El 2025 se perfila como un año retador para América Latina y el Caribe. César Addario Soljancic, vicepresidente de EXOR Estructuradores Financieros, recomienda observar de cerca los desafíos que podrían frenar el potencial de crecimiento económico.

¿Qué le depara a la economía latinoamericana el año que recién inicia? Un reciente informe de la Organización de Naciones Unidas (ONU) destaca que la región mostrará una mejora en sus perspectivas, impulsada por un gasto más robusto de los hogares y la flexibilización de las políticas monetarias. Sin embargo, persisten desafíos, tanto internos como externos, que podrían reducir las previsiones de crecimiento.

El informe de la ONU estima que el crecimiento del Producto Interno Bruto (PIB) en América Latina y el Caribe alcanzará un 2.5% en 2025, superando el 1.9% proyectado para 2024. Este aumento será impulsado por una combinación de factores, entre ellos la recuperación del consumo privado, una política monetaria menos restrictiva, el aumento de las exportaciones y la resiliencia en los flujos de capital. A nivel global, se espera que el crecimiento económico se mantenga estable en 2.8%, sin cambios respecto a 2024, aunque todavía por debajo del promedio pre pandémico del 3.2%.

Sin embargo, los riesgos a la baja persisten. “Entre otras cosas, se espera una desaceleración en Estados Unidos y China podría afectarnos negativamente vía las exportaciones, remesas y flujos de capital hacia la región”, recordó César Addario Soljancic, economista y vicepresidente de EXOR Estructuradores Financieros, quien sigue de cerca los cambios en el entorno económico y las señales de los mercados.

Fortalezas y vulnerabilidades
En el ámbito regional, las proyecciones varían significativamente entre los países. Brasil, la mayor economía de América Latina, enfrentará una desaceleración del crecimiento del 3.0% en 2024 al 2.3% en 2025, influida por la política monetaria restrictiva, la reducción del gasto fiscal y la debilidad de las exportaciones. México, por su parte, verá un crecimiento del PIB del 1.3%, limitado por la consolidación fiscal y el bajo consumo privado.

Argentina, en contraste, muestra señales de recuperación económica tras dos años de contracción. La revitalización del consumo privado y el crecimiento de la inversión serán los principales motores de este repunte. Otros países como República Dominicana, Guyana y Paraguay destacan con proyecciones de crecimiento superiores al 3.5%, mientras que en el Caribe, excluida Guyana, el crecimiento se mantendrá en un 2.5%, un nivel insuficiente para mejorar sustancialmente las condiciones de vida.

Uno de los principales retos para la región es la incertidumbre política, que afecta la confianza empresarial y limita la inversión. “Los países que ofrezcan mejores entornos para la inversión, como sistemas fiscales simplificados, condiciones estables y previsibilidad, la llevarán mejor que los demás”, apuntó Addario Soljancic.

Además, las perturbaciones climáticas, especialmente en el Caribe, podrían impactar la producción agrícola y generar presiones inflacionarias en los precios de los alimentos.

En el frente externo, la posible desaceleración en las principales economías del mundo representa una amenaza para las exportaciones latinoamericanas. El crecimiento en América Latina está profundamente ligado al dinamismo de Estados Unidos y China. Una desaceleración en estas economías afecta directamente la estabilidad de los mercados de la región.

Políticas monetarias y fiscales
La relajación de las políticas monetarias será un factor de peso para estimular la actividad económica en 2025. No obstante, el informe de la ONU señala que la incertidumbre persiste, lo que subraya la necesidad de políticas fiscales prudentes y estrategias para aumentar la productividad en la región. Según Addario Soljancic, “América Latina necesita fortalecer su marco institucional y fomentar la inversión en infraestructura y tecnología para construir una base económica más resiliente”.

El 2025 ofrece una oportunidad para que América Latina y el Caribe consoliden su recuperación económica. Sin embargo, alcanzar este objetivo requerirá no solo aprovechar las condiciones favorables, como la flexibilización monetaria, sino también enfrentar los desafíos estructurales que han limitado el crecimiento regional durante más de una década. La clave estará en encontrar un equilibrio entre políticas económicas proactivas y una gestión prudente de los riesgos internos y externos.

