Nuevas normativas en materia de ciberseguridad y protección de datos

  • 10 min aprox
  • Fuente:
  • ALTA

Conozca más sobre

Propiedad Intelectual

Compartir:

En la actualidad, el cibercrimen está en constante aumento, y sus consecuencias afectan tanto a los sectores públicos como privados. Cada día somos testigos de diversos ataques cibernéticos que ponen en riesgo la integridad de sistemas informáticos, datos sensibles y la confianza de los usuarios. Con el creciente avance de la tecnología, los recursos necesarios para cometer delitos cibernéticos son cada vez menores, pero los efectos son cada vez más devastadores. Este fenómeno subraya la necesidad urgente de implementar nuevas herramientas que respondan a los retos de un entorno digital cada vez más complejo y vulnerable.

Los datos, en su amplia gama de aplicaciones, se han convertido en un activo de alto valor que impacta de manera significativa todos los sectores económicos y sociales. En este contexto, la ciberseguridad emerge como una prioridad tanto en el ámbito público como en el privado, dado que las amenazas en el ciberespacio se multiplican y se sofistican constantemente.

En respuesta a esta creciente necesidad, la Asamblea Legislativa de El Salvador ha aprobado dos leyes fundamentales para proteger la información y garantizar la ciberseguridad en el país: la Ley para la Protección de Datos Personales y la Ley de Ciberseguridad y Seguridad de la Información.

Ley de Ciberseguridad y Seguridad de la Información

Objetivos de la Ley de Ciberseguridad y Seguridad de la Información

La Ley de Ciberseguridad y Seguridad de la Información tiene como objetivo principal dotar al Estado de las herramientas necesarias para salvaguardar la seguridad de la información que administra o genera, garantizando la protección de los derechos de privacidad de los ciudadanos frente a la actividad estatal.

Los sujetos obligados por esta normativa incluyen no solo los órganos del gobierno y sus dependencias, sino también las instituciones autónomas, autoridades municipales y cualquier entidad que administre recursos públicos, bienes del Estado o que juegue un papel crucial en la infraestructura crítica de la nación. Esto incluye a todos los servidores públicos, tanto dentro como fuera de El Salvador, así como a los empleados de las entidades mencionadas, quienes deben cumplir con las disposiciones de la ley.

Obligaciones de los Sujetos Obligados

La ley establece una serie de obligaciones para los sujetos obligados, entre las cuales se destacan:

1. Implementación de un sistema de gestión de ciberseguridad: Este sistema debe ser permanente y garantizar la protección de la información manejada.

2. Elaboración de estrategias informáticas: Las estrategias deben alinearse con marcos de referencia tanto nacionales como internacionales, y contemplar planes de continuidad operativa y de ciberseguridad.

3. Revisión y simulacros de sistemas informáticos: Se deben realizar evaluaciones periódicas para garantizar que los sistemas estén protegidos frente a posibles incidentes.

Creación de la Agencia de Ciberseguridad del Estado (ACE)

Uno de los pilares fundamentales de la ley es la creación de la Agencia de Ciberseguridad del Estado (ACE), una dependencia autónoma del Estado que contará con personalidad jurídica y patrimonio propio. Esta agencia será responsable de implementar y supervisar las políticas nacionales en materia de ciberseguridad, así como de coordinar la respuesta ante incidentes de ciberseguridad.

Las atribuciones de la ACE incluyen:

• Elaborar y coordinar la política nacional de ciberseguridad.

• Emitir normativas, protocolos y estándares técnicos.

• Crear e implementar programas de acción para enfrentar amenazas o incidentes cibernéticos.

• Gestionar un Registro Nacional de Amenazas e Incidentes.

• Exigir a las entidades afectadas que adopten medidas para mitigar los riesgos.

• Imponer sanciones por incumplimiento de la ley.

Confidencialidad y Sanciones

La ley también establece que los funcionarios de la ACE deberán mantener estricta confidencialidad sobre la información a la que tengan acceso debido a sus funciones. Esta obligación se extiende por hasta cinco años después de que dejen su cargo.

