Varios

Se aprueba la ley para la protección de datos personales y la ley de ciberseguridad y seguridad de la información

La ley establece las obligaciones que deberán cumplir los sujetos obligados, dentro de las cuales pueden destacarse la obligación de elaborar una estrategia de seguridad informática y de la información apegado a estándares o marcos de referencia nacionales e internacionales.

Por Fernando Montano y David Blanco, socio y asociado en Arias 

El 12 de noviembre de 2024 la Asamblea Legislativa de El Salvador aprobó la Ley para la Protección de Datos Personales y la Ley de Ciberseguridad y Seguridad de la Información.

La Ley para la Protección de Datos Personales tiene por objeto establecer la regulación específica para la protección de los datos personales, entendidos como la información concerniente a una persona natural identificada o identificable. Así, la ley determina los requisitos esenciales para realizar el tratamiento legítimo e informado de estos y el marco normativo que debe seguirse en su recolección, uso, procesamiento, almacenamiento y otras actividades de tratamiento de datos personales, incluido lo relativo a datos personales sensibles y la transferencia de datos. Lo anterior con la finalidad de garantizar el derecho a la intimidad y a la autodeterminación informativa de las personas.

La ley se aplicará a toda persona natural o jurídica, pública o privada, que lleve a cabo actividades relativas o conexas al tratamiento de datos personales, de forma manual, parcial o totalmente automatizado o a través de terceros. Asimismo, la ley establece los principios rectores para la protección de los datos personales y reconoce los derechos de los titulares de los datos personales y la forma de su ejercicio.

Además, la ley establece la obligación para los sujetos obligados de nombrar un Delegado de Protección de Datos Personales. Asimismo, se establecen las atribuciones de la Agencia de Ciberseguridad del Estado, como entidad encargada de la aplicación y supervisión de la ley. Finalmente, se establece el régimen sancionador en materia de protección de datos personales, siendo una de las infracciones muy graves tratar datos personales sin el consentimiento previo de los titulares, o realizar transferencias internacionales de datos personales sin el consentimiento de sus titulares.

Por otra parte, la Ley de Ciberseguridad y Seguridad de la Información tiene por objeto establecer, entre otros aspectos, los principios, el marco normativo, lineamientos y políticas de protección que permitan estructurar, regular, vigilar y fiscalizar las medidas de ciberseguridad y la seguridad de la información en poder de las instituciones públicas.

Dicha ley aplicará a todos los órganos de gobierno, sus dependencias, instituciones oficiales autónomas, autoridades municipales o cualquier otra entidad u organismo, independiente de su forma, naturaleza o situación jurídica que administre recursos públicos, bienes del Estado, que ejecute actos de la administración o que posean incidencia en las infraestructuras críticas de la nación, por lo que dentro de esta categoría pueden encontrarse comprendidas entidades del sector privado.

La ley establece las obligaciones que deberán cumplir los sujetos obligados, dentro de las cuales pueden destacarse la obligación de elaborar una estrategia de seguridad informática y de la información apegado a estándares o marcos de referencia nacionales e internacionales. Además, se crea la Agencia de Ciberseguridad del Estado que tendrá a su cargo la aplicación y supervisión de la ley. Finalmente, se establece un régimen sancionador por el incumplimiento de las obligaciones previstas en la ley, el cual comprende desde despidos/destituciones hasta la imposición de multas cuya cuantía dependerá de la seriedad de la infracción.

Dichos instrumentos, una vez sancionados por el Presidente de la República, entrarán en vigor ocho días después de la fecha de su publicación en el Diario Oficial.

Si tiene alguna duda, con gusto puede contactar a nuestros abogados para asistirle en  fernando.montano@ariaslaw.com y david.blanco@ariaslaw.com