En este contexto, la región tiene la oportunidad de convertirse en un actor económico más competitivo y resiliente en el panorama global. Como destaca Addario, “los países de América Latina deben actuar con visión estratégica, adoptando políticas que no solo mitiguen riesgos, sino que también impulsen el crecimiento sostenible y equitativo”.

La Ley de Protección de Datos Personales de El Salvador representa un paso  significativo hacia la armonización de las normativas locales con los estándares  internacionales. Su implementación efectiva dependerá de la capacidad de los  responsables para adoptar medidas proactivas y de la vigilancia por parte de las  autoridades competentes.

El avance de las tecnologías digitales ha transformado la forma en que se gestionan  y procesan los datos personales a nivel mundial, exigiendo un marco normativo sólido  que garantice su protección. En este contexto, la República de El Salvador ha  promulgado una nueva Ley de Protección de Datos Personales, inspirada en  estándares internacionales como el Reglamento General de Protección de Datos  (GDPR) de la Unión Europea. Este artículo analiza los aspectos clave de la ley  salvadoreña, evaluando su alineación con el GDPR, con un enfoque en los principios  generales, derechos reconocidos, mecanismos de aplicación, roles definidos, y el  régimen sancionador. Asimismo, se identifican los desafíos y oportunidades que  surgen con su implementación en un marco jurídico y social particular.

Principios Generales

La Ley de Protección de Datos Personales de El Salvador adopta un conjunto de  principios rectores que reflejan los estándares del GDPR, adaptándolos a su contexto.  Estos principios subyacen a todas las disposiciones de la ley y aseguran que el  tratamiento de datos personales se realice de manera ética, segura y en beneficio  del titular de los datos.

El principio de licitud, lealtad y transparencia establece que el tratamiento de datos  debe basarse en el consentimiento informado del titular, asegurando que este  conozca el propósito y alcance del uso de sus datos. Este principio promueve la  confianza entre los responsables y los titulares, reduciendo los riesgos de uso indebido.

Asimismo, los principios de limitación de finalidad y minimización de datos subrayan  la importancia de recolectar y tratar solo los datos necesarios para fines específicos  y legítimos. Esto evita el almacenamiento excesivo de datos y reduce los riesgos de  violaciones de seguridad.

Otro principio clave es el de integridad y confidencialidad, que impone medidas  estrictas de seguridad para prevenir accesos no autorizados o la manipulación  indebida de los datos. La ley también enfatiza la responsabilidad proactiva,  requiriendo a los responsables que demuestren su cumplimiento con las disposiciones  legales, en línea con el principio de accountability del GDPR.

Derechos Reconocidos

La ley salvadoreña reconoce un conjunto de derechos fundamentales para los  titulares de los datos, conocidos como derechos ARCO-POL, que son equivalentes a  los derechos del GDPR. Estos derechos fortalecen la autonomía del individuo frente a  los responsables del tratamiento de datos, permitiéndoles ejercer control sobre la  información personal que los identifica.

El derecho de acceso permite a los titulares conocer qué datos personales están  siendo tratados y con qué finalidad, mientras que el derecho de rectificación les  otorga la facultad de corregir datos inexactos o desactualizados. En casos donde los  datos ya no sean necesarios o se hayan tratado ilegalmente, el titular puede ejercer  el derecho de cancelación para solicitar su eliminación.

Por otro lado, el derecho de oposición y el derecho a la limitación ofrecen  mecanismos adicionales para restringir o detener el tratamiento de datos en  circunstancias específicas. Asimismo, la ley introduce el derecho de portabilidad, que  permite a los titulares transferir sus datos a otro responsable de manera sencilla,  promoviendo la interoperabilidad de los sistemas.

El derecho al olvido, destacado en entornos digitales, permite a los titulares solicitar  la eliminación de información publicada en internet que pueda ser perjudicial o  irrelevante con el paso del tiempo.

