Por Alessia Genoves
La Asamblea Legislativa de El Salvador aprobó con 57 votos la Ley para la Protección de Datos Personales durante la Sesión Plenaria Ordinaria No. 29, tras la discusión del Dictamen Favorable No. 11. La normativa establece “la regulación para la protección de los datos personales, determinando los requisitos esenciales para el tratamiento legítimo e informado de estos, así como el marco normativo a seguir en su recolección, uso, procesamiento, almacenamiento y demás actividades relacionadas”, según el Art. 1.
La ley se prescribe a “toda persona natural o jurídica, de carácter público o privado, que realice actividades relativas o conexas al tratamiento de datos personales, ya sea de manera manual, parcial o totalmente automatizada o mediante terceros” (art. 2). Los órganos estatales, instituciones autónomas y municipalidades deben regirse por el Título III de la ley.
#Plenaria29 | Con 57 votos a favor, aprobamos la Ley para la Protección de Datos Personales, que tiene como objeto proteger dicha información determinando los requisitos esenciales para realizar el tratamiento legítimo de estos; así como el marco normativo que debe seguirse en su… pic.twitter.com/Bth8pmR9Nq
— Asamblea Legislativa 🇸🇻 (@AsambleaSV) November 13, 2024
Las exclusiones comprenden el tratamiento de historial crediticio regulado por legislación específica, datos para actividades familiares sin fines comerciales, información para seguridad pública y defensa nacional, y registros del estado familiar. La ley excluye expresamente “el tratamiento de datos personales efectuado en aplicación de la Ley Especial Reguladora de la Emisión del Documento Único de Identidad” (art. 3).
Derechos fundamentales y Arcopol
La autodeterminación informativa constituye “la facultad de toda persona para ejercer los derechos y mecanismos otorgados por esta ley sobre su información personal contenida en registros públicos o privados” (art. 4). Los derechos ARCOPOL permiten a los titulares controlar sus datos personales mediante el acceso, rectificación, cancelación, oposición, portabilidad, olvido y limitación.
El Art. 6 establece que “toda persona, por sí misma o mediante representante autorizado, tendrá derecho a conocer si sus datos personales están siendo procesados para solicitar su rectificación, cancelación o bloqueo”. En caso de personas fallecidas, estos derechos corresponden a sus herederos debidamente acreditados.
El derecho de información exige comunicar al titular “la finalidad del tratamiento, destinatarios, existencia de bases de datos, identificación del responsable, y mecanismos para ejercer los derechos ARCOPOL” (art. 7). La información debe proporcionarse mediante políticas de privacidad accesibles y gratuitas.
Derechos ARCOPOL y Protección del Titular
La ley reconoce que “toda persona, por sí misma o mediante representante autorizado, tendrá derecho a conocer si sus datos personales están siendo procesados para solicitar su rectificación, cancelación o bloqueo, o a oponerse a su tratamiento para usos distintos a los consentidos” (Art. 6). El titular tiene derecho a “conocer quiénes los resguardan, incluyendo proveedores de servicios de almacenamiento tercerizados” (Art. 7), y a “obtener toda la información que sobre sí mismo se encuentre en bases de datos o registros físicos” (Art. 8).
Se establece el “derecho a solicitar al responsable la rectificación o corrección de sus datos cuando sean inexactos, incompletos o estén desactualizados” (Art. 9), así como la “eliminación de los datos personales que le conciernan sin dilaciones indebidas” bajo ciertos supuestos (Art. 10). Los sujetos obligados deberán nombrar un delegado de protección de datos personales para gestionar las solicitudes de derechos ARCOPOL (Art. 15). Entre sus atribuciones está “recibir, tramitar y resolver las solicitudes para el ejercicio de los derechos ARCOPOL” (Art. 16).
Ejercicio de Derechos y Procedimientos
La ley establece procedimientos detallados para el ejercicio de los derechos ARCOPOL. “El ejercicio de cualquiera de los derechos no excluye la posibilidad de ejercer los demás” (Art. 20). Las solicitudes deben presentarse ante el responsable del tratamiento, quien está obligado a las de “asistir al titular en la formulación de solicitudes, confirmar recepción de la solicitud, resolver en plazos establecidos, notificar resultados al titular”, entre otras.
El núcleo de la protección al titular de datos.
