La Ley de Protección de Datos Personales de El Salvador representa un paso  significativo hacia la armonización de las normativas locales con los estándares  internacionales. Su implementación efectiva dependerá de la capacidad de los  responsables para adoptar medidas proactivas y de la vigilancia por parte de las  autoridades competentes.

El avance de las tecnologías digitales ha transformado la forma en que se gestionan  y procesan los datos personales a nivel mundial, exigiendo un marco normativo sólido  que garantice su protección. En este contexto, la República de El Salvador ha  promulgado una nueva Ley de Protección de Datos Personales, inspirada en  estándares internacionales como el Reglamento General de Protección de Datos  (GDPR) de la Unión Europea. Este artículo analiza los aspectos clave de la ley  salvadoreña, evaluando su alineación con el GDPR, con un enfoque en los principios  generales, derechos reconocidos, mecanismos de aplicación, roles definidos, y el  régimen sancionador. Asimismo, se identifican los desafíos y oportunidades que  surgen con su implementación en un marco jurídico y social particular.

Principios Generales

La Ley de Protección de Datos Personales de El Salvador adopta un conjunto de  principios rectores que reflejan los estándares del GDPR, adaptándolos a su contexto.  Estos principios subyacen a todas las disposiciones de la ley y aseguran que el  tratamiento de datos personales se realice de manera ética, segura y en beneficio  del titular de los datos.

El principio de licitud, lealtad y transparencia establece que el tratamiento de datos  debe basarse en el consentimiento informado del titular, asegurando que este  conozca el propósito y alcance del uso de sus datos. Este principio promueve la  confianza entre los responsables y los titulares, reduciendo los riesgos de uso indebido.

Asimismo, los principios de limitación de finalidad y minimización de datos subrayan  la importancia de recolectar y tratar solo los datos necesarios para fines específicos  y legítimos. Esto evita el almacenamiento excesivo de datos y reduce los riesgos de  violaciones de seguridad.

Otro principio clave es el de integridad y confidencialidad, que impone medidas  estrictas de seguridad para prevenir accesos no autorizados o la manipulación  indebida de los datos. La ley también enfatiza la responsabilidad proactiva,  requiriendo a los responsables que demuestren su cumplimiento con las disposiciones  legales, en línea con el principio de accountability del GDPR.

Derechos Reconocidos

La ley salvadoreña reconoce un conjunto de derechos fundamentales para los  titulares de los datos, conocidos como derechos ARCO-POL, que son equivalentes a  los derechos del GDPR. Estos derechos fortalecen la autonomía del individuo frente a  los responsables del tratamiento de datos, permitiéndoles ejercer control sobre la  información personal que los identifica.

El derecho de acceso permite a los titulares conocer qué datos personales están  siendo tratados y con qué finalidad, mientras que el derecho de rectificación les  otorga la facultad de corregir datos inexactos o desactualizados. En casos donde los  datos ya no sean necesarios o se hayan tratado ilegalmente, el titular puede ejercer  el derecho de cancelación para solicitar su eliminación.

Por otro lado, el derecho de oposición y el derecho a la limitación ofrecen  mecanismos adicionales para restringir o detener el tratamiento de datos en  circunstancias específicas. Asimismo, la ley introduce el derecho de portabilidad, que  permite a los titulares transferir sus datos a otro responsable de manera sencilla,  promoviendo la interoperabilidad de los sistemas.

El derecho al olvido, destacado en entornos digitales, permite a los titulares solicitar  la eliminación de información publicada en internet que pueda ser perjudicial o  irrelevante con el paso del tiempo.

Procesos y Mecanismos para el Ejercicio de Derechos

La Ley establece un marco claro para que los titulares puedan ejercer sus derechos,  asignando un rol fundamental al Delegado de Protección de Datos Personales. Este  delegado actúa como intermediario entre los titulares y los responsables del  tratamiento, gestionando y resolviendo las solicitudes de manera eficiente y dentro  de plazos establecidos.

Los responsables tienen la obligación de implementar procedimientos  documentados que permitan la gestión adecuada de estas solicitudes, además de  garantizar que el acceso, rectificación o eliminación de datos se realice de forma  gratuita y transparente. La ley también prevé medidas para asegurar que los datos  sean entregados únicamente al titular o a sus representantes legales debidamente  acreditados.