Procesos y Mecanismos para el Ejercicio de Derechos

La Ley establece un marco claro para que los titulares puedan ejercer sus derechos,  asignando un rol fundamental al Delegado de Protección de Datos Personales. Este  delegado actúa como intermediario entre los titulares y los responsables del  tratamiento, gestionando y resolviendo las solicitudes de manera eficiente y dentro  de plazos establecidos.

Los responsables tienen la obligación de implementar procedimientos  documentados que permitan la gestión adecuada de estas solicitudes, además de  garantizar que el acceso, rectificación o eliminación de datos se realice de forma  gratuita y transparente. La ley también prevé medidas para asegurar que los datos  sean entregados únicamente al titular o a sus representantes legales debidamente  acreditados.

Sanciones y Multas

El régimen sancionador de la Ley clasifica las infracciones en leves, graves y muy  graves, con multas que oscilan entre uno y cuarenta salarios mínimos del sector  comercio. Las sanciones tienen como objetivo garantizar el cumplimiento de las  disposiciones legales y prevenir prácticas que puedan comprometer la privacidad  de los titulares.

Además de las multas, la Agencia de Ciberseguridad del Estado, encargada de  supervisar la aplicación de la ley, puede imponer medidas adicionales para corregir  las infracciones y restablecer la legalidad. Este enfoque sancionador está alineado  con las mejores prácticas internacionales y busca fomentar una cultura de  cumplimiento entre los responsables del tratamiento de datos.

Conclusión

La Ley de Protección de Datos Personales de El Salvador representa un paso  significativo hacia la armonización de las normativas locales con los estándares  internacionales. Su implementación efectiva dependerá de la capacidad de los  responsables para adoptar medidas proactivas y de la vigilancia por parte de las  autoridades competentes. A través de esta ley, El Salvador se posiciona como un país  comprometido con la protección de la privacidad y la seguridad de los datos  personales, generando confianza en sus ciudadanos y en el ámbito internacional.

Adoptar un enfoque ético en el manejo de datos personales no es solo una obligación legal, sino también una ventaja competitiva. Las empresas que priorizan la transparencia y la protección de datos construyen relaciones más sólidas con sus clientes, fortalecen su reputación y minimizan riesgos operativos y legales.

El dilema de los datos personales en la era de la inteligencia artificial

En una era dominada por el uso de tecnologías de inteligencia artificial (IA), los datos personales han dejado de ser simples registros para convertirse en activos de alto valor. Esto plantea un reto ético significativo: ¿cómo equilibrar la innovación tecnológica con la protección de derechos fundamentales como la privacidad? En El Salvador, la reciente aprobación de la Ley de Protección de Datos Personales y la Ley de Ciberseguridad ofrece un marco jurídico claro para abordar este desafío, pero la implementación requiere un compromiso tanto normativo como empresarial.

Las empresas que desarrollan o implementan tecnologías basadas en IA deben actuar como guardianes de la confidencialidad, respetando los principios legales y éticos que protegen a los titulares de datos. Sin embargo, ¿están realmente preparadas para asumir esta responsabilidad?

La base del cumplimiento se encuentra en los principios esenciales para el manejo ético de datos, ya que los datos personales son el combustible que impulsa los sistemas de IA, pero su uso debe respetar principios fundamentales que garanticen la protección de los derechos de las personas.

La interacción de los principios establecidos en la Ley de Protección de Datos Personales y la Ley de Ciberseguridad en El Salvador refleja un marco normativo robusto que aborda la protección de datos desde su recolección hasta su gestión en entornos digitales, priorizando la seguridad y los derechos de los titulares.

La Ley de Protección de Datos Personales enfatiza principios clave como la exactitud y la minimización de datos, exigiendo que los datos sean actualizados, suficientes y pertinentes para los fines específicos declarados. Estos principios se alinean con el de transparencia, que obliga a informar al titular sobre las características del tratamiento, asegurando que las finalidades y el período de almacenamiento sean claros y accesibles. Por otro lado, la Ley de Ciberseguridad complementa estas disposiciones al exigir medidas de seguridad por diseño, promoviendo que los sistemas informáticos prioricen la ciberseguridad desde su concepción, y gestión de riesgos, para identificar amenazas potenciales y mitigarlas oportunamente.

El principio de licitud exige que el tratamiento de datos se base en consentimiento informado o en una finalidad legítima establecida en la ley, mientras que la ciberseguridad refuerza la confidencialidad e integridad de la información, garantizando que sólo accedan usuarios autorizados y evitando alteraciones o pérdidas no autorizadas. Ambos marcos también destacan la temporalidad y la proporcionalidad, limitando el tiempo de conservación de datos y ajustando las medidas de seguridad según el riesgo inherente.

En conjunto, estas normativas no solo protegen los derechos fundamentales de los ciudadanos y usuarios, sino que también ofrecen directrices claras a las empresas e instituciones, incentivando una cultura de responsabilidad y prevención en el manejo de la información. Este enfoque integral asegura un equilibrio entre innovación tecnológica y respeto por la privacidad.

El rol de las empresas: de usuarios a custodios responsables de datos

En el ecosistema empresarial, las organizaciones que desarrollan tecnología basada en IA no solo son usuarias de datos personales, sino también custodios responsables de su manejo. Este rol va más allá del cumplimiento normativo; implica adoptar una postura ética frente a los derechos de las personas.

Un punto crítico es el diseño de algoritmos de IA. Desde su concepción, estos sistemas deben integrar medidas de privacidad, siguiendo el concepto de “privacidad desde el diseño” (privacy by design). Esto incluye limitar la recopilación de datos a lo estrictamente necesario, anonimizar o pseudonimizar la información sensible y garantizar que los procesos sean auditables.

Además, las empresas deben establecer políticas de gobernanza que incluyan:

   •   Capacitación interna: Formar a los equipos en temas de privacidad y ética en el manejo de datos es esencial para evitar prácticas inadecuadas.

   •   Auditorías regulares: Verificar el cumplimiento de las políticas internas y garantizar que los algoritmos operen sin sesgos discriminatorios o errores sistemáticos.

   •   Evaluaciones de impacto: Antes de implementar sistemas de IA, es necesario realizar análisis que identifique posibles riesgos para la privacidad y los derechos de los usuarios.

El reto de la transparencia en la inteligencia artificial

Uno de los mayores desafíos que enfrentan las empresas que utilizan IA es explicar cómo funcionan sus sistemas de forma comprensible para los usuarios. La transparencia algorítmica no solo es una obligación ética, sino también un requisito para cumplir con los principios de transparencia establecidos en la ley.

Esto se vuelve especialmente relevante en decisiones automatizadas que afectan significativamente a las personas, como la aprobación de un crédito, la selección de personal o la clasificación de riesgos. En estos casos, las empresas deben ser capaces de responder preguntas fundamentales:

   •   ¿Qué datos se utilizaron para entrenar el modelo?

   •   ¿Qué criterios se aplicaron para tomar la decisión?

   •   ¿Existen mecanismos para que el usuario pueda impugnar o cuestionar los resultados?

Confidencialidad e integridad: pilares de la seguridad en IA

En el ámbito de la Ley de Ciberseguridad, las empresas tienen la obligación de garantizar la confidencialidad e integridad de los datos personales utilizados en sus sistemas de IA. Esto implica para las empresas que usan IA, implementar medidas robustas de seguridad, como:

   •   Encriptación de extremo a extremo para proteger la información durante su transferencia y almacenamiento.

   •   Autenticación multifactorial para limitar el acceso a datos sensibles.

   •   Notificación de incidentes permitiendo una respuesta rápida a posibles brechas de seguridad.

La confidencialidad no solo protege a las empresas de sanciones legales, sino que también fortalece su reputación, generando confianza entre los usuarios y los socios comerciales.

Los beneficios de un enfoque ético en la IA

Adoptar un enfoque ético en el manejo de datos personales no es solo una obligación legal, sino también una ventaja competitiva. Las empresas que priorizan la transparencia y la protección de datos construyen relaciones más sólidas con sus clientes, fortalecen su reputación y minimizan riesgos operativos y legales.

