Con la reciente promulgación de la Ley de Protección de Datos Personales, El Salvador refuerza su compromiso con la protección del derecho a la privacidad y la autodeterminación informativa. Este marco regulatorio moderno establece directrices específicas y actualizadas para el tratamiento de datos personales, aplicable tanto a organismos públicos como privados.
A continuación ofrecemos un análisis exhaustivo de los puntos principales, los sujetos obligados y recomendaciones prácticas para facilitar el cumplimiento de esta normativa.
Resumen General
El principal objetivo de esta ley es garantizar la protección de los datos personales a través de principios clave, como el consentimiento informado, la transparencia, la minimización de datos, la seguridad de la información y la responsabilidad demostrada. Estos pilares otorgan a los ciudadanos derechos fundamentales, conocidos como derechos ARCO-POL (Acceso, Rectificación, Cancelación, Oposición, Portabilidad, Olvido y Limitación), los cuales les permiten gestionar su información personal de manera efectiva.
Entre las disposiciones más relevantes de la ley se encuentran:
- La obligatoriedad de notificar cualquier brecha de seguridad en un plazo máximo de 72 horas desde su detección.
- La estricta regulación del tratamiento de datos sensibles, como aquellos relacionados con la salud, las afiliaciones políticas o las creencias religiosas.
- La clasificación de infracciones en leves, graves y muy graves, con sanciones proporcionales al nivel de incumplimiento.
- La regulación de la transferencia internacional de datos, permitiéndola únicamente hacia países que ofrezcan un nivel adecuado de protección.
Alcance y Sujetos Obligados
La normativa abarca tanto al sector público como privado y se aplica a:
- Entidades Públicas: Órganos del Estado, municipalidades y otras instituciones que administren recursos o bienes públicos. Estas entidades deben garantizar que sus actividades relacionadas con la recolección y tratamiento de datos cumplan con las disposiciones de la ley.
- Entidades Privadas: Empresas y personas naturales que recolecten, almacenen o traten datos personales con fines comerciales o profesionales.
- Terceros Contratados: Personas naturales o jurídicas que, bajo encargo, realicen actividades de tratamiento de datos personales en nombre de un responsable.
Algunos tratamientos específicos, como aquellos vinculados a la seguridad pública o registros oficiales, quedan fuera del ámbito de aplicación de esta normativa.
Principales Obligaciones
La ley impone responsabilidades clave a los sujetos obligados, entre las cuales destacan:
- Designación de un Delegado de Protección de Datos: Este profesional será el encargado de supervisar el cumplimiento de la ley, gestionar las solicitudes de los titulares y actuar como enlace con la Agencia de Ciberseguridad del Estado (ACE).
- Obtención de Consentimiento: Antes de recolectar o tratar datos personales, se debe obtener el consentimiento libre, informado y específico del titular. Para datos sensibles, este consentimiento debe ser otorgado por escrito.
- Implementación de Medidas de Seguridad: Los responsables deben proteger los datos personales frente a accesos no autorizados, pérdidas o alteraciones mediante medidas tecnológicas y organizativas robustas.
- Garantizar los Derechos ARCO-POL: Se deben habilitar mecanismos eficaces y accesibles para que los titulares puedan ejercer sus derechos en relación con sus datos personales.
- Notificación de Incidentes de Seguridad: En caso de una vulneración, los responsables deben informar a la ACE y a los titulares afectados en un plazo no mayor a 72 horas.
- Elaboración de Políticas de Privacidad: Se deben redactar avisos de privacidad claros y accesibles, detallando los fines del tratamiento y los derechos del titular.
Plazos y Cronograma de Implementación
La ley establece plazos claros para su implementación:
- Emisión de Directrices: La ACE debe emitir las guías y medidas necesarias en un plazo de tres meses desde la entrada en vigor de la ley.
- Adecuación de Entidades: Los sujetos obligados tienen tres meses adicionales para ajustar sus procesos y políticas conforme a las directrices de la ACE.
- Habilitación de Mecanismos ARCO-POL: Las organizaciones tienen un plazo de seis meses para garantizar que los titulares puedan ejercer plenamente sus derechos.
Es importante destacar que la Ley de Protección de Datos Personales se fundamenta en los artículos 1 y 2 de la Constitución de El Salvador, que protegen la intimidad, el honor y la integridad moral de las personas. Además, la normativa refleja los estándares internacionales, reforzando la integración de El Salvador en el entorno global de protección de datos.
Recomendaciones Prácticas
Para garantizar el cumplimiento de esta normativa, sugerimos a las organizaciones adoptar las siguientes medidas:
- Realizar un Diagnóstico de Datos: Identifique los tipos de datos personales que recopila, dónde se almacenan y cómo se utilizan.
- Capacitación Interna: Implemente programas de formación para que el personal comprenda las disposiciones de la ley y las mejores prácticas en protección de datos.
- Revisar Contratos: Asegúrese de incluir cláusulas de confidencialidad y cumplimiento normativo en los acuerdos con terceros que gestionen datos personales.
- Actualizar Avisos de Privacidad: Verifique que los avisos sean claros, accesibles y cumplan con los requisitos legales.
- Establecer Protocolos de Respuesta: Diseñe procedimientos claros para gestionar y notificar incidentes de seguridad.
- Mantener un Registro de Tratamientos: Documente todas las actividades relacionadas con el tratamiento de datos personales.
La Ley de Protección de Datos Personales representa un cambio significativo en la gestión de la información personal en El Salvador. Su correcta implementación no solo asegura el respeto por los derechos fundamentales de los ciudadanos, sino que también incrementa la confianza de los consumidores y socios comerciales.
Invitamos a todas las organizaciones a iniciar el proceso de adaptación a esta normativa. Si necesita asistencia en la interpretación de las disposiciones o en la implementación de los cambios necesarios, estamos a su disposición para ofrecer apoyo y orientación especializada.
Para mayor información o consulta contáctanos por info@central-law.com
Fernando Argumedo
Asociado Senior
El Salvador