquier acto que afecte el funcionamiento, o inhabilite parcial o totalmente
un sistema o programa informático que utilice las Tecnologías de la Información
y la Comunicación o cualquiera de los componentes que las conforman, será
sancionado con prisión de tres a seis años.
Si
el delito previsto en el presente artículo se cometiere en contra de cualquiera
de los componentes de un sistema o programa informático que utilicen las
Tecnologías de la Información y la Comunicación, que estén destinadas a la
prestación de servicios públicos o financieros o la realización de
transacciones en Bitcoin u otras criptomonedas que permitan su convertibilidad
automática e instantánea a moneda de curso legal, o que contengan información
personal, confidencial, reservada, patrimonial, técnica o propia de personas
naturales o jurídicas, será sancionado con prisión de cuatro a siete años.
Si
el delito previsto en el presente artículo se ejecutare por imprudencia, será
sancionado con prisión de uno a tres años.”
Art. 4.- Refórmase el Art. 8, de la siguiente forma:
“Posesión y
uso de Equipos o Prestación de Servicios para la Vulneración de la Seguridad
Art. 8.- El que posea, produzca, facilite, venda equipos, dispositivos,
programas informáticos, códigos maliciosos, virus informáticos, contraseñas o
códigos de acceso; que utilicen las Tecnologías de la Información y la
Comunicación, con el propósito de vulnerar, eliminar ilegítimamente la
seguridad de cualquier sistema o programa informático, ofrezca servicios
destinados a cumplir los mismos fines para cometer cualquiera de los delitos
establecidos en la presente Ley, será sancionado con prisión de tres a cinco
años.
Si
el cometimiento delictivo se hiciere mediante el uso de los equipos,
dispositivos, programas informáticos, códigos maliciosos, virus informáticos,
contraseñas o códigos de acceso, aun cuando no se haya logrado la finalidad de
eliminar ilegítimamente la seguridad informática, será sancionado con prisión
de uno a tres años.”
Art. 5.- Refórmase el Art. 10, de la siguiente forma:
“Estafa
informática
Art. 10.- El que manipule o influya en el ingreso, el procesamiento o
resultado de los datos de un sistema que utilice las Tecnologías de la
Información y la Comunicación, ya sea mediante el uso de datos falsos o
incompletos, el uso indebido de datos o programación, valiéndose de alguna
operación informática o artificio tecnológico o por cualquier otra acción que
incida en el procesamiento de los datos del sistema o que dé como resultado
información falsa, incompleta o fraudulenta, con la cual procure u obtenga un
beneficio patrimonial indebido para sí o para otro, en perjuicio patrimonial
ajeno, será sancionado con prisión de cinco a ocho años.
Se
sancionará con prisión de ocho a diez años, si las conductas descritas en el
inciso anterior se cometieren bajo los siguientes presupuestos:
a) En perjuicio de propiedades del Estado;
b) Contra sistemas bancarios y entidades
financieras, y se vieren o no afectados usuarios de los mismos; y,
c) Cuando el autor sea un empleado encargado
de administrar, dar soporte al sistema, red informática, telemática o que en
razón de sus funciones tenga acceso a dicho sistema, red, contenedores
electrónicos, ópticos o magnéticos.”
Art. 6.- Refórmase el Art. 11, de la siguiente forma:
“Fraude
Informático
Art. 11.- El que por medio del uso indebido de las
Tecnologías de la Información y la Comunicación, valiéndose de cualquier
manipulación en sistemas informáticos o cualquiera de sus componentes, datos
informáticos o información en ellos contenida, consiga insertar instrucciones
falsas o fraudulentas que produzcan un resultado que permita obtener un
provecho para sí o para un tercero en perjuicio ajeno, será sancionado con
prisión de seis a diez años.
Si
las conductas descritas en el inciso anterior se realizaran contra sistemas
bancarios y entidades financieras o si afectan a usuarios de tales entidades;
si afectaren la realización de transacciones de Bitcoin u otras criptomonedas o
afecten sistemas que permitan su convertibilidad automática e instantánea a
moneda de curso legal; y cuando el autor sea un empleado encargado de
administrar, dar soporte al sistema, red informática, telemática o que en razón
de sus funciones tenga acceso a dicho sistema, red, contenedores electrónicos,
ópticos o magnéticos, será sancionado con prisión de diez a doce años.”
Art. 7.- Intercálase entre el Art. 11 y el Art. 12, el Art. 11-A, así:
“Falsedad de
Documentos y Firmas
Art 11-A.- Quien falsifique, desencripte, descodifique o
de cualquier modo descifre, divulgue o trafique, con documentos, firmas,
certificados, sean digitales, digitalizados o electrónicos, de registros
públicos o privados, será sancionado con prisión de tres a seis años.”
Art. 8.- Refórmase el Art. 13, de la siguiente forma:
“Hurto por
Medios Informáticos
Art. 13.- El que, por medio del uso de las Tecnologías de la Información y
la Comunicación, se apodere de bienes o valores tangibles o intangibles de
carácter personal o patrimonial, sustrayéndolos a su propietario, tenedor o
poseedor, con el fin de obtener un provecho económico para sí o para otro, será
sancionado con prisión de cinco a ocho años.
Quien
facilitare o dispusiera de cuenta electrónica, tarjetas de crédito o cualquier
otro servicio financiero que permita trasladar, desviar u ocultar la
transacción que regula el inciso anterior, será sancionado con prisión de dos a
cinco años.”
Art. 9.- Refórmase el Art. 22, de la siguiente forma;
“Hurto de
Identidad
Art. 22.- El que suplantare o se apoderare de la identidad de una persona
natural o jurídica por medio de las Tecnologías de la Información y la
Comunicación, será sancionado con prisión de tres a cinco años.
Si
con la conducta descrita en el inciso anterior se daña, extorsiona, defrauda,
injuria o amenaza a otra persona para ocasionar perjuicio u obtener beneficios
para sí mismo o para terceros y el apoderamiento recae sobre datos personales,
datos sensibles, o datos confidenciales, definidos así por disposición legal o
reglamentaria, o por acuerdo de voluntades entre personas naturales o
jurídicas, será sancionado con prisión de cinco a ocho años.
Si
con el comportamiento del inciso anterior los datos obtenidos, lo fueron, con
ánimo de lucro para sí o para un tercero, la pena de prisión será de seis a
diez años.”
Art. 10.- Refórmanse los incisos primero y segundo del Art. 23, de la
siguiente forma:
“Obtención y
Divulgación No Autorizada
Art. 23.- El que sin autorización obtenga o dé a conocer por medio de las
Tecnologías de la Información o Comunicación, un código, contraseña de acceso o
cualquier otro medio de acceder a un programa o datos almacenados en un equipo
o dispositivo tecnológico, con el fin de lucrarse así mismo, a un tercero o
para cometer un delito, será sancionado con prisión de cinco a ocho años.
Igual
sanción tendrá el que sin autorización revele o difunda los datos o
información, contenidos en un sistema informático que utilice las Tecnologías
de la Información y la Comunicación o en cualquiera de sus componentes, con el
fin de obtener algún tipo de beneficio para sí o para otro.”
Art. 11.- Refórmase el Art. 24, de la siguiente forma:
“Utilización
de Datos Personales
Art. 24.- El que sin autorización utilice datos personales o datos
personales sensibles a través del uso de las Tecnologías de la Información y la
Comunicación, violando sistemas de confidencialidad y seguridad de datos,
insertando o modificando los datos en perjuicio de un tercero, será sancionado
con prisión de cuatro a seis años.
La
sanción aumentará hasta en una tercera parte del máximo de la pena prevista en
el inciso anterior a quien proporcione o revele a otro, datos informáticos
personales o personales sensibles registrados en un archivo o en un banco de
datos cuyo secreto o confidencialidad estuviere obligado a preservar.