Sanciones y Multas

El régimen sancionador de la Ley clasifica las infracciones en leves, graves y muy  graves, con multas que oscilan entre uno y cuarenta salarios mínimos del sector  comercio. Las sanciones tienen como objetivo garantizar el cumplimiento de las  disposiciones legales y prevenir prácticas que puedan comprometer la privacidad  de los titulares.

Además de las multas, la Agencia de Ciberseguridad del Estado, encargada de  supervisar la aplicación de la ley, puede imponer medidas adicionales para corregir  las infracciones y restablecer la legalidad. Este enfoque sancionador está alineado  con las mejores prácticas internacionales y busca fomentar una cultura de  cumplimiento entre los responsables del tratamiento de datos.

Conclusión

La Ley de Protección de Datos Personales de El Salvador representa un paso  significativo hacia la armonización de las normativas locales con los estándares  internacionales. Su implementación efectiva dependerá de la capacidad de los  responsables para adoptar medidas proactivas y de la vigilancia por parte de las  autoridades competentes. A través de esta ley, El Salvador se posiciona como un país  comprometido con la protección de la privacidad y la seguridad de los datos  personales, generando confianza en sus ciudadanos y en el ámbito internacional.

Adoptar un enfoque ético en el manejo de datos personales no es solo una obligación legal, sino también una ventaja competitiva. Las empresas que priorizan la transparencia y la protección de datos construyen relaciones más sólidas con sus clientes, fortalecen su reputación y minimizan riesgos operativos y legales.

El dilema de los datos personales en la era de la inteligencia artificial

En una era dominada por el uso de tecnologías de inteligencia artificial (IA), los datos personales han dejado de ser simples registros para convertirse en activos de alto valor. Esto plantea un reto ético significativo: ¿cómo equilibrar la innovación tecnológica con la protección de derechos fundamentales como la privacidad? En El Salvador, la reciente aprobación de la Ley de Protección de Datos Personales y la Ley de Ciberseguridad ofrece un marco jurídico claro para abordar este desafío, pero la implementación requiere un compromiso tanto normativo como empresarial.

Las empresas que desarrollan o implementan tecnologías basadas en IA deben actuar como guardianes de la confidencialidad, respetando los principios legales y éticos que protegen a los titulares de datos. Sin embargo, ¿están realmente preparadas para asumir esta responsabilidad?

La base del cumplimiento se encuentra en los principios esenciales para el manejo ético de datos, ya que los datos personales son el combustible que impulsa los sistemas de IA, pero su uso debe respetar principios fundamentales que garanticen la protección de los derechos de las personas.

La interacción de los principios establecidos en la Ley de Protección de Datos Personales y la Ley de Ciberseguridad en El Salvador refleja un marco normativo robusto que aborda la protección de datos desde su recolección hasta su gestión en entornos digitales, priorizando la seguridad y los derechos de los titulares.

La Ley de Protección de Datos Personales enfatiza principios clave como la exactitud y la minimización de datos, exigiendo que los datos sean actualizados, suficientes y pertinentes para los fines específicos declarados. Estos principios se alinean con el de transparencia, que obliga a informar al titular sobre las características del tratamiento, asegurando que las finalidades y el período de almacenamiento sean claros y accesibles. Por otro lado, la Ley de Ciberseguridad complementa estas disposiciones al exigir medidas de seguridad por diseño, promoviendo que los sistemas informáticos prioricen la ciberseguridad desde su concepción, y gestión de riesgos, para identificar amenazas potenciales y mitigarlas oportunamente.

El principio de licitud exige que el tratamiento de datos se base en consentimiento informado o en una finalidad legítima establecida en la ley, mientras que la ciberseguridad refuerza la confidencialidad e integridad de la información, garantizando que sólo accedan usuarios autorizados y evitando alteraciones o pérdidas no autorizadas. Ambos marcos también destacan la temporalidad y la proporcionalidad, limitando el tiempo de conservación de datos y ajustando las medidas de seguridad según el riesgo inherente.

En conjunto, estas normativas no solo protegen los derechos fundamentales de los ciudadanos y usuarios, sino que también ofrecen directrices claras a las empresas e instituciones, incentivando una cultura de responsabilidad y prevención en el manejo de la información. Este enfoque integral asegura un equilibrio entre innovación tecnológica y respeto por la privacidad.

El rol de las empresas: de usuarios a custodios responsables de datos

En el ecosistema empresarial, las organizaciones que desarrollan tecnología basada en IA no solo son usuarias de datos personales, sino también custodios responsables de su manejo. Este rol va más allá del cumplimiento normativo; implica adoptar una postura ética frente a los derechos de las personas.

