Protección de datos – El Salvador

by | May 26, 2025 | Blog LEGAL | 0 comments

Por: Norma Villalobos

LEY DE PROTECCIÓN DE DATOS PERSONALES EN EL SALVADOR
 Retos para su implementación y protección de la información personal

En El Salvador, hasta noviembre del año 2024, era urgente la necesidad de contar con una legislación especial para garantizar el tratamiento adecuado de los datos personales de los ciudadanos frente a las entidades públicas o privadas que, en ocasiones y de manera indiscriminada, pueden hacer uso de información sensible para fines particulares y muchas veces desconocidos para su titular.
El derecho de autodeterminación informativa implica la facultad de las personas para controlar quién, cómo, dónde y para qué se usan sus datos personales y accionar los mecanismos para determinar lo que terceros pueden conocer de su vida personal.

Fue hasta el 12 de noviembre de 2024 que se aprobó, por la Asamblea Legislativa, la Ley para la Protección de Datos Personales, estableciendo un marco normativo moderno para el tratamiento legítimo e informado de los datos personales desde su recolección, uso, procesamiento, almacenamiento y otras actividades relacionadas con ellos, con aras de garantizar el derecho a la intimidad y a la autodeterminación informativa de las personas.

Si bien la ley promulgada por la Asamblea Legislativa es un marco legal especial y moderno que suple las necesidades hasta entonces no cubiertas, su implementación enfrenta algunos retos importantes para lograr la tan anhelada protección a la autodeterminación informativa, como se mencionará más adelante.

¿Cuáles son los aspectos más relevantes que hay que conocer de la Ley de Protección de Datos Personales para garantizar su cumplimiento?

  • Establece la categoría de datos personales sensibles, los cuales solo pueden ser tratados con el consentimiento expreso e inequívoco de su titular: aquellos que revelan creencias y convicciones religiosas, origen étnico, ideologías políticas, preferencias sexuales, por mencionar algunos. También establece las excepciones para el tratamiento aun sin el consentimiento del titular.
  • Concede a las personas derechos personalísimos e independientes denominados como ARCO-POL: Acceso, Rectificación, Cancelación, Oposición, Portabilidad, Olvido y Limitación, que les permiten controlar el uso de sus datos personales.
  • Basa la protección de datos personales en los principios rectores de exactitud, lealtad, consentimiento, minimización de datos, seguridad, transparencia y licitud, que a su vez definen las condiciones mínimas que deben cumplirse para justificar su tratamiento y garantizar su efectiva protección.
  • Exige a los sujetos obligados nombrar un delegado de protección de datos personales, responsable de gestionar y tramitar las solicitudes para el ejercicio de los derechos ARCO-POL, quien debe dar respuesta dentro del plazo de 20 días hábiles.
  • Obliga a todo responsable del tratamiento de datos personales a contar con una Política de Privacidad que permita comunicar al titular de los datos el correspondiente aviso de privacidad y obtener el consentimiento informado.
  • Impone el deber a los responsables de notificar a la ACE, a la FGR y a los titulares afectados dentro de las 72 horas después de tener conocimiento de una vulneración de seguridad de datos personales.
  • Establece un marco de garantías para la transferencia de datos personales, tanto a nivel nacional como para la transferencia internacional.

¿Quiénes son los sujetos obligados al cumplimiento de la ley?

  • Personas naturales o jurídicas, de carácter público o privado, que lleven a cabo actividades relativas o conexas al tratamiento de datos personales, sea de forma manual, automatizada o a través de terceros.
  • Los órganos del Estado, sus dependencias, instituciones oficiales autónomas, municipalidades y cualquier otra entidad u organismo que administren recursos o bienes públicos, dentro o fuera del territorio salvadoreño.

¿Cómo se garantiza el cumplimiento de la ley por los sujetos obligados?

La ley atribuye a la Agencia de Ciberseguridad del Estado (ACE), una dependencia del Ministerio de Justicia y Seguridad, la responsabilidad de ejercer el control de su cumplimiento, así como la potestad sancionadora ante el incumplimiento por parte de los sujetos obligados.

Se establece un procedimiento sancionador que incluye un catálogo de infracciones leves, graves y muy graves, así como sus respectivas sanciones, que consisten en multas económicas desde 1 hasta 50 salarios mínimos mensuales del sector comercio, sin perjuicio de las responsabilidades penales aplicables.

¿Cuáles son los retos que enfrenta la implementación de la ley y, por ende, la protección de datos personales?

La ley entró en vigencia en noviembre de 2024 y atribuye a la ACE la responsabilidad de dictar, dentro de los 3 meses desde su vigencia, las políticas, medidas, guías y disposiciones necesarias para su aplicación.

A casi 6 meses de la entrada en vigencia de la ley, esta entidad aún no se encuentra funcionando y, por tanto, aún no han sido emitidas las medidas y mecanismos que permitan a los sujetos obligados dar cumplimiento a la ley.

Recientemente, la Asamblea Legislativa aprobó una transferencia de recursos entre instituciones del Estado a fin de garantizar el funcionamiento de la ACE, por lo que se espera que en el corto plazo el objeto de la ley pueda cumplirse.

Para los sujetos obligados, la ley señala los siguientes plazos a partir de la emisión de las disposiciones por la ACE:

  • Un plazo de 3 meses para implementar todas las regulaciones para la protección de datos personales.
  • Inmediatamente sean emitidas: adoptar las medidas de protección de datos personales para aquellos datos obtenidos previo a la entrada en vigencia de la ley.
  • Un plazo de 6 meses desde la entrada en vigencia de la ley para establecer los mecanismos que permitan a los titulares de los datos personales ejercer sus derechos ARCO-POL.

¿Cómo pueden los sujetos obligados prepararse para la implementación inminente de la ley?

  • Capacitar a su personal sobre las disposiciones de la ley y la importancia de garantizar la protección de datos personales en sus operaciones.
  • Hacer una verificación de cumplimiento de las obligaciones impuestas por la ley.
  • Revisar los mecanismos de protección de datos actualmente implementados, como la política y aviso de privacidad, el consentimiento informado, así como los procedimientos para la recolección, tratamiento, almacenamiento y transferencia de datos, y hacer las adecuaciones necesarias a las exigencias impuestas por la ley.
  • Contar con la asesoría especializada para la correcta aplicación e implementación de la ley que ya se encuentra vigente y de las disposiciones a ser emitidas por la ACE.

Si necesitas más información acerca de los aspectos antes relacionados, puedes contactarte con nosotros a msutter@latinalliance.co y nvillalobos@latinalliance.co

Submit a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *