Nueva ley de protección de datos: retos y oportunidades

Se necesita también un modelo de gestión que no solo cumpla con la ley, sino que se adapte a las necesidades específicas de la organización. Contar con políticas de protección de datos, protocolos de seguridad y procedimientos de gestión de incidentes, entre otros, es esencial para una correcta implementación y cumplimiento de la normativa.

Introducción
Se ha aprobado un marco normativo de protección de datos personales que, sin duda, contribuirá a salvaguardar la información de los salvadoreños frente a un uso inadecuado de su información.

Publicada en el Diario Oficial del 15 de noviembre, la normativa entró en vigencia el 23 del mismo mes, iniciando los plazos para su implementación, adecuación, adopción de medidas de protección y establecimiento de mecanismos que permitan el ejercicio de los derechos ARCO-POL.

La ley establece tres actores principales: la Agencia de Ciberseguridad del Estado, los sujetos obligados como responsables de tratamiento de datos y los titulares de estos. Cada uno de ellos desempeña un papel relevante, debiendo prepararse no solo para enfrentar los retos que implica su implementación, sino también para aprovechar las oportunidades que esta normativa genera.

A continuación, desarrollaré los principales retos y oportunidades para cada uno de estos actores.

AGENCIA DE CIBERSEGURIDAD DEL ESTADO “ACE”
Es la entidad rectora, encargada de aplicar y supervisar el cumplimiento de la ley.
Entre sus principales atribuciones tenemos la supervisión y sanción de las instituciones obligadas, garantizar la protección de datos, promover programas de sensibilización, resolver controversias, dictar políticas de seguridad, crear certificaciones, impartir capacitaciones y asesorar a entidades públicas y privadas.

RETOS:
Financiamiento, recursos humanos y plataforma tecnológica
Dado que tanto la Ley de Ciberseguridad y Seguridad de la Información como la Ley para la Protección de Datos Personales son de reciente promulgación, es necesario construir desde cero las estructuras y mecanismos idóneos para su implementación. Esto requiere dotar a la ACE de recursos suficientes en términos financieros, humanos y tecnológicos, para asegurar su buen funcionamiento y el cumplimiento de sus objetivos.

Es crucial contar con personal calificado, capaz de enfrentar las complejidades que demanda un entorno tan amplio y en constante cambio, especialmente en el ámbito digital. Para fortalecer la capacidad operativa de la ACE, es preciso adquirir herramientas para supervisar el cumplimiento normativo, como sistemas de análisis de datos, plataformas de gestión de cumplimiento, supervisión de riesgos cibernéticos y monitoreo. Además, se debe implementar un portal que incluya servicios en línea para la recepción, registro y gestión de denuncias.
Elaboración de disposiciones para la aplicación de la Ley

La ACE debe emitir, en los tres meses posteriores a la entrada en vigencia de la ley, políticas, medidas y guías que proporcionen a los sujetos obligados claridad y dirección para cumplir con los requisitos legales.

Capacitación
La autoridad de control debe jugar un rol activo en materia de capacitación. Requiere garantizar que sus propios funcionarios cuenten con los conocimientos técnicos, jurídicos y prácticos necesarios para desempeñar adecuadamente su trabajo, lo que requiere de una formación continua.

Por otro lado, debe proporcionar a los sujetos obligados y a los titulares de los datos, herramientas educativas que les permitan profundizar en el conocimiento de la ley.

Cooperación interinstitucional
Esto implica la coordinación con diversas entidades, tanto nacionales como internacionales, para asegurar la correcta aplicación y cumplimiento de la ley. Además, incluye la colaboración para compartir información, recursos y mejores prácticas.

OPORTUNIDADES:
Promoción de un entorno más seguro y confiable en el manejo de datos personales
Mediante la implementación de normativas claras, auditorías periódicas, educación y capacitación de las partes involucradas, respuesta rápida a incidentes y creación de programas de certificación.

Liderazgo en la protección de datos
Posicionar al país como un referente regional en la materia y eventualmente pueda ser considerado como un país con nivel de protección adecuado.

Mejorar la confianza pública:
Una buena aplicación de la ley incrementa la confianza de los ciudadanos en la entidad rectora y en los sujetos obligados, asegurando que sus datos están debidamente protegidos.