Un punto crítico es el diseño de algoritmos de IA. Desde su concepción, estos sistemas deben integrar medidas de privacidad, siguiendo el concepto de “privacidad desde el diseño” (privacy by design). Esto incluye limitar la recopilación de datos a lo estrictamente necesario, anonimizar o pseudonimizar la información sensible y garantizar que los procesos sean auditables.

Además, las empresas deben establecer políticas de gobernanza que incluyan:

   •   Capacitación interna: Formar a los equipos en temas de privacidad y ética en el manejo de datos es esencial para evitar prácticas inadecuadas.

   •   Auditorías regulares: Verificar el cumplimiento de las políticas internas y garantizar que los algoritmos operen sin sesgos discriminatorios o errores sistemáticos.

   •   Evaluaciones de impacto: Antes de implementar sistemas de IA, es necesario realizar análisis que identifique posibles riesgos para la privacidad y los derechos de los usuarios.

El reto de la transparencia en la inteligencia artificial

Uno de los mayores desafíos que enfrentan las empresas que utilizan IA es explicar cómo funcionan sus sistemas de forma comprensible para los usuarios. La transparencia algorítmica no solo es una obligación ética, sino también un requisito para cumplir con los principios de transparencia establecidos en la ley.

Esto se vuelve especialmente relevante en decisiones automatizadas que afectan significativamente a las personas, como la aprobación de un crédito, la selección de personal o la clasificación de riesgos. En estos casos, las empresas deben ser capaces de responder preguntas fundamentales:

   •   ¿Qué datos se utilizaron para entrenar el modelo?

   •   ¿Qué criterios se aplicaron para tomar la decisión?

   •   ¿Existen mecanismos para que el usuario pueda impugnar o cuestionar los resultados?

Confidencialidad e integridad: pilares de la seguridad en IA

En el ámbito de la Ley de Ciberseguridad, las empresas tienen la obligación de garantizar la confidencialidad e integridad de los datos personales utilizados en sus sistemas de IA. Esto implica para las empresas que usan IA, implementar medidas robustas de seguridad, como:

   •   Encriptación de extremo a extremo para proteger la información durante su transferencia y almacenamiento.

   •   Autenticación multifactorial para limitar el acceso a datos sensibles.

   •   Notificación de incidentes permitiendo una respuesta rápida a posibles brechas de seguridad.

La confidencialidad no solo protege a las empresas de sanciones legales, sino que también fortalece su reputación, generando confianza entre los usuarios y los socios comerciales.

Los beneficios de un enfoque ético en la IA

Adoptar un enfoque ético en el manejo de datos personales no es solo una obligación legal, sino también una ventaja competitiva. Las empresas que priorizan la transparencia y la protección de datos construyen relaciones más sólidas con sus clientes, fortalecen su reputación y minimizan riesgos operativos y legales.

Además, al alinearse con estándares internacionales como el Reglamento General de Protección de Datos (GDPR), las organizaciones salvadoreñas pueden posicionarse como líderes en mercados globales, demostrando que cumplen con las exigencias más estrictas en protección de datos.

En conclusión , la implementación de tecnologías de inteligencia artificial en las empresas requiere un compromiso activo con el uso ético de los datos personales y la confidencialidad. En El Salvador, la Ley de Protección de Datos Personales y la Ley de Ciberseguridad establecen un marco normativo que, si bien plantea desafíos en su aplicación, ofrece una base sólida para garantizar la transparencia, la integridad y la confianza en el entorno digital.

En última instancia, el éxito de estas normativas dependerá de la capacidad de las empresas para asumir un rol activo en la protección de los derechos de los titulares de datos, adoptando prácticas de gobernanza que equilibren la innovación tecnológica con el respeto por la privacidad. Este enfoque no solo protege a los ciudadanos, sino que también fortalece la posición de El Salvador como un referente regional en la regulación de la tecnología y la inteligencia artificial.

Es fundamental evaluar y gestionar a los proveedores y socios comerciales, verificando su cumplimiento con los estándares legales y estableciendo cláusulas específicas en los contratos

La ley de protección de datos personales de El Salvador, en adelante LPDP, ha entrado en vigor. Ha fijado un plazo de 6 meses para cumplir con las medidas de cumplimiento en protección de datos personales, es decir, para prepararnos para cumplir con las medidas legales que ésta ordena.

