La Agencia de Ciberseguridad del Estado, nueva institución que sería creada en una nueva Ley de ciberseguridad, sería la encargada de aplicar la nueva ley para proteger datos personales de las personas en El Salvador, emitir sanciones, otras medidas o notificar a la Fiscalía General de la República de delitos.

El proyecto de "Ley de Protección de Datos Personales" fue entregado por el ministro de Seguridad, Gustavo Villatoro, y recibido por el pleno de la Asamblea Legislativa el miércoles 30 de octubre.

Los obligados a aplicar la normativa, que podría ser estudiada a partir de la próxima semana en la Comisión de Seguridad Nacional, serían las personas naturales y jurídicas, públicas o privadas, que hagan actividades con datos personales.

Sin embargo, plantea excepciones: la ley no se aplicaría a datos de historial crediticio, datos destinados a actividades familiares o domésticos sin propósitos de divulgación o comercio, datos sobre seguridad o investigación delictiva y registro de estados familiares.

La normativa prohíbe "crear bases de datos que contengan datos personales sensibles" o "revelar, difundir o comercializar" datos personales a los que tuvo acceso "con ocasión de su cargo", transferirlos o compartirlos.

También, establece el "derecho a información frente a la recolección de datos", para el cual los sujetos obligados deberán informar "de la posibilidad" de que los datos personales "sean recopilados"; y establece que toda persona tendrá derecho a conocer si sus datos personales están siendo procesados para garantizar su protección, a solicitar su rectificación, cancelación o bloqueo, y a solicitar que se limite su tratamiento en el futuro.

La propuesta de Ley de Datos Personales fue presentada por el ministro de Seguridad, Gustavo Villatoro. / AFP.
La propuesta de Ley de Datos Personales fue presentada por el ministro de Seguridad, Gustavo Villatoro. / AFP.

Acceder a base de datos sin autorización se sancionará

Si el proyecto de ley se aprueba, será una infracción leve acceder a un banco de datos, base de datos, sistemas o registros, sin autorización del responsable, y será infracción grave recopilar datos personales con un fin diferente para la que se otorgó el consentimiento de dichos datos.

También, serán infracciones leves dar un tratamiento inexacto o falso a los datos personales o no cumplir con el "derecho de información frente a la recolección de datos".

Una infracción grave novedosa será "realizar transferencia internacional de datos personales a países que no cumplan como mínimo con el nivel de protección" que establece la propuesta de ley.

Multas y otras medidas

Las multas por las infracciones a la Ley de Protección de Datos Personales oscilarían entre $365 y $9,125. El proyecto incluye multas entre 1 a 10 salarios mínimos mensuales vigentes del sector comercio para infracciones leves; entre 11 y 25 salarios para infracciones graves; y entre 26 y 40 salarios mínimos mensuales para infracciones muy graves.

Sin embargo, de acuerdo con el proyecto, la Agencia de Ciberseguridad del Estado podría ordenar otras medidas "para restablecer la legalidad alterada por la infracción o que permita la corrección de los derechos o las situaciones vulneradas".

El proyecto fechado el 11 de octubre fue recibido por la Gerencia de Operaciones Legislativas de la Asamblea Legislativa el 15 de octubre de 2024 a las 11:06 de la mañana sin convocatoria pública, un día antes de la sesión plenaria del miércoles 16 de octubre, en la cual no ingresó. Tampoco ingresó a la agenda de la sesión plenaria del 22 de octubre, pero sí fue agendado en las piezas de correspondencia recibidas por la sesión plenaria del 30 de octubre.