Sala de Prensa

10 diciembre, 2024
El Salvador

Nueva Ley de Ciberseguridad y Seguridad de la Información de El Salvador

Artículo escrito por Nathania García-Prieto de ECIJA El Salvador.

El Salvador como país, ha dado un paso significativo en el tema de protección de datos y la infraestructura digital con la reciente aprobación de la Ley de Ciberseguridad y Seguridad de la Información. Este nuevo marco legal representa un hito, junto con la nueva Ley de Protección de Datos Personales, siendo que ambas normativas, buscan establecer un ecosistema digital más seguro y confiable para todos.

Alcance y aplicación de la Ley de Ciberseguridad y Seguridad de la Información en El Salvador

La nueva Ley, con sus treinta y dos artículos, supone un marco normativo integral para proteger los datos y sistemas informáticos del país, con un alcance y aplicación amplios y que abarcan diversos sectores y actores.

El alcance de la ley, identifica prioritariamente la Infraestructura Crítica, buscando proteger los sistemas y redes esenciales para el funcionamiento del país, tales como el sistema financiero, energía, telecomunicaciones y salud. Sin embargo, vemos también un enfoque en la protección de datos, realizando encargos especiales respecto de la protección de la información personal de los ciudadanos, es decir datos sensibles como financieros, de salud y biométricos.

Un aspecto coyuntural de la nueva ley es que, inicialmente pareciera que se centra en las instituciones públicas, ya que en el artículo 2, cuando desarrolla el ámbito de aplicación se dirige exclusivamente a entidades públicas, o aquellas que ejecuten actos de administración pública y similares, sin embargo, consideramos que entenderlo así sería un despropósito, ya que el objeto de la ley y los derechos protegidos no están a cargo únicamente de las citadas.

Es así que, se torna indiscutible que la nueva ley, también se aplica a las empresas privadas, especialmente aquellas que manejan datos personales a gran escala y que forman parte de la infraestructura crítica. Para sustentar lo anterior, retomamos tres conceptos vertidos en la ley: (1) el artículo 4, en su literal d) define que las infraestructuras críticas son sistemas informáticos, equipos, redes o infraestructuras y servicios tecnológicos que soportan o asisten en la prestación de los servicios esenciales para la ciudadanía y que en ocasión de fallo podrían tener un impacto en estos y los mismos no están a cargo únicamente del sector público; (2) El mismo artículo 4 en su literal g) establece que servicios esenciales, es todo servicio que sea necesario para la seguridad nacional, defensa de la soberanía, economía del país, relaciones exteriores, mantenimiento del orden público, salud, bienestar de la ciudadanía y la realización de actividades sociales cruciales, interviniendo particulares en varias de las categorías antes mencionadas y (3) En el artículo 23 inciso final, el legislador hace la distinción de cuando aplican las sanciones a infractores del sector público y del sector privado, lo cual hace evidente que al contemplar infractores del sector privado, es porque la normativa les aplica.

Otro elemento relevante de la nueva ley, es la creación de la Agencia De Ciberseguridad Estatal (ACE), la cual tiene un papel central en la implementación y vigilancia de la ley, naciendo con un rol protagónico, ya que se le ha otorgado amplias facultades para establecer políticas, supervisar el cumplimiento de la Ley y coordinar la respuesta a incidentes.

La cooperación internacional incluida en la normativa, es fundamental, sobre todo dada la naturaleza novedosa e internacional del objeto de la ley y esto mismo hace que se requiera una regulación compartida en función del bienestar global. Bajo esta óptica, el legislador fomenta la colaboración recíproca con otros países, permitiendo el intercambio de información y la asistencia mutua.

Nos atrevemos a decir que esta nueva ley, sienta las bases para un futuro digital seguro, ya que con su implementación se contribuye a un clima positivo en materia de inversión, procurando confianza en el entorno de negocios, al alinearnos como país a estándares internacionales y de esa manera se facilita el desarrollo del comercio electrónico, que sin lugar a dudas es un motor de crecimiento económico y atrae inversiones del exterior.

Estándares internacionales y principios rectores

La Ley de Ciberseguridad y Seguridad de la Información de El Salvador, recoge una serie de principios rectores con la intención de alinearse a los estándares internacionales en materia de protección de datos y ciberseguridad.

Nuestra nueva ley, incluye en su espíritu elementos de diversas normativas globales y algunos de los estándares internacionales más relevantes que la han influenciado son: el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, uno de los más completos y exigentes a nivel mundial y referente principal de muchas legislaciones, el Marco de Protección de Datos de la Organización para la Cooperación y Desarrollo Económico (OCDE), también referencia para muchos países, ya que son guías que ofrecen principios y recomendaciones para garantizar la protección de la privacidad en un entorno globalizado y los Estándares ISO/IEC 27001, estándares internacionales que incluyen los requisitos para un Sistema de Gestión de Seguridad de la Información (SGSI).

Dentro de los principios rectores de la nueva Ley, tenemos el principio de Seguridad por diseño, el cual vale la pena explicar ya que es tan específico y novedoso que se refiere a que las vulnerabilidades y amenazas a las que un sistema es expuesto, deben ser abordadas desde un inicio y no cuando el sistema ya está en funcionamiento.  La seguridad por diseño busca prevenir e implica una suerte de responsabilidad compartida, ya que tanto los desarrolladores, como los proveedores de servicios y los usuarios, tienen responsabilidad compartida en cuanto a garantizar la seguridad de los sistemas.