Además, al alinearse con estándares internacionales como el Reglamento General de Protección de Datos (GDPR), las organizaciones salvadoreñas pueden posicionarse como líderes en mercados globales, demostrando que cumplen con las exigencias más estrictas en protección de datos.

En conclusión , la implementación de tecnologías de inteligencia artificial en las empresas requiere un compromiso activo con el uso ético de los datos personales y la confidencialidad. En El Salvador, la Ley de Protección de Datos Personales y la Ley de Ciberseguridad establecen un marco normativo que, si bien plantea desafíos en su aplicación, ofrece una base sólida para garantizar la transparencia, la integridad y la confianza en el entorno digital.

En última instancia, el éxito de estas normativas dependerá de la capacidad de las empresas para asumir un rol activo en la protección de los derechos de los titulares de datos, adoptando prácticas de gobernanza que equilibren la innovación tecnológica con el respeto por la privacidad. Este enfoque no solo protege a los ciudadanos, sino que también fortalece la posición de El Salvador como un referente regional en la regulación de la tecnología y la inteligencia artificial.

Es fundamental evaluar y gestionar a los proveedores y socios comerciales, verificando su cumplimiento con los estándares legales y estableciendo cláusulas específicas en los contratos

La ley de protección de datos personales de El Salvador, en adelante LPDP, ha entrado en vigor. Ha fijado un plazo de 6 meses para cumplir con las medidas de cumplimiento en protección de datos personales, es decir, para prepararnos para cumplir con las medidas legales que ésta ordena.

Medidas de cumplimiento legal o “compliance”

En materia de protección de datos personales, las medidas de compliance son las estrategias, procedimientos y controles implementados para garantizar que las organizaciones cumplan con las normativas legales en torno a la privacidad y seguridad de los datos personales. Estas medidas tienen el objetivo de garantizar la integridad y confidencialidad de los datos personales.

¿Cuáles son algunos ejemplos de estas medidas? Medidas para facilitar el ejercicio de derechos ARCO-POL de los titulares (acceso, rectificación, cancelación, oposición, portabilidad, olvido y limitación); normas o procedimientos internos para las transferencias internacionales de datos mediante mecanismos legales adecuados; planes de prevención o de contingencia para responder ante emergencias por brechas de seguridad y brechas de datos; programas para la notificación a la autoridad encargada de la supervisión y cumplimiento de la ley sobre la implementación de medidas preventivas y correctivas en materia de protección de datos personales; nombramiento de un encargado de supervisar el cumplimiento de la normativa y actuar como punto de contacto con las autoridades y los titulares de datos (DPO, por sus siglas en inglés), entre otras.

¿Las medidas de cumplimiento contempladas en la LPDP son voluntarias u obligatorias?

La ley aplica a «toda persona natural o jurídica, de carácter público o privado que lleve a cabo actividades relativas o conexas al tratamiento de datos personales», por lo que son obligatorias para todos los sujetos obligados la ley.

Medidas de compliance aplicables a las empresas

La norma incluye mecanismos de compliance diseñados para fortalecer el respeto y la aplicación de la normativa a cargo de la Agencia de Ciberseguridad Estatal (ACE).

