Archivos de la etiqueta: Constitución de la República

28Ene/25

Decreto nº 743. Ley de Títulos Valores Electrónicos de 1 de octubre de 2020

Decreto, El Salvador, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Decreto nº 743. Ley de Títulos Valores Electrónicos de 1 de octubre de 2020. (Diario Oficial nº 7, nº tomo 430, de 12 de enero de 2021)

DECRETO Nº 743

LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE EL SALVADOR,

CONSIDERANDO:

I.- Que el artículo 101 de la Constitución de la República establece que el Estado promoverá el desarrollo económico y social mediante el incremento de la producción, la productividad y la racional utilización de los recursos y con igual finalidad, fomentará los diversos sectores de la producción y defenderá el interés de los consumidores.

II.- Que igualmente el artículo 102 garantiza la libertad económica, en lo que no se oponga al interés social. Asimismo, establece que el Estado fomentará y protegerá la iniciativa privada dentro de las condiciones necesarias para acrecentar la riqueza nacional y para asegurar los beneficios de esta al mayor número de habitantes del país.

III.- Que conforme al artículo 2 de la Carta Magna, toda persona tiene derecho a la seguridad jurídica; por lo que el Estado debe crear un marco legal que brinde seguridad a los usuarios de las comunicaciones electrónicas y a las transacciones autorizadas mediante las aplicaciones de la tecnología o la suscripción electrónica de las mismas, brindándoles validez jurídica.

IV.- Que debe modernizarse la legislación aplicable a los títulos valores, para que puedan emitirse y circular a través de medios electrónicos, cumpliendo con los requisitos establecidos en el Código de Comercio, en concordancia con los principios de neutralidad tecnológica y equivalencia funcional.

POR TANTO,

en uso de sus facultades Constitucionales y a iniciativa de las y los Diputados: Margarita Escobar, José Luis Urías, Rodolfo Antonio Martínez, Mayteé Gabriela Iraheta Escalante, Juan José Martel, Arnoldo Marín Villanueva, José Javier Palomo Nieto y Francisco José Zablah Safie; y con el apoyo de las y los Diputados: José Francisco Merino López, Rosa María Romero, José Andrés Hernández Ventura, Hortensia Margarita López Quintana, José Serafín Orantes Rodríguez y Sonia Maritza López Alvarado.

DECRETA la siguiente:

LEY DE TÍTULOS VALORES ELECTRÓNICOS

Objeto y Ámbito de Aplicación

Artículo 1.- Esta Ley tiene como objeto regular los títulos valores electrónicos, su emisión, circulación, aceptación, aval y demás actos cambiarios, los cuales serán creados en un mensaje de datos, cumpliendo los requisitos particulares de cada título valor regulados en el Código de Comercio y utilizando firma electrónica, gozarán de equivalencia funcional con los títulos valores y producirán sus mismos efectos jurídicos, por lo que no deberán exigirse requisitos adicionales a los regulados en el Código de Comercio.

Los títulos valores electrónicos son representativos de derechos crediticios, corporativos o de participación, de tradición o representativos de mercancías.

Podrán otorgarse como documentos electrónicos, cualquier tipo de título valor desarrollado en la legislación vigente, a los cuales les serán aplicables todos los principios de esta Ley.

En lo no regulado por esta Ley se aplicarán las disposiciones del Código de Comercio, Ley de Firma Electrónica, Ley de Anotaciones Electrónicas de Valores en Cuenta, Ley de Comercio Electrónico, Ley del Mercado de Valores y Ley de Garantías Mobiliarias.

En caso de acción judicial, en materia procesal, se aplicarán las disposiciones contenidas en el Código Procesal Civil y Mercantil.

Definiciones

Artículo 2.- Para los efectos de esta Ley, se entenderá por:

a) Anotación electrónica: es el asiento realizado por la Central de Registro Electrónico, en cumplimiento a la instrucción emitida por un usuario para el registro de un título valor electrónico para perfeccionar jurídicamente cualquier acto cambiario realizado con los valores electrónicos registrados.

b) Marginación electrónica: es el registro informático sucesivo que va incorporando información a los títulos valores electrónicos previamente registrados.

c) Acto cambiario electrónico: anotaciones electrónicas referentes a la aceptación, circulación, endoso y aval, efectuados por la Central de Registro Electrónico con los títulos valores electrónicos registrados.

d) Central de Registro Electrónico: entidad que de conformidad a esta Ley asienta y registra mediante anotaciones electrónicas los títulos valores electrónicos destinados a circular, así como cualquier acto cambiario realizado con ellos, tales como la circulación, el endoso, la aceptación, la presentación, el pago, el aval o cualquier afectación o gravamen sobre los derechos representados en el título valor electrónico o sobre las mercancías que ampara.

e) Documento electrónico: todo mensaje de datos, enviado, recibido o archivado por medios electrónicos, ópticos o de cualquier otra tecnología que forman parte de un expediente electrónico.

f) Mensaje de datos: la información generada, enviada, recibida, archivada o comunicada a través de medios de comunicación electrónica o similar, que pueda contener documentos electrónicos.

g) Obligado cambiario: persona que según el Código de Comercio o la Ley está obligada al pago del título valor electrónico o a cumplir una prestación cambiaria según el título valor electrónico de que se trate o del derecho representado en el mismo.

h) Título valor electrónico: documento electrónico representativo de derechos crediticios, corporativos o de representación patrimonial, y de tradición o representativos de mercancías, que son necesarios para legitimar el ejercicio del derecho literal y autónomo que ellos representan; como tales, tienen la misma validez y los mismos efectos jurídicos que los títulos valores definidos en el artículo 623 del Código de Comercio.

Principios

Artículo 3.- En la creación, circulación y cualquier otro acto cambiario de los títulos valores electrónicos deberán observarse los principios siguientes:

a) Neutralidad tecnológica: ninguna de las disposiciones de la presente Ley será aplicada de modo que excluya, restrinja o prive de efecto jurídico cualquier método, procedimiento, dispositivo o tecnología utilizada por la Central de Registro Electrónico, para crear anotaciones o marginaciones electrónicas o efectuar cualquier acto cambiario.

En virtud de lo anterior, para todos los efectos legales, los actos cambiarios podrán realizase utilizando cualquier tipo de tecnología disponible, siempre y cuando se cumplan todos los requisitos legales establecidos y la respectiva tecnología garantice autenticidad, integridad, disponibilidad, accesibilidad y trazabilidad del título valor electrónico desde su creación y durante el tiempo de su conservación.

b) Equivalencia funcional del título valor electrónico: los valores electrónicos producirán los mismos efectos jurídicos que los títulos valores regulados en el Código de Comercio y conservarán todos los derechos, acciones y prerrogativas propias de su naturaleza, siempre que en su emisión se cumplan todos los requisitos regulados en el Código de Comercio para los títulos valores, en consecuencia, son títulos con fuerza ejecutiva.

c) Equivalencia funcional de constancia por escrito: cuando cualquier norma requiera que la información conste por escrito, ese requisito quedará satisfecho con un mensaje de datos, si la información que este contiene es accesible para su posterior consulta.

d) Equivalencia funcional de firma: cuando cualquier norma exija la existencia de una firma o establezca ciertas consecuencias en ausencia de la misma, en relación con un mensaje de datos, se entenderá satisfecho dicho requerimiento si se utiliza firma electrónica simple. La firma del emisor del título valor electrónico, requerida por el Código de Comercio, será equivalente a la firma electrónica.

e) Inalterabilidad del derecho preexistente: la aplicación de los principios y regulaciones de la firma electrónica, no implican una modificación sustancial del derecho existente que regula las relaciones jurídicas de cada materia en especial.

Registro

Artículo 4.- Los títulos valores electrónicos serán registrados por una Central de Registro Electrónica, cuando cumplan con los requisitos regulados en el Código de Comercio para los títulos valores y que éste o presuma expresamente. La omisión de tales requisitos no afectará a la validez del negocio que dio origen al documento electrónico o al acto.