El incumplimiento de la ley está sujeto a sanciones administrativas que se determinarán mediante un proceso simplificado. Las sanciones pueden variar según la gravedad del acto, y van desde multas leves (de 1 a 10 salarios mínimos) hasta sanciones graves o muy graves, que incluyen despidos sin responsabilidad para la administración pública y multas de hasta 100 salarios mínimos mensuales.

Reflexión y Futuro del Sector Privado

Aunque la Ley de Ciberseguridad y Seguridad de la Información establece un marco robusto para la protección de la información en el ámbito público, es fundamental considerar que la ciberseguridad no se limita solo a las entidades gubernamentales. El sector privado juega un papel crucial en la seguridad del ciberespacio, ya que muchas veces gestiona información sensible de los ciudadanos y las empresas. Por ello, el próximo paso lógico debería ser la implementación de una legislación similar que aborde las necesidades específicas del sector privado.

Es importante destacar que, aunque la legislación en el sector privado es fundamental, es un proceso que debe llevarse a cabo con cautela, asegurando que se logre un equilibrio entre la protección de los datos y la innovación empresarial. La colaboración entre el sector público y privado será clave para la creación de un ecosistema digital seguro y sostenible.

Ley para la protección de datos personales

El objetivo de esta ley es establecer el marco normativo que regirá el tratamiento, uso, recolección y actividades relacionadas de los datos personales, así como su protección y los derechos de las personas naturales en calidad de titulares de dichos datos. Esta ley aplica a las personas naturales o jurídicas, tanto públicas como privadas, que realicen actividades vinculadas al tratamiento de datos personales.

Exclusiones.

  • El tratamiento de datos de historial crediticio en los supuestos de la Ley de Regulación de los Servicios de Información sobre el Historial de Crédito de las Personas.
  • El tratamiento de datos personales únicamente para el uso en la esfera de la vida familiar o doméstica.
  • Cuando tengan por objeto la seguridad pública.
  • El tratamiento de datos realizados por el registro del estado familiar de las alcaldías de conformidad a lo establecido en la Ley Transitoria del Registro del Estado Familiar y de los Reglamentos Patrimoniales del Matrimonio.
  • Todo tratamiento efectuado en el marco de la Ley Especial Reguladora de la Emisión del Documento Único de Identidad, Ley de Emisión del Documento Único de Identidad en el Exterior, Ley del Nombre de la Persona Natural por el Registro del Estado Familiar de las Personas Naturales.

Los principios rectores establecidos en la ley para la protección de los datos personales son los siguientes:

  • Principio de la exactitud de los datos: tiene como finalidad evitar la alteración de la veracidad de los datos personales.
  • Principio de lealtad: el responsable debe velar en todo momento por la protección de los intereses de sus titulares.
  • Principio de consentimiento y finalidad: el consentimiento debe ser libre, específico, informado, expreso e individualizado.
  • Principio de transparencia: se debe informar al titular la finalidad para la cual serán tratados sus datos personales.
  • Principio de seguridad de datos: busca evitar la pérdida, alteración, consulta o tratamiento no autorizado de los datos personales.
  • Principio de licitud: el tratamiento debe realizar en cumplimiento de la ley.
  • Principio de temporalidad: el almacenamiento de los datos debe limitarse al periodo en que se cumplan los fines para los cuales han sido tratados.
  • Principio de responsabilidad demostrada: las entidades que recolecten y traten datos personales, son responsables de velar por la privacidad y protección de los datos personales.
  • Principio de ejercicio progresivo de las facultades: los derechos y garantías de los menores de edad serán ejercidos de manera progresiva.

