Compliance en protección de datos personales

Es fundamental evaluar y gestionar a los proveedores y socios comerciales, verificando su cumplimiento con los estándares legales y estableciendo cláusulas específicas en los contratos

La ley de protección de datos personales de El Salvador, en adelante LPDP, ha entrado en vigor. Ha fijado un plazo de 6 meses para cumplir con las medidas de cumplimiento en protección de datos personales, es decir, para prepararnos para cumplir con las medidas legales que ésta ordena.

Medidas de cumplimiento legal o “compliance”

En materia de protección de datos personales, las medidas de compliance son las estrategias, procedimientos y controles implementados para garantizar que las organizaciones cumplan con las normativas legales en torno a la privacidad y seguridad de los datos personales. Estas medidas tienen el objetivo de garantizar la integridad y confidencialidad de los datos personales.

¿Cuáles son algunos ejemplos de estas medidas? Medidas para facilitar el ejercicio de derechos ARCO-POL de los titulares (acceso, rectificación, cancelación, oposición, portabilidad, olvido y limitación); normas o procedimientos internos para las transferencias internacionales de datos mediante mecanismos legales adecuados; planes de prevención o de contingencia para responder ante emergencias por brechas de seguridad y brechas de datos; programas para la notificación a la autoridad encargada de la supervisión y cumplimiento de la ley sobre la implementación de medidas preventivas y correctivas en materia de protección de datos personales; nombramiento de un encargado de supervisar el cumplimiento de la normativa y actuar como punto de contacto con las autoridades y los titulares de datos (DPO, por sus siglas en inglés), entre otras.

¿Las medidas de cumplimiento contempladas en la LPDP son voluntarias u obligatorias?

La ley aplica a «toda persona natural o jurídica, de carácter público o privado que lleve a cabo actividades relativas o conexas al tratamiento de datos personales», por lo que son obligatorias para todos los sujetos obligados la ley.

Medidas de compliance aplicables a las empresas

La norma incluye mecanismos de compliance diseñados para fortalecer el respeto y la aplicación de la normativa a cargo de la Agencia de Ciberseguridad Estatal (ACE).

1. Nombramiento de Delegados de Datos Personales.
   La ley ordena que todos los sujetos obligados por esta tienen la obligación de nombrar un oficial de protección de datos personales (DPO) para gestionar y tramitar las solicitudes para el ejercicio de los derechos ARCO-POL. Es decir, deberá nombrar oficial de protección de datos toda persona natural o jurídica, tenga o no empleados, realice o no operaciones de tratamiento a gran escala que requieran de una observación sistemática, lleve a cabo o no tratamiento de categorías especiales de datos personales a gran escala, independientemente de sus ingresos mensuales o anuales, realice tratamiento de datos personales manualmente, parcial o totalmente automatizado, o incluso a través de terceros.
2. Prohibición de creación de bases de datos sensibles y uso indebido de datos.
   La ley prohíbe crear bases de datos con información personal sensible o divulgar, transferir, o comercializar datos personales obtenidos en el ejercicio de un cargo, salvo autorización explícita. Esta medida aplica especialmente a empresas que manejen datos sensibles de clientes, empleados o proveedores.
3. Derecho de los titulares de los datos.
   Los ciudadanos salvadoreños tienen derecho a ejercer sus derechos ARCO-POL cuando consideren que no están siendo tratados adecuadamente, por lo que será necesario implementar procedimientos para gestionar las solicitudes en ejercicio de los derechos ARCO-POL de conformidad y en el plazo que la ley exige.
4. Notificación de vulneraciones de seguridad.
   En caso de brecha de seguridad se deberá contar con protocolos de gestión de este tipo de incidentes y procedimientos de notificación a la Agencia de Ciberseguridad del Estado (ACE), a la Fiscalía General de la República y a los titulares afectados dentro de las 72 horas posteriores al conocimiento del incidente. Esta medida también implica, por ejemplo, la documentación de incidentes y la identificar de causas.
5. Implementación y actualización de políticas.
   Se deberán implementar políticas de privacidad y seguridad claras, llevar registros de actividades de tratamiento, identificar los tipos de tratamiento o las transferencias internacionales de datos personales, adoptar controles internos, y capacitar al personal. Esta medida podría exigirse sobre todo a aquellas empresas que manejan grandes volúmenes de datos, sin embargo, dado que la ley no hace distinciones, aplica a todos los sujetos obligados.
6. Medidas correctivas y preventivas.
   Las empresas deben establecer procedimientos internos para prevenir nuevas brechas de seguridad tras cualquier incidente de seguridad. La medida implicará un monitoreo constante de sistemas utilizados en el negocio, y la adopción de diversas medidas tecnológicas o no.