La
persona natural o jurídica responsable del almacenamiento y cuido de los datos
informáticos, responderá culposamente por la falta de control en el personal
que incurriera en el inciso anterior, o por la falta de implementación de
sistemas de seguridad informáticos que posibilitaron la extracción y uso, cuya
sanción será de uno a tres años de prisión.”
Art. 12.- Refórmase el Art. 25, de la siguiente forma:
“Obtención y
Transferencia de Información de Carácter Confidencial
Art. 25.- El que deliberadamente obtenga o transfiera mediante el uso de
las Tecnologías de la Información y la Comunicación, información de carácter
confidencial, definida así por disposición legal o reglamentaria, o por acuerdo
de voluntades entre personas naturales o jurídicas, sin el consentimiento de
los titulares de esa información, será sancionado con prisión de cinco a ocho
años.”
Art. 13.- Adiciónese al Capítulo III “DELITOS INFORMÁTICOS RELACIONADOS CON
EL CONTENIDO DE LOS DATOS”, el siguiente artículo:
“Secuestro
de Sistemas, Programas o Datos Informáticos
Art. 26-A.- Quien por cualquier medio telemático accediere
a sistemas de programas, o dispositivos electrónicos o datos informáticos de
una persona natural o jurídica, restringiendo el acceso a ellos y a los datos
informáticos almacenados, con el propósito de exigir u obtener un provecho a
cambio de la liberación de estos, será sancionado con prisión de cuatro a seis
años.
Si
la conducta del inciso anterior afectare a sistemas, programas o datos informáticos
destinados a la prestación de servicios de salud, de comunicaciones, de
provisión y transporte de energía, de medios de transporte u otros de servicio
público, o destinados a la prestación de servicios financieros, o la
realización de transacciones en Bitcoin u otras criptomonedas, así como que
permitan su convertibilidad automática e instantánea a moneda de curso legal,
la sanción de prisión será de seis a ocho años.”
Art. 14.- Adiciónese al Capítulo IV “DELITOS INFORMÁTICOS CONTRA NIÑAS,
NIÑOS Y ADOLESCENTES O PERSONAS CON DISCAPACIDAD”, los siguientes artículos:
“Seducción
de niñas, niños y adolescente o personas con discapacidad por medio de las
tecnologías de la información y la comunicación
Art. 28-A.- El que mediante el uso de las Tecnologías de
la Información y la Comunicación establezca o entable una relación con una
niña, niño, adolescente o persona con discapacidad, con la finalidad de
sostener un contacto de índole sexual, mediante esas tecnologías, o en persona,
será sancionado con prisión de uno a tres años.
Intercambio
de mensajes de contenido sexual con niñas, niños y adolescentes o personas con
discapacidad por medio de las tecnologías de la información y la comunicación
Art. 28-B.- El que mediante el uso de las Tecnologías de
la Información y la Comunicación envíe, solicite, intercambie o transmita con
una niña, niño, adolescente o persona con discapacidad, audios, imágenes o
videos de contenido sexual o sexualmente explícitas reales o simuladas, será
sancionado con prisión de dos a cuatro años.
Extorsión
sexual de niñas, niños y adolescentes o personas con discapacidad por medio de
las tecnologías de la información y la comunicación
Art. 28-C.- El que obligue, chantajee, amenace o coaccione
a una niña, niño, adolescente o persona con discapacidad, a enviar, remitir o
trasmitir audios, imágenes o videos de contenido sexualmente explícito reales o
simuladas, o de su cuerpo desnudo, con el propósito de obtener satisfacción
sexual o provecho, utilidad, beneficio o ventaja para sí o para un tercero,
será sancionado con prisión de ocho a doce años.
Si
la conducta del inciso anterior también se amenazare, si no cumpliere con sus
demandas y exigencias de proporcionar más contenido, con ocasionar un daño a
sus amigos o familiares, o solicitare cualquier cantidad de remuneración
económica, a cambio de no compartir, difundir o publicar el contenido
sexualmente explícito reales o simuladas que tiene en su poder, incluidas de su
cuerpo desnudo, será sancionado con la pena máxima de prisión.”