En casos de incompetencia, “el responsable deberá informar al titular en un plazo máximo de cinco días hábiles” (Art. 21). La entrega de información debe realizarse “en formatos estructurados, de uso común y lectura mecánica” (Art. 22). El consentimiento informado debe ser “libre, específico, informado e inequívoco” (Art. 25). Los requisitos incluyen la información clara y accesible, la finalidad específica del tratamiento; el derecho a revocar el consentimiento; el consecuencias de no otorgar consentimiento. Y, para datos sensibles, se requiere “consentimiento expreso y por escrito” (Art. 30), con especial atención a “datos de salud, genéticos y biométricos”.
Entidad Rectora y Sanciones
la Ley concibe a la Autoridad de Control Estatal (ACE), que se encargará de supervisar el cumplimiento; y sus potestades están dadas para realizar investigaciones. Entre ellas, se le delega la de “imponer sanciones administrativas, ordenar medidas correctivas; emitir criterios vinculantes”, entre otras. De sus resoluciones, da lugar a la emisión de infracciones, que se clasifican en leves, graves y muy graves, con multas proporcionales a la gravedad.
En el régimen de sanciones, se incluyen las “amonestaciones”, las “multas económicas”; así como la “suspensión temporal de operaciones” y la “prohibición de tratamiento de datos”. De modo que la ley establece además medidas adicionales como la “publicación de sanciones” y “programas de cumplimiento obligatorio” para garantizar la efectiva protección de datos personales.
No obstante, e establecen excepciones al ejercicio de derechos ARCOPOL cuando “exista un impedimento legal, afecte derechos de terceros, obstaculice actuaciones judiciales, existan razones de seguridad nacional” (Art. 23), y otros. Además, establece el “ejercicio de los derechos ARCOPOL será gratuito” (Art. 24). Pero, pese a esa gratuidad, la ley advierte que pueden establecerse costos razonables para “copias adicionales, certificaciones. envíos físicos”
La ley establece protecciones especiales para datos sensibles, definidos como aquellos que revelan “origen racial o étnico, opiniones políticas, convicciones religiosas, datos de salud, información genética, datos biométricos” (Art. 31) De modo que “el tratamiento de datos sensibles requiere medidas de seguridad reforzadas” (Art. 32), incluyendo “cifrado de datos”, el “control de accesos”; así como el “registro de operaciones” y las “copias de seguridad cifradas”
También, la ley establece que los responsables del tratamiento están obligados a “implementar políticas de protección de datos”; así como “mantener registros de actividades” y “realizar evaluaciones de impacto”; y, en última instancia, “adoptar medidas de seguridad apropiadas” (Art. 35). Ante ello, se establece la obligación de “notificar violaciones de seguridad a la autoridad de control y a los titulares afectados” (Art. 36) en un plazo máximo de 72 horas.
Derechos y Procedimientos
Régimen Sancionador y Procedimientos
La ACE tiene facultades para “iniciar investigaciones de oficio”; así como para “realizar inspecciones” e “imponer medidas provisionales” y “dictar resoluciones vinculantes” (Art. 40). De la comisión de las infracciones, la autoridad establece un régimen de sanciones leve, con “multas hasta 50 salarios mínimos”; así como sanciones graves, con “multas hasta 100 salarios mínimos”; y las sanciones muy graves, con aplicación de “multas hasta 200 salarios mínimos” (Art. 45).
Para la garantía de los derechos de los datos personales, la Ley contempla medidas complementarias, como “programas de cumplimiento obligatorio”, “auditorías periódicas”, “planes de remediación” y “publicación de sanciones” (Art. 47). Con ello, además, se establece un “régimen de responsabilidad civil” (Art. 48) que permite a los titulares afectados reclamar indemnizaciones por daños causados por el tratamiento ilícito de sus datos personales.
Mientras que la cobertura del derecho de información de datos personales se reserva, además, en el ámbito internacional, con “garantías adecuadas de protección”; la “autorización previa de la ACE” y “mecanismos de supervisión efectivos”; así como “acuerdos vinculantes entre las partes” (Art. 50). Es decir, los derechos se preceden a las necesidades de contratos o transferencias.
No obstante, éste apartado también contempla excepciones para transferencias, como las “necesarias para contratos”; aquellas de “interés público”; las “reclamaciones legales”; así como aquellas necesarias para “proteger intereses vitales” (Art. 51)
La implementación de esta ley de protección de datos personales no tiene precedentes, en El Salvador, sobre el ámbito de protección de personas a nivel internacional, estableciendo estándares comparables a normativas internacionales y garantizando los derechos fundamentales de los salvadoreños en la era digital.
About The Author
Descubre más desde Diario Fuentes
Suscríbete y recibe las últimas entradas en tu correo electrónico.
COMENTARIOS (0)