Derechos ARCO-POL (Acceso, Rectificación, Cancelación, Oposición, Portabilidad, Olvido y Limitación):

  • Derecho a la protección de datos personales: los titulares o sus representantes tienen derecho a conocer si sus datos personales están siendo tratados para accionar los mecanismos que permitan la protección de los mismos. En el caso de las personas fallecidas, le corresponderá a sus herederos o asesores el ejercicio de los derechos correspondientes.
  • Derecho a la información frente a la recolección de datos: consiste en conocer a quienes resguardan los datos personales, para lo cual se deberá informar los titulares: i) el propósito o finalidad y los posibles destinatarios o clase de destinatarios, ii) la existencia de una base de datos, iii) la información de contacto del responsable y encargado del tratamiento de los datos, iv) los derechos ARCO-POL y los mecanismos para su ejercicio, y v) los mecanismos de protección y seguridad.
  • Derecho de acceso a datos personales: es el derecho del titular a conocer la información que se tiene sobre sí mismo en una base de datos.
  • Derecho de rectificación: es el derecho de rectificar o corregir la inexactitud de los datos personales. (gratis, 20 días hábiles)
  •  Derecho de cancelación o supresión: constituye la facultad de solicitar la eliminación de los datos personales cuando concurra alguno de los siguientes casos: i) dejen de ser necesarios con relación a los fines, ii) retiro del consentimiento cuando este haya sido el único motivo que legitimaba su tratamiento, iii) exista oposición al tratamiento de estos y no existan otros motivos legítimos, iv) se hayan obtenido o tratado de forma ilícita, v) deban suprimirse para el cumplimiento de una obligación legal del responsable, vi) se hayan obtenido en relación con la oferta de servicios de la sociedad de la información en el caso de oferta directa a niños, vii) se hayan obtenido en relación con la oferta de servicios de instituciones públicas o privadas.
  • Bloqueo de datos personales: se ejerce en conexión con el derecho de supresión o cancelación de los datos personales.
  • Derecho de oposición: consiste en el cese en el tratamiento de los datos personales con fines comerciales o de mercadotecnia directa.
  • Derecho a la limitación: es el derecho a limitar el tratamiento de sus datos cuando: i) se impugne la exactitud de los datos, ii) el tratamiento sea ilícito, iii) el responsable ya no necesite los datos, pero el titular sí para el ejercicio de reclamaciones ante el responsable, iv) el titular haya presentado oposición al tratamiento de sus datos por el tiempo que dure la verificación de losm motivos alegados.
  • Derecho a la portabilidad: es el derecho a recibir los datos personales facilitados bajo los siguientes requisitos: i) que el tratamiento se funde en el consentimiento del titular, ii) el tratamiento se realice de forma automatizada.

Procedimiento para el ejercicio de los derechos ARCO-POL

Para garantizar el ejercicio de los derechos ARCO-POL los sujetos obligados deberán designar a un delegado de protección de datos personales, quien deberá gestionar y tramitar las solicitudes relativas al ejercicio de los derechos ARCO-POL. Entre los requisitos que deben cumplir las solicitudes son la identificación del titular y su representante, la documentación que acredita dicha identidad, la descripción del derecho que se pretende ejercer, entre otros.

En caso de que la solicitud incumpla alguno de los requisitos establecidos por la ley, el delegado deberá prevenir al solicitante por una vez, quien tendrá un plazo de diez días hábiles para subsanar dicha omisión. Si el delegado considera que el responsable es incompetente o que el derecho invocado es distinto a los regulados en esta ley, hará del conocimiento del titular dicha circunstancia en un plazo de cinco días hábiles posteriores a su recepción.

El plazo de respuesta a las solicitudes presentadas es de veinte días hábiles, plazo que puede ser prorrogado hasta por un periodo igual en caso de mediar causa justificada.

No hay costos para el ejercicio de los derechos ARCO-POL más allá de los correspondientes a la reproducción, certificación o envío de la información.

Obligaciones para el tratamiento de datos personales

El responsable del tratamiento de datos personales tiene entre sus obligaciones las siguientes:

  • Limitar el tratamiento de los datos personales a la finalidad para la cual se autorizó su uso.
  • Adoptar medidas de seguridad.
  • Guardar confidencialidad.

Datos sensibles

Estos datos hacen referencia a las cualidades físicas y/o morales de las personas, así como a hechos o circunstancias de su vida privada. De conformidad con la ley, nadie puede ser obligado a brindar esta información y dichos datos solo podrán ser tratados con el previo consentimiento expreso e inequívoco del titular. Estos datos solo pueden ser recolectados y tratados cuando medien razones de interés general establecidos en la ley y con finalidades estadísticas o científicas, siempre que dichos datos se disocien de sus titulares.