1. Nombramiento de Delegados de Datos Personales.
   La ley ordena que todos los sujetos obligados por esta tienen la obligación de nombrar un oficial de protección de datos personales (DPO) para gestionar y tramitar las solicitudes para el ejercicio de los derechos ARCO-POL. Es decir, deberá nombrar oficial de protección de datos toda persona natural o jurídica, tenga o no empleados, realice o no operaciones de tratamiento a gran escala que requieran de una observación sistemática, lleve a cabo o no tratamiento de categorías especiales de datos personales a gran escala, independientemente de sus ingresos mensuales o anuales, realice tratamiento de datos personales manualmente, parcial o totalmente automatizado, o incluso a través de terceros.
2. Prohibición de creación de bases de datos sensibles y uso indebido de datos.
   La ley prohíbe crear bases de datos con información personal sensible o divulgar, transferir, o comercializar datos personales obtenidos en el ejercicio de un cargo, salvo autorización explícita. Esta medida aplica especialmente a empresas que manejen datos sensibles de clientes, empleados o proveedores.
3. Derecho de los titulares de los datos.
   Los ciudadanos salvadoreños tienen derecho a ejercer sus derechos ARCO-POL cuando consideren que no están siendo tratados adecuadamente, por lo que será necesario implementar procedimientos para gestionar las solicitudes en ejercicio de los derechos ARCO-POL de conformidad y en el plazo que la ley exige.
4. Notificación de vulneraciones de seguridad.
   En caso de brecha de seguridad se deberá contar con protocolos de gestión de este tipo de incidentes y procedimientos de notificación a la Agencia de Ciberseguridad del Estado (ACE), a la Fiscalía General de la República y a los titulares afectados dentro de las 72 horas posteriores al conocimiento del incidente. Esta medida también implica, por ejemplo, la documentación de incidentes y la identificar de causas.
5. Implementación y actualización de políticas.
   Se deberán implementar políticas de privacidad y seguridad claras, llevar registros de actividades de tratamiento, identificar los tipos de tratamiento o las transferencias internacionales de datos personales, adoptar controles internos, y capacitar al personal. Esta medida podría exigirse sobre todo a aquellas empresas que manejan grandes volúmenes de datos, sin embargo, dado que la ley no hace distinciones, aplica a todos los sujetos obligados.
6. Medidas correctivas y preventivas.
   Las empresas deben establecer procedimientos internos para prevenir nuevas brechas de seguridad tras cualquier incidente de seguridad. La medida implicará un monitoreo constante de sistemas utilizados en el negocio, y la adopción de diversas medidas tecnológicas o no.

De no cumplir con estas y otras medidas de cumplimiento legal, la ACE podrá imponer multas administrativas por infracciones a la ley. Las infracciones están divididas en leves, graves o muy graves; las multas correspondientes a las infracciones leves son entre 1 y 10 salarios mínimos mensuales vigentes en el sector comercio, es decir, equivalentes a $365 a $3,650; las multas correspondientes a las infracciones graves son entre 11 y 25 salarios mínimos mensuales del sector comercio, es decir, equivalentes a $4,015 a $9,125; las multas correspondientes a las infracciones muy graves son entre 26 y 40 salarios mínimos mensuales del sector comercio, es decir, equivalentes a $9,490 a $14,600.

Adicionalmente, se deberá notificar a la Fiscalía General de República en caso de delitos graves como, por ejemplo, los relativos al uso indebido o revelación de datos personales, contemplados en la ley de delitos informáticos y conexos. Finalmente, podría aplicarse la suspensión de actividades o servicios de la empresa si no se corrigen las deficiencias detectadas.

Para cumplir con las medidas de protección de datos personales exigidas por la ley, una empresa debe implementar un enfoque integral que incluya diversas acciones estratégicas y operativas.

El primer paso implica realizar un diagnóstico inicial para identificar posibles brechas en el tratamiento de datos personales, que incluye el mapeo de los flujos de información desde su recolección hasta su eliminación.

Designar un delegado de protección de datos personales que comprenda sobre aspectos técnicos y legales en materia de protección de datos personales, es una estrategia fundamental para asegurar el cumplimiento de las normativas relacionadas con la privacidad y la gestión de datos, sobre todo considerando el corto plazo de implementación de las medidas contempladas por la ley.

El delegado tiene la responsabilidad de supervisar y orientar en el manejo adecuado de la información personal, estableciendo políticas efectivas que garanticen que la organización opere dentro del marco legal. Su función resulta indispensable para evitar sanciones y multas por posibles infracciones, fomentando una cultura de protección de datos y reduciendo los riesgos que puedan afectar la reputación y la estabilidad económica de la empresa.
Además, debe establecerse políticas de privacidad transparentes, desarrollar procedimientos para gestionar las solicitudes de los titulares de los datos y adoptar medidas de seguridad tanto técnicas como organizativas, como el cifrado, el control de accesos y la actualización constante de los sistemas.