Cuando el título valor, por decisión de su titular, no esté supuesto a circular podrá ser almacenado conforme a las reglas determinadas en el Capítulo V de la Ley de Firma Electrónica, ya sea por cuenta propia del titular o como servicio prestado por un tercero, será título ejecutivo y su certificación para el ejercicio de los derechos incorporados en el mismo, será la que se emita conforme a los Capítulos V y VI de la Ley de Firma Electrónica.

Para la creación y registro del título valor electrónico se deberán utilizar mecanismos que permitan establecer la autenticidad y confidencialidad del mismo y que garanticen la integridad de su contenido, y que a partir del almacenamiento permita la trazabilidad de las operaciones que se realicen con el título valor electrónico.

Contrato de Usuario

Artículo 5.- Para realizar cualquier actividad relacionada con títulos valores electrónicos es requisito previo, suscribir un contrato de usuario de servicios con una Central de Registro Electrónico.

Entidades Autorizadas

Artículo 6.- Las personas jurídicas públicas o privadas, autorizadas por la Unidad de Firma Electrónica del Ministerio de Economía, de conformidad con la Ley de Firma Electrónica como proveedores de servicios de almacenamiento de documentos electrónicos, podrán prestar los servicios y realizar las funciones de las Centrales de Registro Electrónico.

Cuando un título valor electrónico no esté supuesto a circular o el titular de los derechos incorporados en el mismo no lo someta a régimen de circulación, su almacenamiento podrá sujetarse a lo establecido en el Capítulo V de la Ley de Firma Electrónica.

Funciones de las Centrales de Registro Electrónico

Artículo 7.- Las Centrales de Registro Electrónico tendrán las funciones siguientes:

a) Recibir y registrar títulos valores electrónicos y efectuar las anotaciones o marginaciones electrónicas correspondientes.

b) La realización de anotaciones o marginaciones electrónicas y el registro de los valores correspondientes a las mismas, que garanticen la trazabilidad de las transacciones que se realizan con los títulos valores electrónicos. El acto jurídico del endoso en todas sus modalidades se realizará a través de marginaciones electrónicas.

c) El registro de la constitución de gravámenes o la transferencia de los títulos valores electrónicos que el usuario o el titular del derecho, según el caso le comunique.

d) La teneduría de los libros de registro de valores nominativos, a solicitud de las entidades emisoras.

e) La expedición de certificados y constancias de las operaciones realizadas con los títulos valores electrónicos registrados.

f) La inscripción de las medidas cautelares en los registros de la entidad, cuando éstas recaigan sobre los valores registrados.

g) Cualquier otra actividad que sea necesaria para la ejecución de las funciones antes descritas, siempre y cuando no contradigan el ordenamiento jurídico vigente.

Responsabilidades de la Central de Registro Electrónico

Artículo 8.- La Central de Registro Electrónico, mediante la suscripción de un contrato de servicios, se obliga a recibir y registrar por instrucción del titular o usuario, los títulos valores electrónicos y a perfeccionar jurídicamente los actos cambiarios que se realicen con ellos, mediante las correspondientes marginaciones electrónicas.

Reglamento de la Central de Registro Electrónico

Artículo 9.- La Central de Registro Electrónico deberá emitir un Reglamento que regule lo siguiente:

a) Los procedimientos y requerimientos para realizar y perfeccionar los actos cambiarios electrónicos.

b) Las reglas sobre envío, recepción y acuse de recibo de los mensajes de datos de manera que exista plena certeza de estas operaciones y que las mismas sean fácil y objetivamente comprobables.

c) Las medidas de seguridad pertinentes para: i) mitigar cualquier riesgo de acceso no autorizado, alteración, destrucción o pérdida de la información o de los mensajes y documentos electrónicos;

ii) identificar plenamente a las partes que interactúan frente a la Central de Registro Electrónico;

iii) comprobar el origen, la identidad e integridad de los mensajes de datos;

iv) garantizar la confidencialidad de la información y de las transacciones.

d) Las políticas de tratamiento de los datos personales y de confidencialidad de la información que implementará la Central de Registro Electrónico.

e) Las pautas sobre registro y almacenamiento de la información.

f) El uso y métodos para garantizar la trazabilidad sobre todas las anotaciones y marginaciones electrónicas realizadas respecto del valor, así como de la autenticidad e integridad del mismo.

g) Las especificaciones técnicas y de seguridad mínimas de los equipos necesarios para transmitir, recibir, registrar y almacenar los mensajes de datos en general e interactuar a través de la plataforma tecnológica de la Central de Registro Electrónico.

Este Reglamento deberá ser sometido para su aprobación a la Unidad de Firma Electrónica del Ministerio de Economía.

Principios del Registro Electrónico

Artículo 10.- Las Centrales de Registro Electrónico, deberán realizar los registros sobre los títulos valores electrónicos cumpliendo los siguientes principios:

a) Principio de prioridad: una vez producido un registro no podrá practicarse ningún otro respecto de los mismos valores o derechos que obedezca a un hecho producido con anterioridad, en lo que resulte opuesto o incompatible con dicho registro.

b) Principio de tracto sucesivo: los registros sobre un mismo derecho registrado deberán estar encadenados cronológica, secuencial e ininterrumpidamente, de modo que quien transmite el valor o derecho aparezca previamente en el registro.

c) Principio de rogación: para la realización de cada registro se requerirá solicitud previa del titular del valor o derecho registrado o de la entidad competente y autorizada para tal fin. Por lo tanto, no procederán registros a voluntad o iniciativa propia de la Central de Registro Electrónico.

d) Principio de buena fe: la emisión, circulación, aceptación, aval y demás actos cambiarios de los títulos valores electrónicos, se presumirán bajo la buena fe de los otorgantes y demás suscriptores, bajo condiciones de lealtad, buena fe comercial y legalidad, fundamentados en las sanas prácticas y costumbres mercantiles.

Información al Usuario

Artículo 11.- Con la periodicidad que se establezca en el Reglamento de la Central de Registro, éstas deberán remitir a las instituciones o personas titulares de los valores electrónicos registrados, una relación detallada de los valores que aparezcan registrados en sus respectivos asientos, con descripción de los asientos subsecuentes.

Responsabilidad de los Usuarios

Artículo 12.- El usuario, bien sea que actúe en nombre propio o en nombre de otro, será responsable ante la Central de Registro Electrónico, de la identificación del último endosante, de la integridad y autenticidad de los títulos valores registrados y de la validez de las operaciones que se realicen con ellos.

En consecuencia, recibido un título valor electrónico, por la Central de Registro Electrónico, el mismo se considerará libre de vicios, gravámenes o embargos y el usuario que lo haya enviado responderá de todos los perjuicios que se causen a terceros.

Efectos de la Anotación

Artículo 13.- Las anotaciones electrónicas efectuadas por las Centrales de Registro Electrónico son asientos que permiten el registro de un título valor electrónico o el perfeccionamiento de los actos cambiarios.

Todos los actos cambiarios que recaigan sobre un título valor electrónico, deberán registrarse para su perfeccionamiento, en la Central de Registro Electrónico.

Quien aparezca en los asientos de las Centrales de Registro Electrónico, es el titular del valor electrónico, al cual se refiere dicho registro, y podrá exigir al emisor o al obligado cambiario que realice en su favor las prestaciones que correspondan.

Exhibición

Artículo 14.- Para efectos del artículo 629 del Código de Comercio, la exhibición del título valor electrónico podrá realizarse mediante certificación expedida por la Central de Registro Electrónico, o por quien almacene el título valor electrónico que corresponda.

Titularidad

Artículo 15.- En la certificación que expida la Central de Registro Electrónico o quien almacene el título valor electrónico, constará la titularidad de los valores objeto de anotación y marginación electrónica. Estas certificaciones legitimarán al titular para ejercer los derechos que otorguen dichos valores.

