Hasta hace poco, El Salvador carecía de una normativa integral que regulara de forma coherente el tratamiento de los datos personales. Si bien existían disposiciones dispersas en normas como la Ley de Acceso a la Información Pública o la Ley de Protección al Consumidor, ninguna ofrecía una respuesta sistemática a los retos contemporáneos en materia de privacidad y seguridad de la información.
La aprobación de la Ley para la Protección de Datos Personales, mediante Decreto Legislativo No. 144 del 12 de noviembre de 2024, representa un cambio estructural en el panorama legal salvadoreño. Esta ley no solo homologa estándares internacionales en la materia, sino que reconoce, de manera expresa, derechos fundamentales que hasta ahora carecían de una vía efectiva de protección en el ordenamiento jurídico nacional.
El corazón de la ley: los Derechos ARCO-POL
Uno de los mayores avances normativos lo constituye el reconocimiento de los llamados Derechos ARCO-POL, un conjunto de facultades que permiten a los titulares de datos personales ejercer control sobre su información: acceder, rectificar, cancelar, oponerse al tratamiento, portar sus datos a otro responsable, solicitar su olvido en entornos digitales o limitar su uso temporalmente. Estos derechos son de carácter personalísimo, y su ejercicio es un reflejo del principio de autodeterminación informativa.
La ley exige a los responsables del tratamiento implementar mecanismos ágiles, gratuitos y accesibles para atender estas solicitudes. No basta con declaraciones de buena fe: se requiere estructura, capacidad de respuesta, y evidencia de cumplimiento.
Obligaciones estrictas y mecanismos claros
La legislación impone a las entidades que traten datos personales una serie de obligaciones concretas, entre ellas:
- Designar un delegado de protección de datos.
- Atender solicitudes en plazos perentorios (generalmente 20 días hábiles).
- Notificar en un máximo de 72 horas cualquier vulneración de seguridad a la Agencia de Ciberseguridad del Estado, a la Fiscalía General y a los titulares afectados.
Además, regula de forma detallada los requisitos que debe contener el Aviso de Privacidad, documento que se convierte en la puerta de entrada a una gestión responsable de los datos.
Transferencia y licitud del tratamiento
Un aspecto clave que aborda la nueva ley es la transferencia de datos a terceros, tanto a nivel nacional como internacional. En este sentido, se establece que solo se podrá realizar con el consentimiento expreso del titular, y que los terceros receptores deberán cumplir con los mismos estándares legales. En el caso de transferencias internacionales, se requiere que el país de destino garantice un nivel de protección equivalente o superior al salvadoreño.
Asimismo, el tratamiento de datos solo será considerado lícito si se basa en una causa legal válida: el consentimiento informado, la ejecución de un contrato, el cumplimiento de una obligación legal, la protección de intereses vitales, el interés público, o el interés legítimo del responsable, siempre que no contravenga los derechos del titular.
Sanciones significativas
El incumplimiento de esta normativa no es menor: las sanciones económicas pueden oscilar entre 1 y 40 salarios mínimos del sector comercio (actualmente US$408.80 mensuales), dependiendo de la gravedad de la infracción. A ello se suman posibles consecuencias penales, en casos de vulneraciones graves.
Hacia una cultura de cumplimiento y respeto a la privacidad
La entrada en vigor de esta ley exige a las empresas y entidades públicas un replanteamiento profundo de sus políticas internas. No se trata solo de incorporar cláusulas o emitir documentos estándar, sino de construir una cultura institucional basada en el respeto a la privacidad, la seguridad de la información y la transparencia.
En este contexto, recomendamos a los responsables del tratamiento de datos:
- Elaborar un aviso de privacidad conforme a la Ley.
- Designar un delegado de protección de datos con funciones claras.
- Establecer protocolos para el ejercicio de los derechos ARCO-POL.
- Implementar medidas técnicas y organizativas adecuadas para salvaguardar la información.
La protección de datos no es una carga normativa; es una herramienta para fortalecer la confianza, mejorar la gestión empresarial y garantizar derechos. Con esta ley, El Salvador se alinea con las tendencias globales y da un paso firme hacia un modelo jurídico más moderno, justo y respetuoso de la dignidad humana.