Simultáneamente, es necesario capacitar al personal en la correcta gestión de datos y fomentar una cultura interna de privacidad y seguridad.

Es fundamental evaluar y gestionar a los proveedores y socios comerciales, verificando su cumplimiento con los estándares legales y estableciendo cláusulas específicas en los contratos. La empresa debe documentar todas las actividades de tratamiento de datos, realizar evaluaciones de impacto en la privacidad y en la protección de los datos (PIA, DPIA, por sus siglas en inglés) cuando sea pertinente y mantener registros actualizados.

Asimismo, debe implementar un plan de respuesta ante incidentes, que incluya la notificación a las autoridades y a los afectados, asegurando que los titulares comprendan el uso de su información y obteniendo su consentimiento según corresponda.

Es esencial llevar a cabo auditorías periódicas, supervisar el cumplimiento continuo y ajustar las políticas y procedimientos frente a cambios legales o tecnológicos. Estas medidas no solo garantizan el cumplimiento normativo, sino que también protegen la reputación de la organización y fortalecen la confianza de sus clientes y socios comerciales.

Tanto para la disociación como para la seudonimización, los modelajes estadísticos o la tecnología pueden proporcionar mecanismos o técnicas para realizar los referidos procedimientos, en cada caso se deben analizar las garantías que las técnicas a utilizar proporcionan y los riesgos de reidentificación no autorizados.

En la economía digital y en las nuevas formas de hacer negocios los datos se han convertido en un activo esencial y en línea con ello los Estados se han visto en la necesidad de emitir instrumentos normativos que instauren el marco institucional para proteger a sus ciudadanos ante el mal uso o violaciones de sus datos personales, entendidos estos últimos como la información concerniente a una persona natural identificada o identificable, tales como su nombre, domicilio, nacionalidad, estado familiar, canales de contacto, etc.

El Salvador no es ajeno a esta realidad, y si bien hasta noviembre del presente año no existía una normativa específica en materia de protección de datos personales, la Sala de lo Constitucional de la Corte Suprema de Justicia hace más de una década ya había reconocido mecanismos de protección ante vulneraciones de los derechos asociados a la autodeterminación informativa, aunado a que, en sus precedentes también reconoció los Derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) como garantías legales que le permiten a los individuos tener control sobre sus datos personales, que en normativa recién entrada en vigor se han ampliado a Derechos ARCO-POL (Acceso, Rectificación, Cancelación, Oposición, Portabilidad, Olvido y Limitación).

Si bien los mecanismos de protección resultan eficaces e indispensables cuando ha existido una posible vulneración a los derechos de una persona, siempre es importante adoptar un enfoque preventivo y no solo reactivo para garantizar una protección temprana de los datos personales, lo que constituye en sí uno de los principales propósitos de la normativa de protección de datos personales.

En ese sentido, noviembre del presente año marcó un punto de inflexión para El Salvador en materia de privacidad de datos, cuando fue aprobada por la Asamblea Legislativa, y sancionada por el Presidente de la República, la Ley para la Protección de Datos Personales (LPDP).

El país ahora cuenta con un marco normativo, en plena vigencia, que tiene por objeto establecer la regulación para la protección de los datos personales, los requisitos esenciales para el tratamiento legítimo e informado de estos y las obligaciones y parámetros para su recolección, uso, procesamiento, almacenamiento y otras actividades relacionadas al tratamiento de datos personales.

Dos aspectos relevantes que considera la LPDP, en lo que concierne al tratamiento de datos, son la Disociación (o Anonimización) y la Seudonimización. La LPDP define la Disociación como el “procedimiento irreversible mediante el cual los datos personales dejan de asociarse a su titular o de permitir, por su estructura, contenido o grado de desagregación, la identificación de éste”, por otra parte, define la Seudonimización como el “procedimiento de tratamiento de datos personales a efectos de que estos ya no puedan asociarse con el titular de estos, sin utilizar información adicional, siempre y cuando dicha información adicional se encuentre separada, oculta, clasificada y resguardada bajo medidas técnicas y organizativas que garanticen que tales datos personales no pueden ser atribuidos a una persona física identificada o identificable”.