La certificación deberá constar en un documento físico o electrónico y deberá contener como mínimo: a) Identificación completa del titular del valor electrónico que se certifica.

b) Descripción del título valor electrónico del cual se expide, indicando su naturaleza, cantidad y demás aspectos que permitan identificarlo plenamente.

c) La situación jurídica del título valor electrónico que se certifica. En caso de existir, deberán indicarse los gravámenes, medidas administrativas, cautelares o cualquier otra limitación sobre la propiedad o sobre los derechos que derivan de su titularidad.

d) Las garantías que existan sobre el título valor y los derechos representados.

e) Especificación del derecho o de los derechos para cuyo ejercicio se expide.

f) Firma del representante legal de la Central de Registro Electrónico.

g) Fecha de expedición.

h) De manera destacada, una advertencia en la cual se indique, que la certificación no es un documento negociable y que no es válido para transferir la propiedad del valor o derecho que representa.

Las certificaciones deberán expedirse a más tardar el día hábil siguiente al de la fecha de la solicitud.

Alcance de las Certificaciones

Artículo 16.- Las certificaciones legitiman a quien figura en las mismas para ejercer los derechos representados en el título valor electrónico. Dichas certificaciones constituyen documentos probatorios que acreditan y evidencian el contenido de las anotaciones y marginaciones electrónicas. Por consiguiente, no podrán ser utilizados para actos diferentes al ejercicio del derecho incorporado en ellos.

Anotación del Ejercicio de Derechos

Artículo 17.- Cuando el titular de los derechos incorporados en un título valor electrónico, haya solicitado a la Central de Registro Electrónico una certificación para el ejercicio de los derechos correspondientes, deberá informar y documentar a ésta sobre el resultado de la operación realizada, para que haga la anotación y marginación electrónica correspondiente en sus registros, reflejando en forma actualizada la situación jurídica del título valor electrónico.

La Central de Registro Electrónico deberá efectuar las anotaciones y marginaciones correspondientes a los actos mediante los cuales se hayan ejercitados los derechos incorporados en los títulos valores electrónicos, consignando si éstos fueron ejecutados en su totalidad o de forma parcial.

En caso del ejercicio total de los derechos incorporados en el título valor electrónico, la Central de Registros Electrónicos deberá anotar su extinción.

Duplicado de la Certificación por Pérdida, Destrucción o Sustracción

Artículo 18.- La Central de Registro Electrónico deberá entregar duplicado de la certificación original emitida en forma física, siempre y cuando se denuncie la pérdida, destrucción o sustracción. Para tal efecto a las certificaciones se les impondrá un sello que indique inequívocamente que es un duplicado.

Con la emisión del duplicado, se anularán los certificados entregados previamente, y se deberá consignar en el mismo, que no se reconocerán los efectos de los certificados emitidos con anterioridad al último.

Certificación de Saldo

Artículo 19.- En el caso de instituciones financieras, la constancia o certificación emitida por su contador con base a registros contables, en la que se haga constar el saldo a pagar y la fecha de vencimiento de la obligación tendrá valor probatorio en juicio, salvo prueba en contrario.

Para la fijación del saldo, en la certificación deberán constar los abonos realizados por éste, así como su aplicación a la obligación.

La fecha de vencimiento se considerará el día siguiente a la fecha, en que el deudor cayó en mora con base en los sistemas contables de la institución financiera, entendiéndose que con dicha certificación se da por incorporada la fecha de vencimiento en los títulos valores electrónicos.

Las instituciones financieras podrán emitir esta certificación en formato físico o electrónico de conformidad al artículo 217 de la Ley de Bancos y 133 de la Ley de Bancos Cooperativos y Sociedades de Ahorro y Crédito.

Circulación o Transferencia

Artículo 20.- La transferencia del título valor electrónico de un titular a otro se perfeccionará mediante anotación electrónica que realizará la Central de Registro Electrónico.

Lo anterior, también es aplicable a los endosos especiales como el endoso sin responsabilidad, en propiedad, en garantía o al cobro a que se refiere el Código de Comercio.

Aval de Valor Electrónico

Artículo 21.- El aval se perfecciona o realiza mediante anotación electrónica que realizará la Central de Registro Electrónico.

Afectaciones o Gravámenes

Artículo 22.- La reivindicación, el secuestro, o cualesquiera otras afectaciones o gravámenes sobre los derechos representados en un título valor electrónico previamente registrado o sobre los derechos consignados en éste o sobre las mercancías por él representadas, no surtirán efectos si no comprenden al valor mismo. Lo anterior se perfeccionará mediante una anotación electrónica que realice la Central de Registro Electrónico.

Transferencia de Valor Electrónico a Anotación Electrónica de Valores en Cuenta

Artículo 23.- La Central de Registro Electrónico, por instrucciones del usuario podrá transferir títulos valores electrónicos a una sociedad especializada en el depósito y custodia de valores, para la creación de una nota contable efectuada en un Registro Electrónico de Cuentas de Valores, de nominada «anotación electrónica de valores en cuenta», la cual de conformidad a la Ley de Mercado de Valores y a la Ley de Anotaciones Electrónicas en Cuenta, podrá negociarse en la Bolsa de Valores, según la naturaleza jurídica del valor electrónico de que se trate y a la voluntad de su emisor.

Vigencia

Artículo 24.- El presente Decreto entrará en vigencia un año después de su publicación en el Diario Oficial.

DADO EN EL SALÓN AZUL DEL PALACIO LEGISLATIVO: San Salvador, a un día del mes de octubre del año dos mil veinte.

MARIO ANTONIO PONCE LÓPEZ, PRESIDENTE.

NORMAN NOEL QUIJANO GONZÁLEZ, PRIMER VICEPRESIDENTE

GUILLERMO ANTONIO GALLEGOS NAVARRETE, SEGUNDO VICEPRESIDENTE

YANCI GUADALUPE URBINA GONZÁLEZ, TERCERA VICEPRESIDENTE

ALBERTO ARMANDO ROMERO RODRÍGUEZ, CUARTO VICEPRESIDENTE

REYNALDO ANTONIO LÓPEZ CARDOZA, PRIMER SECRETARIO

RODOLFO ANTONIO PARKER SOTO, SEGUNDO SECRETARIO

NORMA CRISTINA CORNEJO AMAYA, TERCERA SECRETARIA

PATRICIA ELENA VALDIVIESO DE GALLARDO, CUARTA SECRETARIA

LORENZO RIVAS ECHEVERRÍA, QUINTO SECRETARIO

MARIO MARROQUÍN MEJÍA, SEXTO SECRETARIO

En cumplimiento a lo dispuesto en el artículo 97, inciso 3º del Reglamento Interior de este Órgano del Estado, se hace constar que el presente Decreto fue devuelto con observaciones por el Presidente de la República, el día 14 de octubre de 2020; observaciones que fueron consideradas por esta Asamblea Legislativa, en Sesión Plenaria del día 3 de diciembre del presente año, conforme a lo establecido en el inciso 3° del Artículo 137 de la Constitución, resolviendo aceptarlas parcialmente.

MARIO MARROQUÍN MEJÍA, SEXTO SECRETARIO DIRECTIVO.

CASA PRESIDENCIAL: San Salvador, a los quince días del mes de diciembre del año dos mil veinte.

PUBLÍQUESE,

Nayib Armando Bukele Ortez, Presidente de la República.

María Luisa Hayem Brevé, Ministra de Economía.

27Ene/25

Decreto nº 880 de 1 de noviembre de 2023

Decreto, El Salvador, , , , , ,

Decreto nº 880 de 1 de noviembre de 2023. Derogase el inciso segundo del artículo 345-C del Código Penal que despenaliza la difusión de mensajes generado por las pandillas a través de medios de Comunicación. (Diario Oficial nº 226, Tomo 441 de 1 de diciembre de 2023).

DECRETO N.° 880

LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE EL SALVADOR,

CONSIDERANDO:

I. Que la Constitución de la República establece en sus artículos 1 y 2 que El Salvador reconoce a la persona humana como el origen y el fin de la actividad del Estado, que está organizado para la consecución de la justicia, de la seguridad jurídica y del bien común, así como la conservación del derecho a la vida, e integridad física y moral de las personas.