Otro principio novedoso y especializado es el principio de Seguridad en el ciberespacio y sus anexos, el cual refiere que todas las entidades, tanto públicas como privadas, deben tomar las medidas necesarias para proteger la seguridad de sus redes, equipos y sistemas informáticos. Esto incluye no solo los sistemas internos, sino también aquellos que se utilizan para conectarse a internet y otros sistemas externos, es decir “los anexos”, los cuales se definen como las redes, tanto internas como externas (internet), equipos, software, datos, servicios en la nube, Internet de las Cosas (IoT), entre otros.

Por otro lado, incluye la ley principios más genéricos, pero que de igual manera buscan robustecer el cuerpo normativo y brindarle fuerza e integralidad, para su correcto cumplimiento. Dentro de estos principios tenemos los principios de: i) resiliencia, continuidad y disponibilidad, ii) gestión de riesgos, iii) cooperación, iv) control de daños, v) racionalidad, responsabilidad y proporcionalidad, vi) confidencialidad e integridad; todos los anteriores suponen las mejores prácticas de seguridad de parte de los involucrados.

Para cerrar el tema de los principios, vamos a referirnos al Principio de Neutralidad Tecnológica, el cual establece que las regulaciones y leyes no deben favorecer o discriminar a una tecnología específica. En otras palabras, las normas deben ser aplicables a todas las tecnologías de manera equitativa, sin importar su origen, diseño o propósito y su importancia radica en que, solo así se puede garantizar que tendremos capacidad de adaptarnos a futuras tecnologías, sin necesidad de constantes reformas de ley y al mismo tiempo, permite que estas nuevas tecnologías se evalúen y escojan en función de su capacidad de cumplir con los objetivos de seguridad establecidos, sin importar su diseño o características.

Derechos y obligaciones

Derechos. Las leyes de ciberseguridad en general, están diseñadas para proteger a los ciudadanos y sus datos en el mundo digital. Dentro de los Derechos Fundamentales protegidos por la Ley de Ciberseguridad y Seguridad de la Información de El Salvador, tenemos el Derecho a la Privacidad, Derechos a la Integridad y al Olvido, Derecho a la Seguridad, Derecho a la Información, Derecho a la Libertad de Expresión, Derecho a la No Discriminación. Lo anterior, deja en evidencia que nuestra nueva ley, cuenta con los elementos necesarios, reconociendo y protegiendo derechos fundamentales en el ámbito digital, con la finalidad de garantizar un entorno seguro y confiable.

Obligaciones. El artículo 6 de la nueva ley, recoge en catorce literales, de la “a” a la “n”, las obligaciones para los sujetos a quienes aplique dicha normativa, las cuales en resumen se refieren a la implementación de medidas de seguridad, sistemas de gestión, estrategias, revisiones, planes de continuidad, llevar registros actualizados de acciones, rendición de cuentas, entre otros.

Así también, requiere a todos los involucrados de su colaboración con las autoridades, realizar notificaciones de incidentes de manera oportuna, realizar evaluaciones de riesgo periódicas para identificar y mitigar las amenazas a su seguridad y capacitar al personal continuamente sobre las mejores prácticas de seguridad.

Es así que, se vuelve evidente que la implementación de esta nueva normativa, representa grandes desafíos tanto para las instituciones públicas como para las privadas y estos retos se derivan de la necesidad de adaptarse a nuevos estándares de seguridad, invertir en tecnología y capacitar al personal.

Pero sin lugar a dudas, uno de los mayores retos será, lograr un correcto equilibrio entre seguridad y libertades, es decir lograr proteger la seguridad nacional y los derechos y libertades individuales al mismo tiempo.

Infracciones y sanciones

Para garantizar el cumplimiento de esta nueva ley, se han definido diferentes tipos de infracciones y las sanciones correspondientes, siendo que las infracciones se han clasificado en leves (artículo 19), graves (artículo 20) y muy graves (artículo 21) y las mismas varían de acuerdo a la gravedad de la acción y sus consecuencias.

En cuanto a las sanciones, el legislador toma como referencia el salario mínimo del sector comercio para todas las sanciones económicas y van desde uno hasta cien salarios mínimos las sanciones contempladas, facultando la ley a la ACE, para implementar multas coercitivas diarias y medidas adicionales a su discreción, para asegurarse que las infracciones señaladas se corrijan.

En cuanto a los procesos relativos a la nueva ley, dos datos importantes para comprender las nuevas reglas son:  que los procedimientos sancionadores iniciados bajo la misma, se seguirán y regirán por las reglas de la Ley de Procedimientos Administrativos, pudiendo iniciarse de oficio y que, las infracciones y sanciones dispuestas en dicho cuerpo de ley prescribirán en cinco años.

Conclusión

La entrada en vigor de la nueva Ley de Ciberseguridad y Seguridad de la Información en El Salvador, representa un avance importante en la protección de los datos y sistemas informáticos del país. Esta legislación tiene como objetivo principal establecer un marco legal sólido que garantice la seguridad de la información en el ámbito digital, tanto en el sector público como en el privado.

Advertimos que las actividades relacionadas a la presente ley, darán inicio con una aplicación enfocada al sector público y algunos actores específicos del sector privado como las telcos, data centers, banca o sector financiero, empresas relacionadas al rubro energía, hospitales y otros similares.

Sabemos que la normativa en estudio viene acompañada de grandes retos para todos y es importante destacar que, por ser un campo en constante evolución, será necesario realizar ajustes a esta nueva ley y actualizaciones periódicas, para poder responder adecuadamente a los desafíos y amenazas que surjan.

Con la creación de dicha normativa, El Salvador como país, responde a la evolución de la humanidad y cumple con sus obligaciones de ser un Estado diligente y comprometido con la seguridad de manera integral.