De no cumplir con estas y otras medidas de cumplimiento legal, la ACE podrá imponer multas administrativas por infracciones a la ley. Las infracciones están divididas en leves, graves o muy graves; las multas correspondientes a las infracciones leves son entre 1 y 10 salarios mínimos mensuales vigentes en el sector comercio, es decir, equivalentes a $365 a $3,650; las multas correspondientes a las infracciones graves son entre 11 y 25 salarios mínimos mensuales del sector comercio, es decir, equivalentes a $4,015 a $9,125; las multas correspondientes a las infracciones muy graves son entre 26 y 40 salarios mínimos mensuales del sector comercio, es decir, equivalentes a $9,490 a $14,600.

Adicionalmente, se deberá notificar a la Fiscalía General de República en caso de delitos graves como, por ejemplo, los relativos al uso indebido o revelación de datos personales, contemplados en la ley de delitos informáticos y conexos. Finalmente, podría aplicarse la suspensión de actividades o servicios de la empresa si no se corrigen las deficiencias detectadas.

Para cumplir con las medidas de protección de datos personales exigidas por la ley, una empresa debe implementar un enfoque integral que incluya diversas acciones estratégicas y operativas.

El primer paso implica realizar un diagnóstico inicial para identificar posibles brechas en el tratamiento de datos personales, que incluye el mapeo de los flujos de información desde su recolección hasta su eliminación.

Designar un delegado de protección de datos personales que comprenda sobre aspectos técnicos y legales en materia de protección de datos personales, es una estrategia fundamental para asegurar el cumplimiento de las normativas relacionadas con la privacidad y la gestión de datos, sobre todo considerando el corto plazo de implementación de las medidas contempladas por la ley.

El delegado tiene la responsabilidad de supervisar y orientar en el manejo adecuado de la información personal, estableciendo políticas efectivas que garanticen que la organización opere dentro del marco legal. Su función resulta indispensable para evitar sanciones y multas por posibles infracciones, fomentando una cultura de protección de datos y reduciendo los riesgos que puedan afectar la reputación y la estabilidad económica de la empresa.
Además, debe establecerse políticas de privacidad transparentes, desarrollar procedimientos para gestionar las solicitudes de los titulares de los datos y adoptar medidas de seguridad tanto técnicas como organizativas, como el cifrado, el control de accesos y la actualización constante de los sistemas.

Simultáneamente, es necesario capacitar al personal en la correcta gestión de datos y fomentar una cultura interna de privacidad y seguridad.

Es fundamental evaluar y gestionar a los proveedores y socios comerciales, verificando su cumplimiento con los estándares legales y estableciendo cláusulas específicas en los contratos. La empresa debe documentar todas las actividades de tratamiento de datos, realizar evaluaciones de impacto en la privacidad y en la protección de los datos (PIA, DPIA, por sus siglas en inglés) cuando sea pertinente y mantener registros actualizados.

Asimismo, debe implementar un plan de respuesta ante incidentes, que incluya la notificación a las autoridades y a los afectados, asegurando que los titulares comprendan el uso de su información y obteniendo su consentimiento según corresponda.

Es esencial llevar a cabo auditorías periódicas, supervisar el cumplimiento continuo y ajustar las políticas y procedimientos frente a cambios legales o tecnológicos. Estas medidas no solo garantizan el cumplimiento normativo, sino que también protegen la reputación de la organización y fortalecen la confianza de sus clientes y socios comerciales.