Ley de protección de datos en el salvador
Artículo escrito por Alfredo Navas, socio de ECIJA El Salvador.
Introducción
El avance de las tecnologías digitales ha transformado la forma en que se gestionan y procesan los datos personales a nivel mundial, exigiendo un marco normativo sólido que garantice su protección. En este contexto, la República de El Salvador ha promulgado una nueva Ley de Protección de Datos Personales, inspirada en estándares internacionales como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea. Este artículo analiza los aspectos clave de la ley salvadoreña, evaluando su alineación con el GDPR, con un enfoque en los principios generales, derechos reconocidos, mecanismos de aplicación, roles definidos, y el régimen sancionador. Asimismo, se identifican los desafíos y oportunidades que surgen con su implementación en un marco jurídico y social particular.
Principios Generales
La Ley de Protección de Datos Personales de El Salvador adopta un conjunto de principios rectores que reflejan los estándares del GDPR, adaptándolos a su contexto.
Estos principios subyacen a todas las disposiciones de la ley y aseguran que el tratamiento de datos personales se realice de manera ética, segura y en beneficio del titular de los datos.
El principio de licitud, lealtad y transparencia establece que el tratamiento de datos debe basarse en el consentimiento informado del titular, asegurando que este conozca el propósito y alcance del uso de sus datos. Este principio promueve la confianza entre los responsables y los titulares, reduciendo los riesgos de uso indebido.
Asimismo, los principios de limitación de finalidad y minimización de datos subrayan la importancia de recolectar y tratar solo los datos necesarios para fines específicos y legítimos. Esto evita el almacenamiento excesivo de datos y reduce los riesgos de violaciones de seguridad.
Otro principio clave es el de integridad y confidencialidad, que impone medidas estrictas de seguridad para prevenir accesos no autorizados o la manipulación indebida de los datos. La ley también enfatiza la responsabilidad proactiva, requiriendo a los responsables que demuestren su cumplimiento con las disposiciones legales, en línea con el principio de accountability del GDPR.
Derechos Reconocidos
La ley salvadoreña reconoce un conjunto de derechos fundamentales para los titulares de los datos, conocidos como derechos ARCO-POL, que son equivalentes a los derechos del GDPR. Estos derechos fortalecen la autonomía del individuo frente a los responsables del tratamiento de datos, permitiéndoles ejercer control sobre la información personal que los identifica.
El derecho de acceso permite a los titulares conocer qué datos personales están siendo tratados y con qué finalidad, mientras que el derecho de rectificación les otorga la facultad de corregir datos inexactos o desactualizados. En casos donde los datos ya no sean necesarios o se hayan tratado ilegalmente, el titular puede ejercer el derecho de cancelación para solicitar su eliminación.
Por otro lado, el derecho de oposición y el derecho a la limitación ofrecen mecanismos adicionales para restringir o detener el tratamiento de datos en circunstancias específicas. Asimismo, la ley introduce el derecho de portabilidad, que permite a los titulares transferir sus datos a otro responsable de manera sencilla, promoviendo la interoperabilidad de los sistemas.
El derecho al olvido, destacado en entornos digitales, permite a los titulares solicitar la eliminación de información publicada en internet que pueda ser perjudicial o irrelevante con el paso del tiempo.
Procesos y Mecanismos para el Ejercicio de Derechos
La Ley establece un marco claro para que los titulares puedan ejercer sus derechos, asignando un rol fundamental al Delegado de Protección de Datos Personales. Este delegado actúa como intermediario entre los titulares y los responsables del tratamiento, gestionando y resolviendo las solicitudes de manera eficiente y dentro de plazos establecidos.
Los responsables tienen la obligación de implementar procedimientos documentados que permitan la gestión adecuada de estas solicitudes, además de garantizar que el acceso, rectificación o eliminación de datos se realice de forma gratuita y transparente. La ley también prevé medidas para asegurar que los datos sean entregados únicamente al titular o a sus representantes legales debidamente acreditados.
Sanciones y Multas
El régimen sancionador de la Ley clasifica las infracciones en leves, graves y muy graves, con multas que oscilan entre uno y cuarenta salarios mínimos del sector comercio. Las sanciones tienen como objetivo garantizar el cumplimiento de las disposiciones legales y prevenir prácticas que puedan comprometer la privacidad de los titulares.
Además de las multas, la Agencia de Ciberseguridad del Estado, encargada de supervisar la aplicación de la ley, puede imponer medidas adicionales para corregir las infracciones y restablecer la legalidad. Este enfoque sancionador está alineado con las mejores prácticas internacionales y busca fomentar una cultura de cumplimiento entre los responsables del tratamiento de datos.
Conclusión
La Ley de Protección de Datos Personales de El Salvador representa un paso significativo hacia la armonización de las normativas locales con los estándares internacionales. Su implementación efectiva dependerá de la capacidad de los responsables para adoptar medidas proactivas y de la vigilancia por parte de las autoridades competentes. A través de esta ley, El Salvador se posiciona como un país comprometido con la protección de la privacidad y la seguridad de los datos personales, generando confianza en sus ciudadanos y en el ámbito internacional.