Las nuevas Ley para la Protección de Datos Personales, que aplicará a toda la población, y la Ley de Ciberseguridad y Seguridad de la Información, que aplicará a las instituciones del Estado, están vigentes desde el pasado 23 de noviembre luego de que fueran publicadas ocho días antes.
Los sujetos obligados de la ley de datos personales será toda persona natural y jurídica, tanto pública como privada, es decir, a toda la población. Estarán obligados a nombrar delegados de protección de datos personales.
Estos sujetos obligados tendrán seis meses –hasta mayo de 2025– a partir de la vigencia para adoptar medidas que establezca la nueva Agencia de Ciberseguridad del Estado (ACE) para proteger datos personales y para que los titulares de los datos personales ejerzan sus derechos; y la ACE dictará sus políticas de protección de datos personales en un máximo de tres meses, es decir, hasta el 23 de febrero de 2025.
En cambio, la ley de ciberseguridad, aunque siempre será regida por la ACE, aplicará a todos los servidores de las instituciones públicas.
Con ambas normativas, se creará la nueva Agencia de Ciberseguridad del Estado (ACE), que tendrá 90 días –hasta el 21 de febrero de 2025– para elaborar normativas, protocolos, lineamientos y otros. Será el presidente de la República quien nombre al director de la ACE, quien a su vez nombrará a un director de Protección de Datos Personales, que podrá sancionar las infracciones a esta normativa.
Obligación de nombrar "delegados"
Los sujetos obligados de la ley de datos personales deberán nombrar "un delegado de protección de datos personales", el cual recibirá y resolverá las solicitudes para el ejercicio de los derechos de protección de datos personales.
La ley de datos personales permite que toda persona o su representante pueda solicitar la eliminación de datos personales y prohíbe crear bases con datos personales sensibles o tratar datos personales que revelen afiliación partidaria.
El delegado deberá tramitar solicitudes de rectificación, cancelación u olvido de datos, así como solicitud de acceso a datos personales. El delegada deberá entregar una respuesta en un plazo de 20 días hábiles prorrogables una vez por causas justificadas. Podrá denegar la solicitud si el solicitante no es el titular de los datos o su representante acreditado, error del solicitante o si la cancelación fue realizada.
El nombramiento de delegados es una de las críticas que realizan las organizaciones no gubernamentales de esta normativa, ya que "incrementa costos de operación de las pequeñas y las microempresas, en un ambiente económico adverso”.
Ciberseguridad
La ley de ciberseguridad, que inició su vigencia el mismo día, obliga a las instituciones públicas a proteger la privacidad de los ciudadanos en sus sistemas informáticos y a tener planes de ciberseguridad aprobados por la ACE, así como acatar sus lineamientos.
La ACE, cuyo director general será nombrado por el presidente y nombrará al director de ciberseguridad y seguridad de la información, podrá imponer las sanciones a los infractores de la ley de ciberseguridad.
La ACE resolverá controversias
Las organizaciones Acción Ciudadana, Asociación de Periodistas de El Salvador (APES), fundación Cristosal, asociación Tracoda, Instituto Centroamericano de Estudios Fiscales (Icefi) y la Fundación Nacional para el Desarrollo (Funde) pidieron, el lunes pasado, observar o vetar ambos decretos y permitir la participación de la academia en su redacción.
En un comunicado, piden que se proteja los datos personales sin arriesgar la libertad de expresión, el acceso a la información y la lucha contra la corrupción.
"Una de estas obligaciones es la de eliminar datos personales, en virtud de la cual cualquier funcionario o actor con poder político o económico podrá exigir a una organización o a un medio de comunicación borrar los nombres y apellidos de personas señaladas por cometer actos de corrupción, por considerar que lo publicado es inexacto, desactualizado o incompleto, aún si existen indicios corroborables”, advirtieron las organizaciones.
Las organizaciones advierten que, si hay discrepancia entre periodistas y señalados de corrupción, será la nueva Agencia ACE "la que decidirá qué es inexacto, desactualizado o incompleto, abriendo la puerta a la arbitrariedad y creando un ente con capacidad de decidir qué debe considerarse verdad y qué no”.
"Resolver las controversias que se susciten entre los titulares, los responsables y los encargados del tratamiento, con relación a la clasificación y desclasificación de datos personales sensibles", reza el literal "f" del artículo 50 de la nueva ley de datos personales, como una de las atribuciones de la ACE.
Advierten "control" a medios y organizaciones
A las organizaciones les preocupa que la ACE tendrá la facultad de "controlar, inspeccionar y supervisar” a entes obligados, es decir, "interferir, sin límite legal concreto, en la labor de los medios de comunicación y de las organizaciones que investigan y documentan violaciones a los derechos humanos, ya que usan datos personales”.
"Actores señalados de corrupción o violaciones a los derechos humanos podrían acosar legal o directamente a periodistas e integrantes de organizaciones sociales, obligándolas a responder con su patrimonio e integridad en disputas legales ante la ACE”, dicen las organizaciones en el comunicado, que a su vez lamentaron que la ley se "aplique a los medios de comunicación” y no a la Policía Nacional Civil por "fichas fraudulentas usadas en la detención de miles de personas inocentes”.