II. Que mediante Decreto Legislativo n.° 349, de fecha 5 de abril de 2022, publicado en el Diario Oficial n.° 69, Tomo n.° 435, de fecha 5 de abril de 2022, se reformó el Código Penal, a efecto de incorporar un artículo 345-C, el cual, en su inciso segundo estableció que incurriría en ilícito penal quien por medio del uso de las Tecnologías de la Comunicación y la Información, medios de comunicación radial, televisivo, escrito o digitales, reproduzca y transmita mensajes o comunicados originados o presuntamente originados por grupos delincuenciales, que pudieren generar zozobra y pánico a la población en general.

III. Que actualmente, el Estado, a través de las acciones implementadas en materia de seguridad, y específicamente con la ejecución del Plan Control Territorial y del Régimen de Excepción aprobado por esta Asamblea Legislativa, responde efectivamente y de manera inmediata ante el actuar delincuencial de los grupos terroristas a través de la intervención de los territorios y del establecimiento de los cercos de seguridad, logrando así desarticular su accionar, cumpliendo con el objetivo de las políticas de seguridad, y previniendo la difusión de todo tipo de mensajes que representaban amenazas, muerte o restricciones a la libertad de la población. Aunado a lo anterior, los diversos actores de la sociedad, incluyendo a la población en general, han recobrado la confianza en las autoridades, denunciando activamente el actuar de los grupos terroristas, lo cual ha vuelto aún más eficiente las funciones de las instituciones de seguridad pública, logrando así consolidar los resultados obtenidos con miras a erradicar el actuar de estos grupos delincuenciales.

IV. Que en concordancia con el artículo 6 de la Constitución el cual establece en su inciso primero que “Toda persona puede expresar y difundir libremente sus pensamientos siempre que no subvierta el orden público, ni lesione la moral, el honor, ni la vida privada de los demás…” esta Asamblea considera necesario ratificar el ejercicio del derecho a la libertad de expresión, ya que ha quedado demostrada la efectividad de las políticas públicas en materia de seguridad, y la contundencia de las acciones realizadas por el Estado para frenar la difusión de los mensajes que generaban zozobra en la población, lo cual se ha logrado mediante el trabajo articulado de las instituciones, y sin perseguir o menoscabar en ninguna manera la labor de los medios de comunicación, por lo que se vuelve innecesario en este momento continuar regulando la restricción establecida, por lo que es procedente derogar el inciso segundo del artículo 345-C.

POR TANTO,

En uso de sus facultades constitucionales y a iniciativa de los diputados y las diputadas:

Suecy Beverley Callejas Estrada,

Walter David Coto Ayala,

Caleb Neftalí Navarro Rivera,

Marcela Balbina Pineda Erazo y

Katheryn Alexia Rivas González.

DECRETA la siguiente:

REFORMA AL CÓDIGO PENAL

Artículo 1.- Derógase el inciso segundo del artículo 345-C del Código Penal, contenido en el Decreto Legislativo n.° 1030, de fecha 26 de abril de 1997, publicado en el Diario Oficial n.° 105, Tomo n.° 335, de fecha 10 de junio de 1997.

Artículo 2.- El presente decreto entrará en vigencia ocho días después de su publicación en el Diario Oficial.

DADO EN EL SALÓN AZUL DEL PALACIO LEGISLATIVO: San Salvador, uno de noviembre de dos mil veintitrés.

ERNESTO ALFREDO CASTRO ALDANA, Presidente

SUECY BEVERLEY CALLEJAS ESTRADA, Primera Vicepresidente

RODRIGO JAVIER AYALA CLAROS, Segundo Vicepresidente

GUILLERMO ANTONIO GALLEGOS NAVARRETE, Tercer Vicepresidente

ELISA MARCELA ROSALES RAMÍREZ, Primera Secretaria

NUMAN POMPILIO SALGADO GARCÍA, Segundo Secretario

REYNALDO ANTONIO LÓPEZ CARDOZA, Tercer Secretario

REINALDO ALCIDES CARBALLO CARBALLO, Cuarto Secretario

CASA PRESIDENCIAL: San Salvador, a los siete días del mes de noviembre de dos mil veintitrés.

PUBLÍQUESE,

NAYIB ARMANDO BUKELE ORTEZ, Presidente de la República.

HÉCTOR GUSTAVO VILLATORO, Ministro de Justicia y Seguridad Pública.

19Ene/25

Decreto nº 143. Ley de Ciberseguridad y Seguridad de la información de 12 de noviembre de 2024

El Salvador, Ley, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Decreto nº 143. Ley de Ciberseguridad y Seguridad de la información de 12 de noviembre de 2024 (Diario Oficial nº 219, Tomo nº 445 de 15 de noviembre de 2024) .

DECRETO N.° 143

LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE EL SALVADOR,

CONSIDERANDO:

I. Que el inciso primero del artículo 1 de la Constitución de la República establece que la persona humana es el origen y el fin de la actividad del Estado, organizando a éste para la consecución de la justicia, de la seguridad jurídica y del bien común.

II. Que el uso de las redes y los sistemas de información por parte de los ciudadanos, los organismos y las instituciones del Estado convierte a la digitalización y la conectividad en elementos esenciales en el desarrollo de las actividades de la sociedad y la economía. Asimismo, la información de los individuos, empresas y gobiernos coexiste con estas tecnologías y el ciberespacio; lo cual hace indispensable crear las condiciones para salvaguardar ésta en aras de proteger los intereses públicos y privados en el área de ciberseguridad y seguridad de la información.

III. Que en la actualidad existe la amenaza de ciertos comportamientos que tienen el potencial de afectar a la ciudadanía en general, mediante la realización de cualquier acción que tenga como objetivo perjudicar o comprometer la confidencialidad o integridad de la información, la disponibilidad, resiliencia o integridad de sistemas informáticos, equipos, redes, infraestructuras de los órganos del Estado, sus dependencias, las instituciones autónomas, las autoridades municipales o cualquier otra entidad u organismo que administren recursos públicos, bienes del Estado, ejecuten actos de la administración pública en general o posean incidencia en las infraestructuras críticas del país.

IV. Que las amenazas antes mencionadas son un riesgo creciente en el ámbito nacional e internacional, convirtiéndolas en una preocupación relevante con respecto al bienestar de la ciudadanía y la continuidad de las actividades gubernamentales; lo cual obliga a que las políticas de la nación generen el marco regulatorio necesario para robustecer y desarrollar la seguridad en dichos ámbitos.

V. Que, por lo antes expuesto, se vuelve imprescindible desarrollar el marco regulatorio que permitirá al Estado de El Salvador contar con todas las herramientas necesarias para mantener la continuidad de sus actividades y salvaguardar la seguridad de la información que administra o genera, en aras de garantizar que la ciudadanía conserve los derechos y beneficios que reciben a través de la actividad estatal.

POR TANTO,

en uso de sus facultades constitucionales y a iniciativa del presidente de la República, por medio del ministro de Justicia y Seguridad Pública,

DECRETA la siguiente:

LEY DE CIBERSEGURIDAD Y SEGURIDAD DE LA INFORMACIÓN

CAPÍTULO I.- DISPOSICIONES GENERALES

Objeto

Artículo 1.- La presente ley tiene como objeto establecer los principios, el marco legal, la institucionalidad, los lineamientos, así como las políticas de protección que permitan estructurar, regular, auditar y fiscalizar las medidas de ciberseguridad y seguridad de la información en poder de las instituciones públicas.

Ámbito de aplicación

Artículo 2.- Están obligados al cumplimiento de esta ley los órganos del Gobierno, sus dependencias, las instituciones oficiales autónomas, las autoridades municipales o cualquier otra entidad u organismo, independientemente de su forma, naturaleza o situación jurídica, mediante las cuales se administren recursos públicos, bienes del Estado, ejecuten actos de la administración pública en general o que posean incidencia en las infraestructuras críticas de la nación.

Se incluyen dentro de los recursos públicos aquellos fondos provenientes de Convenios o Tratados que celebre el Estado de El Salvador con otros Estados o con Organismos Internacionales, a menos que el Convenio o Tratado determine requisitos superiores en materia de ciberseguridad o seguridad de la información.

En consecuencia, todos los servidores públicos, dentro o fuera del territorio de la República, y las personas que laboren en las entidades mencionadas en este artículo, están obligados al cumplimiento íntegro de la presente ley.

Principios rectores

Artículo 3.- La presente ley contempla los siguientes principios:

a) Seguridad por diseño: los sujetos establecidos dentro del ámbito de aplicación de la presente ley deberán aplicar un enfoque de seguridad por diseño en el desarrollo, compra, aprovisionamiento, implementación y gestión de sistemas informáticos o equipos tecnológicos y en los procesos de administración de éstos, de manera que la ciberseguridad y seguridad de la información sea el objetivo originario, transversal y permanente durante la operación o utilización de los mismos.

b) Resiliencia, continuidad y disponibilidad: las medidas o acciones que se adopten en atención a la presente ley deben tener como propósito la reducción de los efectos adversos de los incidentes de ciberseguridad o seguridad de la información, la recuperación en el menor plazo posible y la continuidad y el fomento de la resistencia de las actividades críticas que dependen de los sistemas de información comprometidos.

c) Gestión de riesgos: evaluar y gestionar continuamente los riesgos de ciberseguridad o seguridad de la información, identificando las amenazas potenciales y aplicando medidas de mitigación adecuadas.

d) Cooperación: consiste en el deber de apoyar recíprocamente con la autoridad competente a fin de prevenir, detectar y responder a las amenazas o incidentes de ciberseguridad o seguridad de la información. Tal cooperación podrá materializarse mediante la interconexión, interdependencia de los sistemas informáticos u otras medidas adecuadas para ese fin.

e) Control de daños: las medidas o actuaciones frente a amenazas o incidentes de ciberseguridad o seguridad de la información deberán ser adoptadas y realizarse de forma oportuna y diligente, en aras de evitar el incremento de los daños y las vulneraciones a los sistemas, información y servicios, así como la posible afectación de otras áreas u operaciones.

f) Seguridad en el ciberespacio y sus anexos: los sujetos obligados por la presente ley deberán realizar todas las medidas posibles y necesarias para resguardar la seguridad de las redes, equipos y sistemas informáticos que se utilicen para el ejercicio de sus actividades y funciones, así como aquellas en las que almacenen, procesen y administren su información o la de sus usuarios.

g) Racionalidad, responsabilidad y proporcionalidad: las medidas o acciones que se implementen frente a las amenazas o incidentes de ciberseguridad o seguridad de la información deberán aplicarse de forma ecuánime, equitativa y adecuada al nivel de exposición a los riesgos inherentes a éstas, los daños que produzcan o su eventual impacto social y económico.

h) Confidencialidad: implementar las medidas, acciones o herramientas necesarias para garantizar que los sistemas informáticos, redes o información solo sean accesibles a los empleados, funcionarios, autoridades o usuarios autorizados para ello, protegiendo así la privacidad de los ciudadanos.

i) Integridad: acreditar la confiabilidad y exactitud de la información que gestionen o administren los sujetos obligados por la presente ley, evitando cualquier modificación a través del tiempo, alteración, corrupción o eliminación no autorizada.

j) Neutralidad tecnológica: la cual sustenta la no discriminación entre tecnologías, en la medida que ellas consistan en medios seguros y eficientes a través de los cuales sea posible dar cumplimiento a lo establecido en la presente ley.

Definiciones

Artículo 4.- Para los efectos de la presente ley se entenderá por:

a) Amenaza: toda acción, comportamiento o evento, real o potencial, que permita el ataque, invasión, vulneración o inhabilitación sobre los sistemas informáticos, equipos, redes o infraestructuras de los sujetos obligados por la presente ley.

b) Evento: hecho observable derivado de un acontecimiento en un sistema informático, equipo, red o infraestructura, que en caso de materializarse cambiaría un conjunto particular de circunstancias de los mismos.

c) Incidente: toda acción, comportamiento o evento que perjudique o comprometa la confidencialidad o integridad de la información, la disponibilidad, resiliencia o integridad de sistemas informáticos, equipos, redes, infraestructuras o procesos ejecutados o implementados en éstos.

d) Infraestructuras críticas: sistemas informáticos, equipos, redes o infraestructuras o servicios tecnológicos que soportan o asisten en la prestación de los servicios esenciales para la ciudadanía y que en ocasión de fallo podrían tener un impacto en éstos.

e) Ciberespacio: ambiente digital que no tiene límites físicos y/o geográficos y permite la interconexión o comunicación entre sistemas informáticos, equipos o infraestructuras.

f) Riesgo cibernético o informático: medida de la probabilidad de ocurrencia y potenciales resultados negativos, derivados de una falla o vulneración a las medidas de seguridad informática o de la información, que pueden afectar la privacidad, la integridad o la disponibilidad de los datos y/o servicios que se encuentran resguardados en el sistema informático.

g) Servicio esencial: es todo servicio que sea necesario para la seguridad nacional, defensa de la soberanía, economía del país, relaciones exteriores, mantenimiento del orden público, salud, bienestar de la ciudadanía y la realización de actividades sociales cruciales.

h) Sistema Informático: es un elemento o grupo de elementos interconectados o relacionados, pudiendo ser electrónicos, programas informáticos, enlaces de comunicación o la tecnología que en el futuro los reemplace, orientados al tratamiento y administración de datos e información.

i) Vulnerabilidad: cualquier debilidad de un sistema informático, equipo, red o infraestructura o en las medidas o políticas de seguridad que les apliquen a éstas, que pudiera derivar en una amenaza o incidente.

j) Activo de información: cualquier elemento valioso para los sujetos obligados por la presente ley y que tienen incidencia en los procesos o funciones que realizan.

k) Autenticación: propiedad de la información que da cuenta de su origen legítimo.

l) Infraestructura de telecomunicaciones: conjunto de técnicas, equipamiento, sistemas y procesos que permiten la transmisión a distancia de información, ya sea en forma de voz, datos, texto, imágenes o cualquier otra forma entre usuarios.

Del riesgo informático

Artículo 5.- Para efectos de la presente ley, se entenderá que existe riesgo informático cuando los sujetos regulados en el artículo 2 incumplan las normativas, protocolos, lineamientos, estándares y criterios técnicos establecidos por la Agencia de Ciberseguridad del Estado, los cuales se basarán en estándares nacionales o internacionales en materia de ciberseguridad y seguridad de la información.

Las disposiciones referidas en el inciso anterior deberán tener como marco de referencia los requerimientos técnicos o estándares emitidos por organizaciones que cuente con el reconocimiento de la industria en la que se pretenden aplicar, por sus aportes a la estandarización del rubro en cuestión, o que cuenten con experiencia probada a nivel internacional, siempre que esté demostrada la funcionalidad, eficiencia y beneficio de dichos requerimientos o estándares en materia de ciberseguridad y seguridad de la información.

Obligaciones

Artículo 6.- Los sujetos a quienes aplique la presente ley de conformidad con el Artículo 2, tendrán las obligaciones siguientes:

a) Implementar un sistema de gestión de ciberseguridad y seguridad de la información permanente con el fin de determinar y mitigar aquellos riesgos que puedan afectar la seguridad de los sistemas e infraestructuras informáticas, abarcando equipos, redes, infraestructuras de telecomunicaciones o procesos ejecutados o implementados en éstos.

b) Elaborar una estrategia de seguridad informática y de la información apegado a estándares o marcos de referencia nacionales e internacionales.

c) Mantener un registro actualizado de todas las acciones ejecutadas que compongan el sistema de gestión de ciberseguridad y seguridad de la información.

d) Elaborar e implementar planes de continuidad operacional y ciberseguridad, los cuales deberán ser aprobados por la autoridad competente y se someterán a revisiones periódicas de conformidad con los lineamientos aplicables.

e) Realizar continuamente operaciones de revisión, ejercicios, simulacros y análisis de las medidas, sistemas informáticos, equipos, redes, infraestructuras o procesos ejecutados o implementados en éstos; todo, en aras de detectar elementos o riesgos que comprometan la ciberseguridad y la seguridad de la información.

f) Aplicar y cumplir de manera inmediata y eficaz las medidas necesarias para prevenir, reportar y resolver las amenazas de ciberseguridad y seguridad de la información, de conformidad con las disposiciones jurídicas establecidas al respecto.