Art. 15.- Adiciónese al Título III “DISPOSICIONES FINALES”, los siguientes
artículos:
“Especialización
en la Investigación de los Delitos Informáticos
Art. 35-A.- La Policía Nacional Civil y la Fiscalía
General de la República deberán asegurar que el personal de investigaciones y
los fiscales auxiliares cuenten con el conocimiento necesario y la
actualización constante para la realización de sus atribuciones y el combate de
los delitos informáticos contenidos en esta Ley y en otras Leyes Penales.
Unidades de
Investigación Científica de los Delitos Informáticos, Tratamiento y Análisis de
la Evidencia Digital
Art. 35-B.- La Policía Nacional Civil y la Fiscalía
General de la República conforme a la organización que cada uno de los
titulares de ellas determinen, podrán contar con Unidades de Investigación
Científica de los Delitos Informáticos, Tratamiento y Análisis de la Evidencia
Digital que permitan realizar las pericias de auditoria informática forense u
otras que se requieran en la investigación de los hechos punibles contemplados
en esta Ley y en otras en que se dispongan delitos informáticos o se requiera
el tratamiento y análisis de la evidencia digital; debiendo los titulares de
cada una de las instituciones garantizar la organización institucional
necesaria para tal fin y la coordinación entre ellas.
Presupuestos
institucionales
Art. 35-C.- El Estado a través del Ministerio de Hacienda,
deberá garantizar para la ejecución de la presente Ley por parte de la Policía
Nacional Civil, Procuraduría General de la República y la Fiscalía General de
la República, la asignación de partidas presupuestarias etiquetadas en el
Presupuesto General de la Nación para cada año, las cuales deberán permitir la
constante actualización de los equipos, de los sistemas o programas informáticos
o pagos de licencias, la contratación de personal especializado y la
capacitación y actualización constante de los mismos.
Para
efectos del inciso anterior, la Policía Nacional Civil, Procuraduría General de
la República y la Fiscalía General de la República deberán indicarla al
Ministerio de Hacienda, en su respectivo proyecto de presupuesto para cada
ejercicio fiscal, sus necesidades institucionales para tal fin, y esta última
cartera de Estado, deberá priorizar conforme lo permitan, los ingresos
generales del Estado, la asignación de las partidas presupuestarias
necesarias.”
Art. 16.- El presente decreto entrará en vigencia ocho días después de su
publicación en el Diario Oficial.
DADO
EN EL SALÓN AZUL DEL PALACIO LEGISLATIVO: San Salvador, a los siete días del
mes de diciembre del año dos mil veintiuno.
ERNESTO ALFREDO CASTRO ALDANA,
PRESIDENTE.
SUECY BEVERLEY CALLEJAS ESTRADA,
PRIMERA VICEPRESIDENTA.
RODRIGO JAVIER AYALA CLAROS,
SEGUNDO VICEPRESIDENTE.
GUILLERMO ANTONIO GALLEGOS NAVARRETE,
TERCER VICEPRESIDENTE.
ELISA MARCELA ROSALES RAMÍREZ,
PRIMERA SECRETARIA.
NUMAN POMPILIO SALGADO GARCÍA,
SEGUNDO SECRETARIO.
JOSÉ SERAFÍN ORANTES RODRÍGUEZ,
TERCER SECRETARIO.
REINALDO ALCIDES CARBALLO CARBALLO,
CUARTO SECRETARIO.
CASA
PRESIDENCIAL: San Salvador, a los cinco días del mes de enero de dos mil
veintidós.
PUBLÍQUESE,
NAYIB ARMANDO BUKELE ORTEZ,
Presidente de la República.
HÉCTOR GUSTAVO VILLATORO FUNES,
Ministro de Justicia y Seguridad Pública.
Decreto
Legislativo No. 236 de fecha 07 de diciembre de 2021, publicado en el Diario
Oficial No. 8, Tomo 434 de fecha 12 de enero de 2022.