Medidas de cumplimiento legal o “compliance”

En materia de protección de datos personales, las medidas de compliance son las estrategias, procedimientos y controles implementados para garantizar que las organizaciones cumplan con las normativas legales en torno a la privacidad y seguridad de los datos personales. Estas medidas tienen el objetivo de garantizar la integridad y confidencialidad de los datos personales.

¿Cuáles son algunos ejemplos de estas medidas? Medidas para facilitar el ejercicio de derechos ARCO-POL de los titulares (acceso, rectificación, cancelación, oposición, portabilidad, olvido y limitación); normas o procedimientos internos para las transferencias internacionales de datos mediante mecanismos legales adecuados; planes de prevención o de contingencia para responder ante emergencias por brechas de seguridad y brechas de datos; programas para la notificación a la autoridad encargada de la supervisión y cumplimiento de la ley sobre la implementación de medidas preventivas y correctivas en materia de protección de datos personales; nombramiento de un encargado de supervisar el cumplimiento de la normativa y actuar como punto de contacto con las autoridades y los titulares de datos (DPO, por sus siglas en inglés), entre otras.

¿Las medidas de cumplimiento contempladas en la LPDP son voluntarias u obligatorias?

La ley aplica a «toda persona natural o jurídica, de carácter público o privado que lleve a cabo actividades relativas o conexas al tratamiento de datos personales», por lo que son obligatorias para todos los sujetos obligados la ley.

Medidas de compliance aplicables a las empresas

La norma incluye mecanismos de compliance diseñados para fortalecer el respeto y la aplicación de la normativa a cargo de la Agencia de Ciberseguridad Estatal (ACE).

1. Nombramiento de Delegados de Datos Personales.
   La ley ordena que todos los sujetos obligados por esta tienen la obligación de nombrar un oficial de protección de datos personales (DPO) para gestionar y tramitar las solicitudes para el ejercicio de los derechos ARCO-POL. Es decir, deberá nombrar oficial de protección de datos toda persona natural o jurídica, tenga o no empleados, realice o no operaciones de tratamiento a gran escala que requieran de una observación sistemática, lleve a cabo o no tratamiento de categorías especiales de datos personales a gran escala, independientemente de sus ingresos mensuales o anuales, realice tratamiento de datos personales manualmente, parcial o totalmente automatizado, o incluso a través de terceros.
2. Prohibición de creación de bases de datos sensibles y uso indebido de datos.
   La ley prohíbe crear bases de datos con información personal sensible o divulgar, transferir, o comercializar datos personales obtenidos en el ejercicio de un cargo, salvo autorización explícita. Esta medida aplica especialmente a empresas que manejen datos sensibles de clientes, empleados o proveedores.
3. Derecho de los titulares de los datos.
   Los ciudadanos salvadoreños tienen derecho a ejercer sus derechos ARCO-POL cuando consideren que no están siendo tratados adecuadamente, por lo que será necesario implementar procedimientos para gestionar las solicitudes en ejercicio de los derechos ARCO-POL de conformidad y en el plazo que la ley exige.
4. Notificación de vulneraciones de seguridad.
   En caso de brecha de seguridad se deberá contar con protocolos de gestión de este tipo de incidentes y procedimientos de notificación a la Agencia de Ciberseguridad del Estado (ACE), a la Fiscalía General de la República y a los titulares afectados dentro de las 72 horas posteriores al conocimiento del incidente. Esta medida también implica, por ejemplo, la documentación de incidentes y la identificar de causas.
5. Implementación y actualización de políticas.
   Se deberán implementar políticas de privacidad y seguridad claras, llevar registros de actividades de tratamiento, identificar los tipos de tratamiento o las transferencias internacionales de datos personales, adoptar controles internos, y capacitar al personal. Esta medida podría exigirse sobre todo a aquellas empresas que manejan grandes volúmenes de datos, sin embargo, dado que la ley no hace distinciones, aplica a todos los sujetos obligados.
6. Medidas correctivas y preventivas.
   Las empresas deben establecer procedimientos internos para prevenir nuevas brechas de seguridad tras cualquier incidente de seguridad. La medida implicará un monitoreo constante de sistemas utilizados en el negocio, y la adopción de diversas medidas tecnológicas o no.

De no cumplir con estas y otras medidas de cumplimiento legal, la ACE podrá imponer multas administrativas por infracciones a la ley. Las infracciones están divididas en leves, graves o muy graves; las multas correspondientes a las infracciones leves son entre 1 y 10 salarios mínimos mensuales vigentes en el sector comercio, es decir, equivalentes a $365 a $3,650; las multas correspondientes a las infracciones graves son entre 11 y 25 salarios mínimos mensuales del sector comercio, es decir, equivalentes a $4,015 a $9,125; las multas correspondientes a las infracciones muy graves son entre 26 y 40 salarios mínimos mensuales del sector comercio, es decir, equivalentes a $9,490 a $14,600.

