La ley se aplicará a toda persona o empresa que se dedique al tratamiento de datos personales, esté o no automatizado, en bases de datos o repositorios.
La normativa prohíbe que todo funcionario, empleado público o sujeto obligado registre datos personales en bases sin condiciones de seguridad y confidencialidad, a comecializar los datos a que haya tenido acceso; a crear bases de datos con datos personales sensibles.
La normativa fue aprobada con 56 votos de la mayoría de partidos representados en la Asamblea Legislativa: Arena, FMLN, Gana, PCN, PDC y el diputado no partidario suplente, Jorge Juárez.
Sin embargo, para que inicie su vigencia requiere la sanción del presidente de la República, Nayib Bukele, quien ha rechazado u observado aprobaciones realizadas por la actual legislatura.
Infracciones.
Comercializar datos personales a cualquier título mientras estos no hayan sido anonimizados y seudonimizados será una infracción muy grave.
Así mismo, serán infracciones muy graves, tratar datos personales sin el consentimiento del titular, obtener los datos de forma fraudulenta o arbitraria, tratar datos de menores sin el consentimiento de sus padres o representantes, realizar transferencia de datos personales sin consentimiento del titular.
La ley también establece como infracción grave no proporcionar toda la información relativa a los datos personales del interesado o engañar al titular de los datos para dar su consentimiento por medio de promociones u ofertas.
De acuerdo a la ley aprobada, serán infracción leve no informar al titular sobre sus derechos, así como no designar un encargado de tratamiento de datos personales o acceder a la base de datos sin autorización, tratar datos inexactos, modificar datos en un documento o exigir pagos para atender solicitudes.
Sin perjuicio de las sanciones penales, la ley establece multas entre 50 y 500 salarios mínimos mensuales del sector comercio y servicios.
Las sanciones oscilarían, así, entre $15,000 y $150,000.
Seguridad de datos personales.
La normativa tiene un capítulo especial de seguridad de datos personales que obliga al responsable en el tratamiento de datos a realizar una notificación de vulneraciones a la seguridad de los datos.
Las vulneraciones que pongan en riesgo la seguridad de datos personales se documentarán, con fecha, motivo de vulneración y medidas.
Algunos artículos de la ley protección de datos personales
La ley indica que la autoridad competente podrá imponer sanciones como el decomiso o la destrucción de bases de datos que pongan en riesgo la seguridad de los datos personales.
- 49 datos sensibles
Ninguna persona puede ser obligada a proporcionar datos sensibles. Solo podrán ser tratados con consentimiento expreso.
- 51 datos de salud
Los establecimientos de salud pueden recolectar datos respetando el secreto profesional y el derecho de los pacientes.
- 54 bases públicas
Los datos no podrán ser utilizados para un fin distinto al que figure en el contrato de servicios informáticos ni podrá cederse.