SUJETOS OBLIGADOS
Es toda persona natural o jurídica, de carácter público o privado, que lleve a cabo actividades relativas o conexas al tratamiento de datos personales, ya sea de manera manual, parcial o totalmente automatizado o a través de terceros.

El ámbito de aplicación de la ley no establece excepciones; todas las personas que realicen tratamientos de datos, sin importar tamaño, naturaleza o alcance, deberán cumplir con ella.

RETOS:
Adaptación a la normativa:
Los sujetos obligados deben garantizar que sus políticas y procedimientos de gestión de datos estén alineados con los nuevos requisitos legales, incluyendo los datos personales obtenidos antes de su vigencia.

Adaptarse adecuadamente a la normativa requiere diversas actividades que aseguren su cumplimiento más allá de ajustes superficiales. Es preciso realizar un diagnóstico y evaluación inicial del estado de la empresa en cuanto al tratamiento de datos para detectar áreas críticas, establecer prioridades y planificar mejoras necesarias.

Se necesita también un modelo de gestión que no solo cumpla con la ley, sino que se adapte a las necesidades específicas de la organización. Contar con políticas de protección de datos, protocolos de seguridad y procedimientos de gestión de incidentes, entre otros, es esencial para una correcta implementación y cumplimiento de la normativa.

Es prudente empezar a elaborar políticas y revisar procesos internos desde ahora, ya que la implementación de modelos de gestión implica inversión de tiempo dentro de las organizaciones.

Capacitación constante
La formación continua es crucial para cumplir con la ley. Este desafío no solo recae en los equipos de IT, sino también en los departamentos legales y de recursos humanos y dependerá de la alta dirección que toda la organización esté alineada con la normativa
Implementación de mecanismos para el ejercicio de derechos ARCO-POL

Los sujetos obligados como responsables del tratamiento deben garantizar que los titulares puedan ejercer sus derechos efectivamente, mediante mejoras tecnológicas y operativas que faciliten su cumplimiento de manera eficiente y segura.

Costos asociados
Las necesidades y costos asociados a la implementación de la ley varían significativamente según el sector y tamaño de la empresa, así como el tipo y volumen de tratamiento de información personal que realice.

OPORTUNIDADES:
Mejora en la imagen corporativa
Cumplir con la normativa vigente contribuye a mejorar la reputación de las empresas, demostrando su compromiso con la seguridad y privacidad de los datos y generando confianza entre sus usuarios y clientes.

Innovación tecnológica.
Es beneficioso aprovechar la ley como una oportunidad para innovar, desarrollando nuevos servicios y procesos que integren la protección de datos desde su concepción (Privacy by Design).
Reducción de riesgos legales
Una gestión adecuada de la privacidad evita el riesgo de sanciones severas.

TITULARES DE LOS DATOS PERSONALES

RETOS:
Conocer sus derechos
Para muchas personas, la protección de datos personales parece irrelevante hasta que se ven afectadas. Por eso, es crucial educarse y concienciar sobre la importancia de proteger su información personal y conocer sus derechos.
Seguridad en entornos digitales

No basta con que exista una ley para proteger los datos personales; las personas deben tomar medidas de seguridad, especialmente en el entorno digital. La combinación de una legislación robusta y la educación sobre prácticas seguras, como el uso de contraseñas fuertes y la actualización de software, ayuda a prevenir vulnerabilidades y ciberataques.

OPORTUNIDADES:
Mayor control sobre sus datos personales
Los titulares tienen ahora un mayor control sobre sus datos, lo que les permite ejercer sus derechos frente a los sujetos obligados.
Transparencia en el tratamiento de datos
Las personas pueden exigir mayor transparencia a las empresas sobre el procesamiento de sus datos personales, fomentando una cultura de responsabilidad.

CONCLUSIÓN:
La Ley para la Protección de Datos Personales es un avance significativo hacia la consolidación de un marco normativo que garantice la privacidad y seguridad de los datos. Su implementación plantea retos importantes para los organismos de control y los sujetos obligados, debiendo adoptar las disposiciones en plazos definidos y con claridad normativa.
Es preciso educar y sensibilizar a los titulares de los datos sobre sus derechos, fomentando su rol activo en la gestión de su información personal. El equilibrio entre regulación, cumplimiento y empoderamiento ciudadano será clave para el éxito de esta legislación