Adicionalmente, se deberá notificar a la Fiscalía General de República en caso de delitos graves como, por ejemplo, los relativos al uso indebido o revelación de datos personales, contemplados en la ley de delitos informáticos y conexos. Finalmente, podría aplicarse la suspensión de actividades o servicios de la empresa si no se corrigen las deficiencias detectadas.

Para cumplir con las medidas de protección de datos personales exigidas por la ley, una empresa debe implementar un enfoque integral que incluya diversas acciones estratégicas y operativas.

El primer paso implica realizar un diagnóstico inicial para identificar posibles brechas en el tratamiento de datos personales, que incluye el mapeo de los flujos de información desde su recolección hasta su eliminación.

Designar un delegado de protección de datos personales que comprenda sobre aspectos técnicos y legales en materia de protección de datos personales, es una estrategia fundamental para asegurar el cumplimiento de las normativas relacionadas con la privacidad y la gestión de datos, sobre todo considerando el corto plazo de implementación de las medidas contempladas por la ley.

El delegado tiene la responsabilidad de supervisar y orientar en el manejo adecuado de la información personal, estableciendo políticas efectivas que garanticen que la organización opere dentro del marco legal. Su función resulta indispensable para evitar sanciones y multas por posibles infracciones, fomentando una cultura de protección de datos y reduciendo los riesgos que puedan afectar la reputación y la estabilidad económica de la empresa.
Además, debe establecerse políticas de privacidad transparentes, desarrollar procedimientos para gestionar las solicitudes de los titulares de los datos y adoptar medidas de seguridad tanto técnicas como organizativas, como el cifrado, el control de accesos y la actualización constante de los sistemas.

Simultáneamente, es necesario capacitar al personal en la correcta gestión de datos y fomentar una cultura interna de privacidad y seguridad.

Es fundamental evaluar y gestionar a los proveedores y socios comerciales, verificando su cumplimiento con los estándares legales y estableciendo cláusulas específicas en los contratos. La empresa debe documentar todas las actividades de tratamiento de datos, realizar evaluaciones de impacto en la privacidad y en la protección de los datos (PIA, DPIA, por sus siglas en inglés) cuando sea pertinente y mantener registros actualizados.

Asimismo, debe implementar un plan de respuesta ante incidentes, que incluya la notificación a las autoridades y a los afectados, asegurando que los titulares comprendan el uso de su información y obteniendo su consentimiento según corresponda.

Es esencial llevar a cabo auditorías periódicas, supervisar el cumplimiento continuo y ajustar las políticas y procedimientos frente a cambios legales o tecnológicos. Estas medidas no solo garantizan el cumplimiento normativo, sino que también protegen la reputación de la organización y fortalecen la confianza de sus clientes y socios comerciales.

Tanto para la disociación como para la seudonimización, los modelajes estadísticos o la tecnología pueden proporcionar mecanismos o técnicas para realizar los referidos procedimientos, en cada caso se deben analizar las garantías que las técnicas a utilizar proporcionan y los riesgos de reidentificación no autorizados.

En la economía digital y en las nuevas formas de hacer negocios los datos se han convertido en un activo esencial y en línea con ello los Estados se han visto en la necesidad de emitir instrumentos normativos que instauren el marco institucional para proteger a sus ciudadanos ante el mal uso o violaciones de sus datos personales, entendidos estos últimos como la información concerniente a una persona natural identificada o identificable, tales como su nombre, domicilio, nacionalidad, estado familiar, canales de contacto, etc.

El Salvador no es ajeno a esta realidad, y si bien hasta noviembre del presente año no existía una normativa específica en materia de protección de datos personales, la Sala de lo Constitucional de la Corte Suprema de Justicia hace más de una década ya había reconocido mecanismos de protección ante vulneraciones de los derechos asociados a la autodeterminación informativa, aunado a que, en sus precedentes también reconoció los Derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) como garantías legales que le permiten a los individuos tener control sobre sus datos personales, que en normativa recién entrada en vigor se han ampliado a Derechos ARCO-POL (Acceso, Rectificación, Cancelación, Oposición, Portabilidad, Olvido y Limitación).