g) Adoptar de forma oportuna, expedita y eficiente las acciones necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad o seguridad de la información.

h) Remitir en el tiempo, forma y especificidad los informes relacionados con la ciberseguridad y seguridad de la información que le sean exigidos por la autoridad competente.

i) Crear o designar un área o áreas responsables para la implementación, seguimiento, revisión y adecuación de las acciones y medidas relacionadas con la ciberseguridad y seguridad de la información pertinentes, otorgándoles internamente independencia y atribuciones necesarias para ejecutar sus funciones sin obstáculos o trámites previos,  pero en estrecha coordinación con la autoridad competente en materia de ciberseguridad y seguridad de la información.

j) Cumplir con los requerimientos de información o instrucciones que realice la autoridad competente, en el tiempo, forma y especificidades correspondientes.

k) Facilitar las labores de gestión, auditoría e inspección que realice la autoridad competente en materia de ciberseguridad y seguridad de la información.

l) Informar a los potenciales afectados, en la medida que puedan identificarse y cuando así lo determine la Agencia de Ciberseguridad del Estado, sobre la ocurrencia de incidentes que pudieran comprometer o comprometan gravemente su información, así como las posibles medidas que pueden adoptar para mitigar los riesgos ocasionados por los mismos, si las hubiere. Esta obligación de informar deberá cumplirse a través de los medios o mecanismos que determine la referida autoridad.

m) Realizar las planificaciones, gestiones y trámites necesarios para implementar las obligaciones que deriven de la presente ley, así como de las disposiciones que se emitan en atención a esta, de manera oportuna.

n) Las demás que establecieran las disposiciones contenidas en políticas, normativas, protocolos, lineamientos, estándares y criterios técnicos en materia de ciberseguridad y seguridad de la información.

La autoridad competente emitirá las disposiciones pertinentes en materia de ciberseguridad y seguridad de la información de conformidad a lo establecido en la letra b) del artículo 8 de la presente ley, con la finalidad que, los sujetos obligados por la presente ley se mantengan en estricta coordinación con la misma y cumplan con las obligaciones establecidas en este artículo.

CAPÍTULO II.- AGENCIA DE CIBERSEGURIDAD DEL ESTADO

Creación de la Agencia

Artículo 7.- Créase la Agencia de Ciberseguridad del Estado, que en lo sucesivo se denominará «ACE» o la «Agencia», como una dependencia del Estado, de Derecho Público, con carácter técnico, con personalidad jurídica y patrimonio propio, de duración indefinida, con autonomía administrativa y financiera.

La ACE tendrá su domicilio en la capital de la República y estará facultada para establecer oficinas en cualquier lugar del territorio nacional.

Atribuciones

Artículo 8.- La Agencia tendrá las atribuciones siguientes:

a) Elaborar la Política de Ciberseguridad y Seguridad de la Información de la Nación, misma que contendrá los lineamientos, planes y programas de acción que se aplicarán para su cumplimiento, y someterla a aprobación del presidente de la República.

b) Emitir las normativas, protocolos, lineamientos, estándares y criterios técnicos, tanto generales como específicas, basadas en las mejores prácticas y marcos de referencia internacionales en materia de ciberseguridad y seguridad de la información; de acuerdo con lo establecido en el artículo 5 y en concordancia con la Política de Ciberseguridad y Seguridad de la Información de la Nación.

c) Crear e implementar los programas de acción necesarios para responder ante las amenazas o incidentes de ciberseguridad y seguridad de la información que involucren a los sujetos obligados por la presente ley.

d) Requerir a las entidades obligadas por la presente ley que se hayan visto afectados sus sistemas informáticos, equipos, redes o infraestructuras por un incidente de ciberseguridad o seguridad de la información, las acciones que sean necesarias para el cumplimiento de sus fines.

e) Crear y administrar un Registro Nacional de Amenazas e Incidentes de Ciberseguridad.

f) Calificar, mediante resolución fundada, a los operadores de infraestructuras críticas, y someterlo a ratificación del presidente de la República.

g) Retirar la calificación, mediante resolución fundada, a los operadores de infraestructuras críticas, y someterlo a ratificación del presidente de la República.

h) Requerir a las entidades obligadas por la presente ley que hayan sufrido un incidente de ciberseguridad o seguridad de la información, que entreguen a los potenciales afectados o autoridades de investigación información veraz, suficiente y oportuna sobre dicha circunstancia, conforme lo dispuesto en el literal l) del artículo 6.

i) Diseñar e implementar planes y campañas de formación ciudadana, capacitación, fortalecimiento, difusión y promoción de la cultura en ciberseguridad y seguridad de la información.

j) Requerir, a los sujetos obligados por la presente ley, el acceso a la información necesaria para prevenir la ocurrencia de incidentes de ciberseguridad o seguridad de la información y gestionar amenazas o incidentes que ya hubieren ocurrido. Cuando la información referida incluya datos personales, éstos deberán ser tratados con el propósito de anonimizar a sus titulares, siempre que ello sea posible, sin entorpecer la gestión de incidentes.

k) Establecer los mecanismos de coordinación y colaboración entre el área o áreas responsables para la implementación, seguimiento, revisión y adecuación de las acciones y medidas relacionadas con la ciberseguridad y seguridad de la información que establezcan los sujetos obligados por la presente ley.

l) Establecer los requisitos técnicos y la forma de llevar a cabo las auditorías y evaluaciones de riesgo sobre ciberseguridad y seguridad de la información que debe realizar para garantizar el cumplimiento de la presente ley y demás disposiciones que se emitan sobre dicho ámbito.

m) Efectuar revisiones de las medidas y acciones de ciberseguridad y seguridad de la información implementadas por los sujetos obligados por la presente ley, a fin de establecer mecanismos de mejora y prevención de riesgos, asegurando la utilización de medidas o herramientas adecuadas y actualizadas, para responder a las amenazas derivadas del uso de nuevas tecnologías.

n) Fomentar la cooperación con organismos internacionales y autoridades extranjeras en temas relacionados con la ciberseguridad y seguridad de la información.

o) Representar al país ante Organismos Internacionales relacionados con las políticas de ciberseguridad y seguridad de la información.

p) Imponer sanciones conforme a la presente ley.

q) Dictar, modificar o anular medidas provisionales según lo dispuesto en la Ley de Procedimientos Administrativos.

r) Estudiar y someter a consideración del Órgano Ejecutivo a través del Ramo de Justicia y Seguridad Pública, propuestas de ley o reformas a disposiciones vigentes en materia de ciberseguridad y seguridad de la información.

s) Aprobar el reglamento interno, así como los manuales y otros instrumentos necesarios para la administración de la Agencia.

t) Proponer los proyectos de presupuesto especial y sistema de salarios de la ACE y remitirlos al Ministerio de Hacienda para su respectiva aprobación en la Asamblea Legislativa.

u) Auxiliar a la Fiscalía General de la República, Órgano Judicial y a otras instituciones públicas que le requieran, en actividades de pericia forense relacionadas con las funciones que realiza.

v) Dar aviso a la Fiscalía General de la República en un plazo máximo de setenta y dos horas, cuando en el ejercicio de sus facultades o con ocasión de ellas, advierta que existen elementos que pudieren configurar algún delito de los contemplados en la Ley Especial contra los Delitos Informáticos y Conexos u otras leyes penales.

w) Definir y coordinar la implementación de programas de capacitación y concienciación relacionados con la materia de ciberseguridad y seguridad de la información; para lo cual podrá apoyarse de otras instituciones públicas o entidades privadas u organismos nacionales o internacionales.

x) Ejercer las demás atribuciones o facultades que legalmente le correspondan o necesarias para el cumplimiento de la presente ley u otras que le apliquen.

Representación legal y organización administrativa

Artículo 9.- La ACE tendrá, como mínimo, la siguiente organización administrativa: un Director General, un Director de Ciberseguridad y Seguridad de la Información y las dependencias o unidades administrativas que establezca su reglamento interno, según las necesidades para garantizar la aplicación de la presente ley y la disponibilidad de recursos del Estado.