Entidad rectora

Se designa como entidad rectora a la Agencia de Ciberseguridad del Estado (ACE). El Director de Protección de Datos Personales es el encargado de conocer los procedimientos administrativos para la imposición de las sanciones establecidas por esta ley. Las resoluciones de la ACE serán publicadas en el sitio web de la institución, cuidando la disociación de los datos personales.

Las multas por tipo de infracción cometida son:

  • Infracciones leves: 1-10 salarios mínimos mensuales del sector comercio.
  • Infracciones graves: 11-25 salarios mínimos mensuales del sector comercio.
  • Infracciones muy graves: 26-40 salarios mínimos mensuales del sector comercio.

Importancia del marco normativo

Actualmente en El Salvador, existen disposiciones dispersas en diferentes normativas, tales como la Ley de Protección al Consumidor, Ley de Acceso a la Información Pública y Ley de Regulación de los Servicios de Información sobre el Historial de Crédito de Las Personas, que reconocen algunos de los derechos ARCO-POL; sin embargo, tienen un alcance limitado e insuficiente para garantizar el ejercicio de la autodeterminación informativa de las personas naturales. Por lo anterior la Ley para la Protección de Datos Personales constituye un avance en el reconocimiento de estos derechos y brinda mecanismos que facultan a los titulares la protección de los mismos.

Si bien entre las obligaciones de los responsables del tratamiento de datos personales se encuentra el adoptar medidas de seguridad, esta debe ser acompañada del establecimiento de parámetros que permitan determinar el cumplimiento de dicha exigencia. La falta de normativa idónea que establezca los requisitos y estándares que deben cumplirse para garantizar la seguridad de la información, pueden llevar a una vulneración del resguardo y confidencialidad de los datos personales, así como a un uso indebido de los mismos.

Noticias Relacionadas

FOTOS PARA WEB-7
Noticias y análisis
Guía práctica para inversionistas: requisitos para acceder al arbitraje de inversionescon el DR-CAFTA
28 noviembre 24
Conocer más
Implicaciones Ley de Competencia-Guatemala-ALTA Legal
Noticias y análisis
Implicaciones Ley de Competencia en el Sector Empresarial
26 noviembre 24
Conocer más
Paz con la Naturaleza - ALTA Legal
Noticias y análisis
Iniciativa Paz con la Naturaleza
25 noviembre 24
Conocer más
Carta de despido - Costa Rica - ALTA Legal
Noticias y análisis
¿Cómo redactar una carta de despido?
22 noviembre 24
Conocer más
Ley de Competencia Guatemala - ALTA Legal
Noticias y análisis
Guatemala aprueba una Ley de Competencia
21 noviembre 24
Conocer más
Licitacion PEG-5-2024 - Guatemala- ALTA Legal
Noticias y análisis
Resumen ejecutivo sobre los términos de referencia para la licitación PEG-5-2024
06 noviembre 24
Conocer más

Suscríbete a nuestro boletín

Reciba las últimas novedades de ALTA y el mundo legal.

Aceleramos el éxito de nuestros clientes

CRC

Avenida de las Américas, calle 68 Sabana Business Center, piso 12 San José
T. (+506) 4036 2000
E. costarica@altalegal.com

GUA

Diagonal 6, 10-01 Zona 10 Centro Gerencial Las Margaritas, Torre II, Oficina 302 A Guatemala
T. (+502) 2327 4646
E. guatemala@altalegal.com

SLV

Final del paseo General Escalón Colonia Escalón, número 5682 San Salvador
T. (+503) 2527 2400
E. elsalvador@altalegal.com

HON

Avenida República de Costa Rica, colonia Lomas del Mayab Penthouse, Edificio Torre Mayab Tegucigalpa
T. (+504) 2232 1181
E. honduras@altalegal.com

Suscríbete

Síguenos

Linkedin-in Facebook-f Youtube
  • Copyright © Alta 2024 Todos los derechos reservados.