Protección de datos personales en El Salvador

La Ley para la Protección de Datos Personales (LPDP), aprobada mediante el Decreto Legislativo N.° 144, en noviembre de 2024, representa un cambio estructural en El Salvador al pasar de una dispersión normativa a un marco regulatorio integral que reconoce la autodeterminación informativa como un derecho fundamental. Este marco legal busca garantizar la intimidad de las personas naturales frente al tratamiento de su información por parte de entidades públicas y privadas, promoviendo un entorno digital seguro que facilite la inversión y el desarrollo económico sostenible.

El objeto central de la protección de datos personales en El Salvador es regular la recolección, uso, procesamiento y almacenamiento de datos personales para asegurar el respeto a la integridad física y moral de los ciudadanos.

Esta normativa viene a definir como dato personal cualquier información que identifique o haga identificable a una persona, y otorga especial protección a los datos sensibles, cuya utilización indebida podría generar discriminación.

La Ley se basa en los derechos ARCO-POL, que permiten a los titulares ejercer control sobre su información personal de la siguiente manera:

• Acceso (A): Conocer qué datos están siendo tratados y con qué fin.

• Rectificación (R): Corregir datos inexactos, incompletos o desactualizados.

• Cancelación (C): Solicitar la eliminación de datos cuando el tratamiento sea ilícito o ya no sean necesarios.

• Oposición (O): Ceder el tratamiento de datos para fines específicos como mercadotecnia.

• Portabilidad (P): Recibir los datos en un formato estructurado para transmitirlos a otro responsable.

• Olvido (O): Pedir la supresión de datos publicados en entornos electrónicos y motores de búsqueda.

• Limitación (L): Suspender temporalmente el uso de datos mientras se verifica su exactitud o licitud.

Incidencia en el sector empresarial de la protección de datos personales en El Salvador

La LPDP impone una serie de obligaciones estrictas a las empresas que recolectan o procesan información de ciudadanos salvadoreños, obligándolas a adoptar un modelo de responsabilidad demostrada (accountability). Las principales incidencias operativas incluyen:

1. Designación del delegado (DPO/DPDP): Las organizaciones deben nombrar a un encargado de gestionar las solicitudes ARCO-POL y supervisar el cumplimiento interno.

2. Consentimiento informado: El tratamiento de datos debe basarse en una autorización libre, específica, informada y expresa. Para datos sensibles, el consentimiento debe ser obligatoriamente por escrito mediante firma autógrafa o equivalente.

3. Transparencia: Las empresas deben publicar Avisos de Privacidad claros que informen sobre la finalidad del tratamiento, el uso de cookies y los mecanismos para ejercer derechos.

4. Medidas de seguridad: Implementación de controles técnicos (cifrado, control de acceso), organizativos (manuales, registros de actividades) y físicos para proteger la integridad, confidencialidad y disponibilidad de los datos.

5. Notificación de brechas: Ante cualquier vulneración de seguridad, el responsable tiene un plazo máximo de 72 horas para notificar a la Agencia de Ciberseguridad del Estado (ACE), a la Fiscalía y a los afectados.

Avances en reserva y seguridad de la información

La normativa posiciona a El Salvador como un destino competitivo para negocios digitales al homologar estándares con regulaciones internacionales como el GDPR europeo. Entre los avances más significativos destacan:

• Entidad Rectora (ACE): La Agencia de Ciberseguridad del Estado asume la supervisión, auditoría y potestad sancionadora, emitiendo políticas de actuación consistentes con estándares globales como la ISO 27001.

• Carga de la prueba: En caso de controversia, la responsabilidad de demostrar que se obtuvo el consentimiento o que se cumplió con la ley recae exclusivamente en la empresa.

• Flujo transfronterizo: Se regula estrictamente la transferencia internacional de datos, permitiéndola solo hacia países que garanticen un nivel de protección adecuado.

• Régimen sancionador: El incumplimiento puede derivar en multas significativas basadas en el salario mínimo del sector comercio: leves (hasta $3,650), graves (hasta $14,600), además de posibles responsabilidades penales.

Este avance legal asegura que la información de los ciudadanos no sea comercializada o utilizada ilegalmente, obligando a las empresas a ver la protección de datos no como una carga, sino como una herramienta estratégica para generar confianza y sostenibilidad en el mercado interconectado. Poniendo a El Salvador a la vanguardia y en posición competitiva ante un mercado internacional y digitalizado.