El Director General será la máxima autoridad y el representante legal de la Agencia, y ejercerá las atribuciones y facultades que correspondan a la ACE, a excepción de la potestad para imponer sanciones. Dicho funcionario será nombrado por el presidente de la República, y fungirá por un periodo de tres años prorrogables.

De la misma forma será nombrado el Director de Ciberseguridad y Seguridad de la Información, quien asistirá al Director General en el ejercicio de sus atribuciones y facultades, en cumplimiento de la presente ley.

El Director de Ciberseguridad y Seguridad de la Información conocerá de los procedimientos administrativos para imponer las sanciones que establece la presente ley, y podrá delegar la instrucción y sustanciación de estos procedimientos, no así la imposición de la sanción, en un empleado o funcionario de la ACE distinto del Director General.

La Agencia establecerá las dependencias o unidades administrativas de su estructura y el funcionamiento de éstas en un reglamento interno.

Requisitos

Artículo 10.- Para ser Director General de la ACE se requiere:

a) Ser mayor de treinta y cinco años de edad.

b) Tener un grado universitario, nacional o extranjero, de preferencia en informática, ciencias de la computación, ingeniería en sistemas, telecomunicaciones u otras áreas relacionadas.

c) Acreditar experiencia profesional y laboral en materia de ciberseguridad o seguridad de la información.

d) Ser de reconocida honorabilidad y probidad.

e) Haberse desempeñado en forma destacada en asuntos profesionales, de servicio público o académico.

El Director de Ciberseguridad y Seguridad de la Información deberá cumplir con los requisitos establecidos en el presente artículo, con excepción de lo establecido en el literal a).

Impedimentos e incompatibilidades

Artículo 11.- No podrán ser nombrados en el cargo de director general o director de Ciberseguridad y Seguridad de la Información, las personas siguientes:

a) El cónyuge o parientes dentro del cuarto grado de consanguinidad o segundo de afinidad del presidente o vicepresidente de la República.

b) El cónyuge o parientes dentro del cuarto grado de consanguinidad o segundo de afinidad de los ministros o viceministros de Estado.

c) El cónyuge o parientes dentro del cuarto grado de consanguinidad o segundo de afinidad de cualquiera de los titulares o miembros de los órganos de dirección de los sujetos obligados por la presente ley.

d) Los que desempeñen cargos en los órganos de dirección de partidos políticos, asociaciones empresariales, sindicales o de consumidores.

e) Los directores o administradores de sociedades mercantiles.

El desempeño de ambos cargos será de dedicación exclusiva y es incompatible con el ejercicio de cualquier cargo público, actividad profesional o mercantil, tanto nacional como internacional, a excepción de la docencia universitaria, siempre y cuando ésta no vaya en menoscabo del desarrollo de sus funciones.

Cesación del cargo

Artículo 12.- El Director General o Director de Ciberseguridad y Seguridad de la Información cesarán en el ejercicio del cargo por renuncia o remoción que haga el Presidente de la República, cuando:

a) Se compruebe incumplimiento grave de sus obligaciones.

b) Se compruebe omisión dolosa de sus obligaciones.

c) Incapacidad sobreviniente física o mental que imposibilite el ejercicio de las mismas.

d) Condena firme por delito doloso.

e) Por conducta privada o profesional notoriamente inmoral.

f) Por prevalerse del cargo para ejercer influencias indebidas.

Sustitución temporal

Artículo 13.- En los casos de incapacidad física o mental de carácter temporal, renuncia o destitución del Director General, el Director de Ciberseguridad y Seguridad de la Información sustituirá al mismo hasta que el Presidente de la República nombre a otra persona para el ejercicio del cargo.

Presupuesto

Artículo 14.- La ACE tendrá un presupuesto especial y su propio sistema de salarios. Los proyectos respectivos serán preparados de conformidad con lo establecido en la ley Orgánica de Administración Financiera del Estado y serán sometidos a aprobación de la Asamblea Legislativa.

Patrimonio

Artículo 15.- El patrimonio de la Agencia estará constituido por:

a) Los recursos que el Estado le confiera inicialmente.

b) Las asignaciones que anualmente se establezcan con cargo a su presupuesto especial.

c) Los recursos que reciba en virtud de programas de asistencia de gobiernos u organismos nacionales e internacionales.

d) Los bienes muebles e inmuebles, valores o derechos que adquiera a cualquier título.

La ACE estará sujeta a la fiscalización de la Corte de Cuentas de la República; adicionalmente deberá contratar anualmente los servicios de una firma especializada para que realice auditoría externa de sus actuaciones.

Confidencialidad

Artículo 16.- Los funcionarios y empleados de la Agencia tendrán la obligación de guardar el secreto y estricta confidencialidad de la información que tuvieren acceso en virtud de las funciones y actividades laborales que realicen, esta obligación se mantendrá aún después de haber cesado en el cargo por un periodo mínimo de cinco años.

Se prohíbe a las autoridades, funcionarios, empleados, delegados, peritos, agentes o personas que presten servicios a la Agencia, a cualquier título, ya sea de carácter temporal o permanente, revelar cualquier información que hayan obtenido en el desempeño de su cargo o aprovecharse de tal información para fines personales o de terceros.

En el caso de los servidores públicos que presten sus servicios a la Agencia, el incumplimiento de lo establecido en el presente artículo constituirá causal de despido o destitución sin responsabilidad para la referida autoridad, sin perjuicio de la responsabilidad civil, penal o de cualquier otra naturaleza a que hubiere lugar.

CAPÍTULO III.- INFRACCIONES, SANCIONES, PROCEDIMIENTOS Y RECURSOS

Principios de legalidad, culpabilidad y proporcionalidad

Artículo 17.- Las infracciones a las disposiciones de la presente ley serán sancionadas administrativamente, en los casos y en la forma regulada en los artículos de este título, sin perjuicio de las responsabilidades civiles, penales o de otro orden en que puedan incurrir.

Los sujetos obligados por la presente ley serán responsables por las infracciones administrativas establecidas en este capítulo, por acción u omisión, a título de dolo, culpa o cualquier otro título que determine el ordenamiento jurídico.

A las infracciones y sanciones que se impongan en virtud de la presente ley le serán aplicables los principios de la potestad sancionadora previstos en la Ley de Procedimientos Administrativos; especialmente el de proporcionalidad, en virtud del cual será necesario guardar la debida adecuación entre la gravedad del hecho constitutivo de infracción y la sanción aplicada.

Clasificación de las infracciones

Artículo 18.- Las infracciones a las que se refiere esta ley se clasifican en: leves, graves o muy graves.

Infracciones leves

Artículo 19.- Se considerarán infracciones leves las siguientes:

a) Remitir, fuera del plazo, los informes o la información relacionados con la ciberseguridad y seguridad de la información que le sean exigidos por la Agencia, siempre y cuando tal información no se relacione con algún incidente o sea necesaria para la gestión de éste.

b) Presentar, sin las especificaciones requeridas, los informes o la información relacionados con la ciberseguridad y seguridad de la información que le sean exigidos por la ACE, siempre y cuando tal información no se relacione con algún incidente o sea necesaria para la gestión de éste.

c) Incumplir las disposiciones contenidas en las políticas, normativas técnicas, lineamientos e instructivos en materia de ciberseguridad y seguridad de la información, cuando éstas no tengan incidencia en la implementación del sistema de gestión de ciberseguridad y seguridad de la información o la gestión de incidentes.

También incurrirán en responsabilidad los titulares, la alta dirección y cualquier otro funcionario o empleado por las infracciones anteriores cuando éstas se materialicen en virtud de la orden, instrucción, negligencia u omisión de éstos.

