El 12 de noviembre de 2024, la Asamblea Legislativa de El Salvador aprobó la nueva Ley de Protección de Datos Personales, un paso importante en la modernización y actualización de la normativa del país. Esta ley representa, desde mi perspectiva, un cierre crucial en el desarrollo del ecosistema digital de El Salvador.
La ley se presenta como una herramienta oportuna para garantizar el derecho a la autodeterminación informativa, un derecho reconocido y protegido por la Sala de lo Constitucional mediante jurisprudencia desde hace casi una década. Este derecho otorga a los individuos la facultad de decidir quién, cuándo, dónde y cómo se recopila y trata su información personal.
A continuación, destacaré tres aspectos fundamentales de esta ley que, a mi juicio, constituyen una actualización legislativa clave y que se han inspirado en los mejores estándares internacionales, específicamente en el Reglamento General de Protección de Datos Personales (RGPD) de la Unión Europea.
1. Derechos de los interesados: ARSOPOL / ARCOPOL
El primer punto relevante es el reconocimiento explícito de los derechos de los titulares de los datos personales. Estos derechos, comúnmente conocidos por sus siglas ARSOPOL / ARCOPOL, incluyen:
Acceso: Derecho a conocer qué datos personales se están tratando.
Rectificación: Derecho a corregir datos incorrectos o incompletos.
Cancelación o Supresión: Derecho a solicitar la eliminación de datos personales.
Olvido: Derecho a la eliminación de información que ya no sea necesaria.
Portabilidad: Derecho a recibir los datos en un formato estructurado y transferible.
Oposición: Derecho a oponerse al tratamiento de los datos.
Limitación del tratamiento: Derecho a restringir el uso de los datos personales, solo a tratamientos que sean relevantes para el fin para el cual se recolectaron.
El reconocimiento de estos derechos es una garantía fundamental para los ciudadanos, permitiéndoles un mayor control sobre su información personal.
2. La “Responsabilidad Proactiva”
El segundo aspecto clave es el principio de la “Responsabilidad Proactiva” o como lo define la legislación salvadoreña “Responsabilidad Comprobada”, que, en términos sencillos, es la obligación de demostrar que los responsables del tratamiento de datos cumplen con la ley. Este principio establece que las personas naturales o jurídicas que recaban y gestionan datos personales deben implementar medidas técnicas y organizativas adecuadas para asegurar la protección de la información. Además, deben ser capaces de demostrar que su tratamiento de datos cumple con todos los requisitos legales establecidos.
Este principio es esencial porque coloca a los responsables del tratamiento en una posición proactiva, exigiendo no solo que cumplan con la normativa, sino que también puedan evidenciar dicho cumplimiento en todo momento.
3. El Delegado de Protección de Datos (DPO)
El último aspecto para destacar es la figura del Delegado de Protección de Datos (DPO), un actor clave en la implementación y vigilancia del cumplimiento normativo. En la ley salvadoreña, esta figura es esencial para garantizar la correcta protección de los datos personales, desempeñando un papel fundamental en la supervisión y en el aseguramiento del cumplimiento de la normativa.
Aunque la normativa salvadoreña establece una base sólida para el DPO, El Salvador podría tomar como referencia marcos más avanzados, como el RGPD de la Unión Europea, que otorgan ciertas garantías adicionales para fortalecer la autonomía de esta figura. Por ejemplo, en otras legislaciones se establece la estabilidad en el puesto, lo que le permite ejercer sus funciones con independencia y sin riesgo de represalias, además de exigir que reporte directamente a las instancias más altas de la organización, asegurando así que sus decisiones sean tomadas de manera autónoma y sin presiones externas.
Este tipo de garantías adicionales podría ser un excelente punto de partida para seguir fortaleciendo el papel del DPO en El Salvador, asegurando un cumplimiento normativo más robusto y una mayor protección de los datos personales de los ciudadanos.
Corolario
En resumen, los tres puntos destacados representan elementos clave para la implementación de la nueva Ley de Protección de Datos Personales en El Salvador: los derechos de los interesados, la responsabilidad comprobada de los responsables del tratamiento, y la figura del delegado de Protección de Datos. Estos elementos refuerzan el cumplimiento normativo y contribuyen a crear un entorno más seguro y transparente para la gestión de la información personal.
Es importante señalar que, aunque la ley ha sido aprobada, aún debe ser sancionada por el presidente de la República. Una vez promulgada y publicada en el Diario Oficial, entrará en vigencia 8 días después de su publicación.
