Ley para la Protección de Datos Personales: El cierre del círculo de la actualización legal tecnológica

Como sucede con cualquier legislación reciente, la Ley para la Protección de Datos Personales ofrece varias oportunidades de mejora que, con el tiempo, podrán perfeccionarse mediante resoluciones y la interpretación progresiva de sus disposiciones. A continuación, presentaré dos áreas clave que, aunque inicialmente puedan parecer baladíes, tienen un impacto significativo en su aplicación.

La ley se presenta como una herramienta oportuna para garantizar el derecho a la autodeterminación informativa, un derecho reconocido y protegido por la Sala de lo Constitucional mediante jurisprudencia desde hace casi una década. Este derecho otorga a los individuos la facultad de decidir quién, cuándo, dónde y cómo se recopila y trata su información personal.

A continuación, destacaré tres aspectos fundamentales de esta ley que, a mi juicio, constituyen una actualización legislativa clave y que se han inspirado en los mejores estándares internacionales, específicamente en el Reglamento General de Protección de Datos Personales (RGPD) de la Unión Europea.

1. Derechos de los interesados: ARSOPOL / ARCOPOL

El primer punto relevante es el reconocimiento explícito de los derechos de los titulares de los datos personales. Estos derechos, comúnmente conocidos por sus siglas ARSOPOL / ARCOPOL, incluyen:

Acceso: Derecho a conocer qué datos personales se están tratando.

Rectificación: Derecho a corregir datos incorrectos o incompletos.

Cancelación o Supresión: Derecho a solicitar la eliminación de datos personales.

Olvido: Derecho a la eliminación de información que ya no sea necesaria.

Portabilidad: Derecho a recibir los datos en un formato estructurado y transferible.

Oposición: Derecho a oponerse al tratamiento de los datos.

Limitación del tratamiento: Derecho a restringir el uso de los datos personales, solo a tratamientos que sean relevantes para el fin para el cual se recolectaron.

El reconocimiento de estos derechos es una garantía fundamental para los ciudadanos, permitiéndoles un mayor control sobre su información personal.

2. La “Responsabilidad Proactiva”

El segundo aspecto clave es el principio de la “Responsabilidad Proactiva” o como lo define la legislación salvadoreña «Responsabilidad Comprobada», que, en términos sencillos, es la obligación de demostrar que los responsables del tratamiento de datos cumplen con la ley. Este principio establece que las personas naturales o jurídicas que recaban y gestionan datos personales deben implementar medidas técnicas y organizativas adecuadas para asegurar la protección de la información. Además, deben ser capaces de demostrar que su tratamiento de datos cumple con todos los requisitos legales establecidos.

Este principio es esencial porque coloca a los responsables del tratamiento en una posición proactiva, exigiendo no solo que cumplan con la normativa, sino que también puedan evidenciar dicho cumplimiento en todo momento.

3. El Delegado de Protección de Datos (DPO)

El último aspecto para destacar es la figura del Delegado de Protección de Datos (DPO), un actor clave en la implementación y vigilancia del cumplimiento normativo. En la ley salvadoreña, esta figura es esencial para garantizar la correcta protección de los datos personales, desempeñando un papel fundamental en la supervisión y en el aseguramiento del cumplimiento de la normativa.

Aunque la normativa salvadoreña establece una base sólida para el DPO, El Salvador podría tomar como referencia marcos más avanzados, como el RGPD de la Unión Europea, que otorgan ciertas garantías adicionales para fortalecer la autonomía de esta figura. Por ejemplo, en otras legislaciones se establece la estabilidad en el puesto, lo que le permite ejercer sus funciones con independencia y sin riesgo de represalias, además de exigir que reporte directamente a las instancias más altas de la organización, asegurando así que sus decisiones sean tomadas de manera autónoma y sin presiones externas.

Este tipo de garantías adicionales podría ser un excelente punto de partida para seguir fortaleciendo el papel del DPO en El Salvador, asegurando un cumplimiento normativo más robusto y una mayor protección de los datos personales de los ciudadanos.

4. Obligaciones de las entidades sujetas a la Ley

La nueva Ley para la Protección de Datos Personales establece que se aplicará a todas las personas, ya sean naturales o jurídicas, que realicen el tratamiento de datos personales, ya sea por cuenta propia (como responsables del tratamiento) o en calidad de encargados de tratamiento (tratando datos personales en nombre de un tercero). La acción que genera la obligación de cumplir con esta ley es el «tratamiento» de datos, el cual se define como:

«Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.» (Definición del RGPD).

En este contexto, la aplicación de la ley abarca a todos los sectores productivos del comercio, dado que todos, en mayor o menor medida, manejan datos personales no solo de sus clientes, sino también de sus empleados. Además, es necesario poner especial énfasis en los centros de asistencia sanitaria, como hospitales y consultorios médicos, ya que los datos tratados en estos lugares son considerados «Datos Especialmente Protegidos» o, como los define la ley salvadoreña, «Datos Sensibles». Estos datos requieren una protección adicional debido a su naturaleza delicada.

5. Régimen sancionatorio

La ley establece infracciones catalogadas como leves, graves y muy graves. Naturalmente al ser temas de cumplimiento administrativo, estas sanciones son pecuniarias para los infractores, tomando como parámetro salarios mínimos mensuales vigentes del sector comercio:

Las multas Leves de 1 hasta 10 salarios mínimos.

Las multas Graves de 11 hasta 25 salarios mínimos.

Las multas Muy Graves de 26 hasta 40 salarios mínimos.

6. Oportunidades de mejora

Como sucede con cualquier legislación reciente, la Ley para la Protección de Datos Personales ofrece varias oportunidades de mejora que, con el tiempo, podrán perfeccionarse mediante resoluciones y la interpretación progresiva de sus disposiciones. A continuación, presentaré dos áreas clave que, aunque inicialmente puedan parecer baladíes, tienen un impacto significativo en su aplicación.

El primer punto de mejora es la confusión que existe sobre la Seudonimización y la Anonimización con la Disociación, esto debido a que lo largo de la ley se confunden estos términos, siendo que la información anonimizada es un conjunto de datos que no guarda relación con una persona física identificada o identificable. Mientras que la información seudonimizada es un conjunto de datos que no puede atribuirse a un interesado sin utilizar información adicional, es decir, la Seudonimización y Anonimización son formas de Disociación de Datos. Un ejemplo de esta confusión es el artículo 8 literal b), y artículo 10 literal e).

La segunda oportunidad de mejora es desarrollar más bases de licitud del tratamiento, o aclarar y dar más relevancia para su aplicación a las que se contemplan en el Principio de Licitud. En todo el recorrido de la ley se hace ver que la única base licitud de tratamiento válida es el Consentimiento, dejando la duda si se aplicarán las desarrolladas en Principio de Licitud, las cuales son:

• Cumplimiento Contractual.
• Cumplimiento de una obligación Legal.
• Proteger intereses vitales del interesado.
• Cumplimiento de un interés público.
• Interés Legítimo (esta base da para hablar un artículo completo).

Corolario

En resumen, los puntos destacados representan elementos clave para la implementación de la nueva Ley de Protección de Datos Personales en El Salvador: los derechos de los interesados, la responsabilidad comprobada de los responsables del tratamiento, y la figura del delegado de Protección de Datos.

Aunque la ley establece sanciones claras, aún existen oportunidades de mejora en términos de definición y bases de licitud para el tratamiento de datos. No obstante, este avance normativo contribuirá a crear un entorno más seguro y transparente para la gestión de los datos personales de las personas.