En términos prácticos, la Disociación y Seudonimización son procedimientos por los cuales se desvinculan los datos respecto de una persona y permiten garantizar la privacidad, pues al ya no estar asociados los datos a un individuo, se dificulta o imposibilita que una persona sea identificada. Si bien ambos procedimientos podrían tener una misma finalidad, existen diferencias entre ellos con implicaciones prácticas y jurídicas.

En primer lugar, como se advierte de las definiciones que proporciona la ley, la Disociación tiene la característica de ser irreversible, es decir que se realiza un procedimiento de desvinculación de datos que elimina por completo cualquier información que permita identificar a una persona, generando un nuevo conjunto de datos. Una de las implicaciones jurídicas de la Disociación, es que, al tener un nuevo conjunto de datos, por los cuales resulta imposible identificar a una persona, el tratamiento de estos no requiere un consentimiento previo (al respecto, ver el artículo 28 de la LPDP). Debe tomarse en cuenta que un proceso de anonimización por su característica de irreversibilidad, debe ser un procedimiento técnico y sólido, por el cual se elimine cualquier riesgo de reidentificación.

Por otra parte, el procedimiento de Seudonimización, se caracteriza por ser reversible y generar dos conjuntos de datos: los datos seudonimizados y la información adicional con la cual se podría revertir la seudonimización. Como lo indica la ley, el segundo conjunto de datos debe mantenerse separado, oculto y bajo resguardo.

Tanto para la disociación como para la seudonimización, los modelajes estadísticos o la tecnología pueden proporcionar mecanismos o técnicas para realizar los referidos procedimientos, en cada caso se deben analizar las garantías que las técnicas a utilizar proporcionan y los riesgos de reidentificación no autorizados.

Por otra parte, no se puede dejar de mencionar que, tanto el procedimiento de disociación y seudonimización son actividades de tratamiento de datos personales, por ende, para realizarlos es requerido contar con el consentimiento previo de conformidad con los requisitos establecidos por la LPDP, es decir debe ser un consentimiento libre, específico, informado, expreso e individualizado de parte de los titulares de los datos personales que se someterán a dichos procedimientos. Adicionalmente, de conformidad con la LPDP, para revertir la Seudonimización también es necesario contar con el consentimiento de los titulares de los datos personales.

No contar con el consentimiento previo, y de forma apropiada, para el tratamiento de datos personales, puede dar lugar a incurrir en una infracción muy grave a la ley. Dichas infracciones son sancionadas con multa de hasta cuarenta salarios mínimos mensuales vigentes del sector comercio, considerando el salario mínimo vigente, dicha multa equivale a US$ 14,600.00. Además de las multas pecuniarias, la LPDP establece que se podrá ordenar al infractor que adopte las medidas que fueren necesarias para restablecer la legalidad alterada por la infracción o que permita la corrección de los derechos o las situaciones vulneradas.

En conclusión, en la economía digital y los nuevos modelos de negocios, los datos personales y el tratamiento de los mismos tienen un rol indispensable, en ese contexto, los procedimientos de Disociación y Seudonimización se vuelven herramientas importantes para proteger los datos personales. Según las necesidades que puedan tener las compañías para el tratamiento de datos personales, resultará más adecuado realizar un procedimiento de Disociación o Seudonimización.

Por ejemplo, la Seudonimización, por sus características, puede ser recomendada para el tratamiento interno de datos por distintas áreas de una misma compañía; y la Disociación puede ser preferible cuando los datos serán tratados con fines de inteligencia de negocios, pruebas de aplicaciones o software o tratamiento de datos mediante herramientas de Inteligencia Artificial.

Finalmente, se debe estar atento a la creación de Agencia de Ciberseguridad del Estado (ACE), pues, de conformidad con la LPDP, esta entidad tendrá dentro de sus atribuciones dictar las guías de implementación de la ley, con base en lo cual podría emitir lineamientos o guías relacionadas con los procedimientos y mejores prácticas de Disociación y Seudonimización.