Infracciones graves

Artículo 20.- Se considerarán infracciones graves las siguientes:

a) No contar con un registro actualizado de todas las acciones ejecutadas que compongan el sistema de gestión de ciberseguridad y seguridad de la información.

b) No elaborar y remitir, en tiempo y forma, los planes de continuidad operacional y ciberseguridad para la aprobación de la Agencia.

c) No implementar los planes de continuidad operacional y ciberseguridad aprobados por la ACE.

d) No realizar continuamente las operaciones de revisión, ejercicios, simulacros y análisis de las medidas, sistemas informáticos, equipos, redes, infraestructuras o procesos ejecutados o implementados en éstos.

e) Incumplir las disposiciones contenidas en las políticas, normativas técnicas, lineamientos e instructivos en materia de ciberseguridad y seguridad de la información, cuando éstas se relacionen con la implementación del sistema de gestión de ciberseguridad y seguridad de la información o la gestión de incidentes.

f) Obstaculizar o impedir las labores del área o áreas responsables para la implementación, seguimiento, revisión y adecuación de las acciones y medidas relacionadas con la ciberseguridad y seguridad de la información.

g) Presentar a la ACE información incompleta, errónea o inexacta.

También incurrirán en responsabilidad los titulares, la alta dirección y cualquier otro funcionario o empleado por las infracciones anteriores cuando éstas se materialicen en virtud de la orden, instrucción, negligencia u omisión de éstos.

Infracciones muy graves

Artículo 21.- Se considerarán infracciones muy graves las siguientes:

a) Remitir, fuera del plazo, los informes o la información relacionados con la ciberseguridad y seguridad de la información que le sean exigidos por la autoridad competente, cuando tal información se relacione con algún incidente o sea necesaria para la gestión de éste.

b) Presentar, sin las especificaciones requeridas, los informes o la información relacionados con la ciberseguridad y seguridad de la información que le sean exigidos por la autoridad competente, cuando tal información se relacione con algún incidente o sea necesaria para la gestión de éste.

c) No implementar un sistema de gestión de ciberseguridad y seguridad de la información permanente, sin causa justificada, de acuerdo con lo establecido por la Agencia.

d) Incumplir con las medidas necesarias para prevenir, reportar y resolver las amenazas de ciberseguridad y seguridad de la información, de manera inmediata y eficaz.

e) No adoptar, de forma oportuna, expedita y eficiente, las acciones necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad o seguridad de la información.

f) No crear o designar un área o áreas responsables para la implementación, seguimiento, revisión y adecuación de las acciones y medidas relacionadas con la ciberseguridad y seguridad de la información.

g) Obstaculizar o impedir las labores de gestión, auditoria e inspección que realice la Agencia en materia de ciberseguridad y seguridad de la información.

h) No informar a los potenciales afectados, en la medida que puedan identificarse y cuando así lo determine la ACE, sobre la ocurrencia de incidentes que pudieran comprometer o comprometan gravemente su información, así como las posibles medidas que pueden adoptar para mitigar los riesgos ocasionados por los mismos, si las hubiere.

i) Incumplir con las órdenes de prohibición de utilizar los sistemas informáticos o cualquiera de sus partes, en el tiempo y la forma en que sea comunicada por la Agencia.

También incurrirán en responsabilidad los titulares, la alta dirección y cualquier otro funcionario o empleado por las infracciones anteriores cuando éstas se materialicen en virtud de la orden, instrucción, negligencia u omisión de éstos.

Sanción para infracciones leves

Artículo 22.- Las infracciones leves se sancionarán con amonestación escrita o una multa de entre uno a diez salarios mínimos mensuales del sector comercio, según corresponda al sujeto obligado.

El funcionario o empleado que reciba tres o más amonestaciones escritas en un plazo menor a un año será desvinculado de su empleo o cargo sin responsabilidad para la Administración Pública.

Sanción para infracciones graves

Artículo 23.- Las infracciones graves se sancionarán con despido o destitución del cargo sin responsabilidad para la Administración Pública y una multa de entre once a cincuenta salarios mínimos mensuales del sector comercio cuando el infractor se encuentre vinculado con el sector público.

En el caso de que el infractor sea del sector privado, la sanción será una multa de entre once a cincuenta salarios mínimos mensuales del sector comercio.

Sanción para infracciones muy graves

Artículo 24.- Las infracciones graves se sancionarán con despido o destitución del cargo sin responsabilidad para la Administración Pública y una multa de entre cincuenta y un a cien salarios mínimos mensuales del sector comercio cuando el infractor se encuentre vinculado con el sector público.

En el caso de que el infractor sea del sector privado, la sanción será una multa de entre cincuenta y un a cien salarios mínimos mensuales del sector comercio.

Imposibilidad de pertenecer al sector público

Artículo 25.- El funcionario o empleado que sea despedido o destituido de su cargo por la comisión de algunas de las infracciones contempladas por la presente ley, no podrá laborar para la administración pública por un periodo de diez años posteriores a la imposición de la sanción respectiva.

Medidas adicionales

Artículo 26.- Determinada la procedencia de la sanción, la Agencia podrá ordenar al infractor o el sujeto obligado relacionado que adopte las medidas que fueren necesarias para restablecer la legalidad alterada por la infracción o que permita la corrección de los derechos o las situaciones vulneradas.

Todas las sanciones determinadas en la presente ley no eximen al infractor de las responsabilidades civiles o penales derivadas de las investigaciones correspondientes a que dieren lugar.

Multa coercitiva

Artículo 27.- Con el fin de lograr la ejecución de sus actos, la Agencia podrá imponer multas coercitivas de entre uno a diez salarios mínimos del sector comercio por cada día hábil que transcurra sin que se cumpla con lo ordenado.

Esta sanción será independiente y compatible con las demás sanciones que contempla esta ley.

Procedimiento sancionador

Artículo 28.- El procedimiento para la determinación de las infracciones y sanciones que establece la presente ley deberá realizarse de conformidad con el procedimiento simplificado contemplado en la Ley de Procedimientos Administrativos.

El procedimiento podrá iniciarse de oficio, por aviso, por denuncia o por cualquier otro medio. Cuando la información sobre la presunta comisión de la infracción se recibiera de forma verbal o de tal manera que no hubiera un respaldo escrito de la misma, la Agencia levantará un acta con todos los datos pertinentes para la tramitación del procedimiento.

Prescripción

Artículo 29.- Las infracciones y sanciones contempladas en la presente ley prescribirán a los cinco años.

CAPÍTULO IV.- DISPOSICIONES FINALES

Especialidad y supletoriedad

Artículo 30.- La presente ley, por su carácter especial, prevalecerá sobre toda otra disposición legal que la contraríe, incluyendo aquellas que regulen la relación laboral entre empleados, servidores y funcionarios públicos; sin embargo, siempre deberán respetarse las garantías constitucionales de estos mismos. En todo lo no previsto, se aplicará supletoriamente lo dispuesto en la Ley de Procedimientos Administrativos.

Emisión de normativas y disposiciones aplicables

Artículo 31.- La ACE deberá elaborar las normativas, protocolos, lineamientos, estándares y criterios técnicos, tanto generales como específicos, en materia de ciberseguridad y seguridad de la información, en concordancia con lo establecido en el artículo 5, a más tardar noventa días contados a partir de la vigencia de la presente ley.

Vigencia

Artículo 32.- La presente ley entrará en vigencia ocho días después de su publicación en el Diario Oficial.

DADO EN EL SALÓN AZUL DEL PALACIO LEGISLATIVO: San Salvador, a los doce días del mes de noviembre del año dos mil veinticuatro.

ERNESTO ALFREDO CASTRO ALDANA, PRESIDENTE.

SUECY BEVERLEY CALLEJAS ESTRADA, KATHERYN ALEXIA RIVAS GONZÁLEZ, PRIMERA VICEPRESIDENTA. SEGUNDA VICEPRESIDENTA.

ELISA MARCELA ROSALES RAMÍREZ, REYNALDO ANTONIO LÓPEZ CARDOZA, PRIMERA SECRETARIA. SEGUNDO SECRETARIO.

REINALDO ALCIDES CARBALLO CARBALLO, TERCER SECRETARIO.

CASA PRESIDENCIAL: San Salvador, a los catorce días del mes de noviembre de dos mil veinticuatro.

PUBLÍQUESE,

NAYIB ARMANDO BUKELE ORTEZ, Presidente de la República.

HÉCTOR GUSTAVO VILLATORO, Ministro de Justicia y Seguridad Pública.