Si bien los mecanismos de protección resultan eficaces e indispensables cuando ha existido una posible vulneración a los derechos de una persona, siempre es importante adoptar un enfoque preventivo y no solo reactivo para garantizar una protección temprana de los datos personales, lo que constituye en sí uno de los principales propósitos de la normativa de protección de datos personales.

En ese sentido, noviembre del presente año marcó un punto de inflexión para El Salvador en materia de privacidad de datos, cuando fue aprobada por la Asamblea Legislativa, y sancionada por el Presidente de la República, la Ley para la Protección de Datos Personales (LPDP).

El país ahora cuenta con un marco normativo, en plena vigencia, que tiene por objeto establecer la regulación para la protección de los datos personales, los requisitos esenciales para el tratamiento legítimo e informado de estos y las obligaciones y parámetros para su recolección, uso, procesamiento, almacenamiento y otras actividades relacionadas al tratamiento de datos personales.

Dos aspectos relevantes que considera la LPDP, en lo que concierne al tratamiento de datos, son la Disociación (o Anonimización) y la Seudonimización. La LPDP define la Disociación como el “procedimiento irreversible mediante el cual los datos personales dejan de asociarse a su titular o de permitir, por su estructura, contenido o grado de desagregación, la identificación de éste”, por otra parte, define la Seudonimización como el “procedimiento de tratamiento de datos personales a efectos de que estos ya no puedan asociarse con el titular de estos, sin utilizar información adicional, siempre y cuando dicha información adicional se encuentre separada, oculta, clasificada y resguardada bajo medidas técnicas y organizativas que garanticen que tales datos personales no pueden ser atribuidos a una persona física identificada o identificable”.

En términos prácticos, la Disociación y Seudonimización son procedimientos por los cuales se desvinculan los datos respecto de una persona y permiten garantizar la privacidad, pues al ya no estar asociados los datos a un individuo, se dificulta o imposibilita que una persona sea identificada. Si bien ambos procedimientos podrían tener una misma finalidad, existen diferencias entre ellos con implicaciones prácticas y jurídicas.

En primer lugar, como se advierte de las definiciones que proporciona la ley, la Disociación tiene la característica de ser irreversible, es decir que se realiza un procedimiento de desvinculación de datos que elimina por completo cualquier información que permita identificar a una persona, generando un nuevo conjunto de datos. Una de las implicaciones jurídicas de la Disociación, es que, al tener un nuevo conjunto de datos, por los cuales resulta imposible identificar a una persona, el tratamiento de estos no requiere un consentimiento previo (al respecto, ver el artículo 28 de la LPDP). Debe tomarse en cuenta que un proceso de anonimización por su característica de irreversibilidad, debe ser un procedimiento técnico y sólido, por el cual se elimine cualquier riesgo de reidentificación.

Por otra parte, el procedimiento de Seudonimización, se caracteriza por ser reversible y generar dos conjuntos de datos: los datos seudonimizados y la información adicional con la cual se podría revertir la seudonimización. Como lo indica la ley, el segundo conjunto de datos debe mantenerse separado, oculto y bajo resguardo.

Tanto para la disociación como para la seudonimización, los modelajes estadísticos o la tecnología pueden proporcionar mecanismos o técnicas para realizar los referidos procedimientos, en cada caso se deben analizar las garantías que las técnicas a utilizar proporcionan y los riesgos de reidentificación no autorizados.

Por otra parte, no se puede dejar de mencionar que, tanto el procedimiento de disociación y seudonimización son actividades de tratamiento de datos personales, por ende, para realizarlos es requerido contar con el consentimiento previo de conformidad con los requisitos establecidos por la LPDP, es decir debe ser un consentimiento libre, específico, informado, expreso e individualizado de parte de los titulares de los datos personales que se someterán a dichos procedimientos. Adicionalmente, de conformidad con la LPDP, para revertir la Seudonimización también es necesario contar con el consentimiento de los titulares de los datos personales.

No contar con el consentimiento previo, y de forma apropiada, para el tratamiento de datos personales, puede dar lugar a incurrir en una infracción muy grave a la ley. Dichas infracciones son sancionadas con multa de hasta cuarenta salarios mínimos mensuales vigentes del sector comercio, considerando el salario mínimo vigente, dicha multa equivale a US$ 14,600.00. Además de las multas pecuniarias, la LPDP establece que se podrá ordenar al infractor que adopte las medidas que fueren necesarias para restablecer la legalidad alterada por la infracción o que permita la corrección de los derechos o las situaciones vulneradas.

