Desde el 23 de noviembre están vigentes leyes de ciberseguridad y protección de datos personales

El 23 de noviembre de 2024 entraron en vigor la Ley para la Protección de Datos Personales y la Ley de Ciberseguridad y Seguridad de la Información.
Ambas buscan regular y mejorar la protección de datos en el país, aunque se aplican de manera diferente a la población y a las instituciones del Estado.
Las disposiciones de estas leyes se hicieron públicas 8 días antes, el 15 de noviembre, y comenzaron a regir de inmediato.
La Ley para la Protección de Datos Personales afecta a todos los individuos y entidades, tanto públicas como privadas, que manejen datos personales.
Según esta ley, los sujetos obligados deben nombrar un delegado de protección de datos personales. Este será el encargado de gestionar las solicitudes relacionadas con los derechos de los titulares de datos, como la rectificación, cancelación o acceso a la información.
Los sujetos obligados tendrán un plazo de 6 meses, hasta mayo de 2025, para implementar las medidas de protección de datos personales que serán establecidas por la nueva Agencia de Ciberseguridad del Estado (ACE).
En este sentido, la ACE tendrá hasta febrero de 2025 para elaborar las políticas y procedimientos necesarios para garantizar la seguridad de los datos personales y facilitar el ejercicio de los derechos de los titulares.
Por otro lado, la Ley de Ciberseguridad, que también entró en vigor el 23 de noviembre, se centra en las instituciones públicas y sus obligaciones para proteger la privacidad de los ciudadanos dentro de los sistemas informáticos del Estado.
Esta obliga a las instituciones gubernamentales a contar con planes de ciberseguridad aprobados por la ACE y a seguir sus lineamientos y directrices. La ACE será la encargada de supervisar la implementación de estas medidas y de imponer sanciones en caso de incumplimiento.
La creación de la Agencia de Ciberseguridad del Estado (ACE) es uno de los principales componentes de ambas leyes. La ACE tendrá 90 días, hasta el 21 de febrero de 2025, para desarrollar los protocolos, normativas y procedimientos que guiarán la implementación de las leyes. El presidente de la República será responsable de nombrar al director de la ACE, quien a su vez designará a un director de Protección de Datos Personales. Esta agencia tendrá la facultad de sancionar a quienes infrinjan las normativas relacionadas con los datos personales.
El nombramiento de delegados de protección de datos ha sido uno de los puntos más criticados por organizaciones no gubernamentales, que señalan que esta obligación puede resultar especialmente onerosa para las pequeñas y microempresas en un contexto económico difícil.
Los delegados tendrán que gestionar las solicitudes de los ciudadanos relacionadas con el manejo de sus datos personales, lo que incrementaría los costos operativos de muchas empresas, según estas organizaciones.
En cuanto a la ley de ciberseguridad, se señala que la ACE tendrá la capacidad de imponer sanciones a las instituciones públicas que no cumplan con las regulaciones establecidas.
La agencia también será responsable de resolver cualquier controversia que surja respecto al tratamiento de datos personales en las instituciones del Estado, un proceso que podría incluir la clasificación y desclasificación de datos sensibles.