En conclusión, en la economía digital y los nuevos modelos de negocios, los datos personales y el tratamiento de los mismos tienen un rol indispensable, en ese contexto, los procedimientos de Disociación y Seudonimización se vuelven herramientas importantes para proteger los datos personales. Según las necesidades que puedan tener las compañías para el tratamiento de datos personales, resultará más adecuado realizar un procedimiento de Disociación o Seudonimización.

Por ejemplo, la Seudonimización, por sus características, puede ser recomendada para el tratamiento interno de datos por distintas áreas de una misma compañía; y la Disociación puede ser preferible cuando los datos serán tratados con fines de inteligencia de negocios, pruebas de aplicaciones o software o tratamiento de datos mediante herramientas de Inteligencia Artificial.

Finalmente, se debe estar atento a la creación de Agencia de Ciberseguridad del Estado (ACE), pues, de conformidad con la LPDP, esta entidad tendrá dentro de sus atribuciones dictar las guías de implementación de la ley, con base en lo cual podría emitir lineamientos o guías relacionadas con los procedimientos y mejores prácticas de Disociación y Seudonimización.

Como agentes de una economía interconectada, todos debemos recordar constantemente que los esfuerzos por prevenir incidentes como estos deben crecer al mismo ritmo que la innovación en medios de pago

En un contexto en el que la dependencia de dinero en efectivo se reduce cada vez más y el incremento de los pagos digitales o a través de tarjetas de crédito o débito se vuelve más relevante, resulta importante considerar los riesgos asociados a la seguridad de la información que facilita dichas transacciones. Para hacernos idea de la magnitud de la exposición, aquí dejo un par de cifras:

En los últimos años, Estados Unidos ha experimentado una notable transformación en los métodos de pago en este sentido. Según datos recientes, el efectivo representó el 16% de todas las transacciones en 2022, mientras que las tarjetas de crédito y débito constituyeron el 32% y el 30%, respectivamente. En el ambito de las billeteras digitales, Apple Pay domina el mercado de pagos móviles norteamericano, representando el 92% de las transacciones de débito móvil; mientras Google Pay hace lo suyo en economias emergentes con preferencia por dispositivos android.

En LatAm, el uso del efectivo disminuyó del 45% en 2019 al 21% en 2023. Entre 2021 y 2023, el porcentaje de personas que preferían el efectivo como medio de pago se redujo a la mitad, mientras que la proporción que optó por métodos electrónicos, como tarjetas de débito, crédito y pagos móviles, supero la duplicación.

Por un lado, es de celebrarse que el ecosistema de pagos se modernice hacia la reducción de uso de efectivo el cual resta velocidad a la movilidad de capitales o la trazabilidad transaccional. Pero con dichos avances surgen nuevos riesgos. Dos casos emblemáticos abonan a esta discusión:

Entre el 2007 y 2008, Hearland Payment System, una compañía estadounidense procesadora de medios de aceptación de pagos, fue víctima de un ciberataque masivo que comprometió alrededor de 130 millones de números de tarjetas. El ataque le costó a la compañía más US$200 millones de dólares en gastos y una pérdida de hasta el 77% de precio de sus acciones.

El ataque fue diagnosticado como una inyección de SQL, lo que consiste en ingresar codigo malicioso en la entrada de una aplicación web para manipular bases de datos o ejecutar comandos en un servidor. Aunque la inyección se desarrolló a lo largo de 2007, la vulnerabilidad existió 8 años antes del ataque, por medio de un código escrito para habilitar un un formulario web.

La vulnerabilidad de dicho código permitió a los atacantes ingresar a la red corporativa, en donde pasaron 6 meses intentando acceder a la red de procesamiento. Cuando lograron ingresar a la red de procesamiento, los atacantes instalaron un software de monitoreo y captura de data durante su tráfico (“sniffer”). Dado que en ciertos puntos de la red la información viajaba el texto en claro, los atacantes lograron capturar sufiente data como para crear versiones paralelas de tarjeta que contenian, incluso, la codificada en la banda magnética.

Los procesadores de pago, como Heartland, no son los únicos candidatos de ataque cibernpetico. Todo participante de econosistema de pagos puede estar expuesto.

En 2013, una de las mayores cadenas de retail estadounidense fue el blanco de uno de los casos de uso más interesantes en la materia: Target.

Los atacantes accedieron a la red de la empresa a través de las credenciales comprometidas de un proveedor de servicios de climatización. Una vez dentro, instalaron malware en los terminales de punto de venta (POS) para capturar datos de tarjetas, en el momento de ejecución de la transacción en la misma terminal.. Este ataque comprometió la información de aproximadamente 40 millones de tarjetas y los datos personales de 70 millones de clientes.

Las investigaciones mostraron que los atacantes, por medio de una simple busqueda en Google, obtuvieron 2 piezas clave de información: 1) los proveedores de Target; 2) un caso de estudio publicado por Microsoft en el que revelaban cómo Target usaba Microsoft System Centre Configuration Manager (SCCM) para gestionar maquinas virtuales y ajustes de seguridad, revelando con un gran nivel de detalle la insfraestructura de Target, incluyendo el sistema de gestión de los POS.

Con esta información, a travez de un ataque de phishing dirigido a un proveedor de target, los atacantes instalaron un malware llamado Citadel, mediante el cual obtuvieron las credenciales para accesar al portal de proveedores de Target. Dicho portal no se encontraba aislado de la red de la compañía, por lo que el mismo sirvió de puente para acceder a la red corporativa en donde se accedia a la base de datos de clientes y a la red en donde funcionaban los POS.

Ambos casos dejan lecciones muy importantes, resaltando la relevancia de técnicas, modernas o no, de protección de la información y la necsidad de extenderlas a toda la cadena de suministro de seguridad.

Los estandares PCI DSS (Payment Card Industry Data Security Standard) representan la respuesta que la industria ha orquestado para blindarse de este tipo de eventos. Dichos estándares nacieron en 2004 como una iniciativa conjunta de las principales marcas de tarjetas (Visa, Mastercard, American Express, Discover y JCB) con el fin de establecer un marco de seguridad global que protegiera los datos de los titulares de tarjetas durante las transacciones. Este conjunto de normas que ya cuenta con su versión 4.01., coloca la protección de Primary Account Number (PAN) en el corazón de 12 macro-requerimientos enfocados en generar un ambiente de protección integral de los sistemas críticos de una compañía; en particular, aquellos que interactuan con el PAN.

Ahora bien, PCI DSS por sí solo no es suficiente. Heartland, de hecho, habia obtenido varias certificacioens PCI antes ocurrido en ataque. Debe existir proactividad en la gestión de riesgos de ciberseguridad, así como disciplinada y consistentemente en el uso de herramientas.

Para ambos casos, la primera línea de defensa pudo haber sido la segmentación de red, particularmente aquellas en las que interactuan terceros. Con dicha segmentación, se podría haber logrado aislar su red operativa de manera que esta no abriera puertas a otras redes. De igual manera, no cabe duda que otra gran lección es la gestión estricta de los proveedores de cualquier clase, quienes deben ser tambien condicionados al uso de medidas relevantes de seguridad.

Tambien existen tecnicas que protejen la información, aún cuando el atacante ya se encuentra en casa. Estas tecnicas garantizan que un robo de información resulte inutil para el atacante.

La P2PE («Point-to-Point Encryption»), pudo prevenir la captura de información desde el POS de Target, así como la captura de información en tránsito en las redes internas de Heartland). Esta técnica consiste en convertir datos sensibles (como el PAN) en un formato ilegible mediante un algoritmo criptográfico, que solo puede ser descifrado con una clave específica.

Por otro lado, la Tokenización resulta util para reducir el riesgo asociado con el almacenamiento de datos sensibles. Esta herramienta que se usa para incorporación de tarjetas en billeteras digitales como Apple Pay y Google Pay, consiste en reemplazar datos sensibles con un identificador único (token) sin ni guna vinculación matematica entre con el dato original, que no tiene valor fuera de sistema que lo generó.

Post-mortem resultan claras las formas de reducir el riesgo de ambos casos abordados. No obstante, lo cierto es que la creciente complejidad del ecosistema de pagos y el aumento de las transacciones digitales abren riesgos que probablemente aún no conocemos.

Por suerte, el mundo evoluciona hacia una mayor concientización sobre estos problemas y ningún actor de ecosistema puede ignorar su rol en esta labor. Esta concientización ha permeado tanto en las empresas, gobiernos, como en los mismos certificadores.

Como agentes de una economía interconectada, todos debemos recordar constantemente que los esfuerzos por prevenir incidentes como estos deben crecer al mismo ritmo que la innovación en medios de pago.

Por mi parte, me doy por satisfecha si la próxima vez que participes de un simulacro de Phishing en tu empresa, recuerdas este artículo y evitas caer en la trampa.