En el artículo 2 de la Constitución de la República se encuentra el fundamento jurídico de la protección de los datos personales y sensibles, el cual establece que se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen. Asimismo, la protección de los datos personales y sensibles se encuentra regulada en distintas leyes especiales, tales como la Ley especial para la intervención de las telecomunicaciones, la Ley de regulación de los servicios de información sobre el historial de crédito de las personas, la Ley de acceso a la información pública, la Ley de telecomunicaciones, la Ley de protección al consumidor, entre otras.

En este contexto, El Salvador cuenta con una serie de normas que lo colocan en el mapa de países de la región que fomentan la regulación de masas en el uso de medios tecnológico y en aquellas actividades ejercidas por el gobierno electrónico; entre las que se destacan la Ley de Acceso a la Información Pública, la Ley de Firma Electrónica y la Ley Especial contra los Delitos Informáticos y Conexos, que hacen entender las fronteras entre privacidad, uso de datos personales y propiedad de los mismos. Por consiguiente, vale la pena realizar las siguientes interrogantes: ¿Se está implementado adecuadamente la normativa existente ? ¿existe alguna vulnerabilidad de nuestros datos personales en los llamados medios electrónicos o redes sociales tradicionales como: Facebook, Instagram y WhatsApp?; ¿estas normativas son capaces de sancionar las competencias de una empresa tecnológica como ebay o Amazon por ejemplo? Empecemos analizando cada una de ellas:

Por Decreto Legislativo N° 133 del mes de octubre de 2015 se aprueba la Ley de Firma Electrónica, normativa que pretende dinamizar las bondades del comercio electrónico, en la compra y venta de productos o servicios a través de medios electrónicos, y el gobierno electrónico, en el uso de las tecnologías de la información en los procesos internos del gobierno, así como en la prestación de servicios del Estado a los ciudadanos en las diversas dependencias con las que cuenta la administración pública, regulando los servicios de firma electrónica simple y firma electrónica certificada y proveedores. Es decir: un Proveedor de Servicios de Certificación considerado una Persona jurídica (empresa) autorizada por la autoridad competente (Ministerio de Economía), dedicada a emitir certificados electrónicos y demás actividades previstas en la Ley y un Proveedor de Servicios de Almacenamiento de Documentos Electrónicos: Persona jurídica (empresas) autorizada por la autoridad competente (Ministerio de Economía) que, por la naturaleza de su negocio, brinda servicios de almacenamiento de documentos electrónicos (ambas consideradas empresas tecnológicas). Para tales efectos, las empresas tecnológicas deberán cumplir con las reglas siguientes:

Art. 5 del Decreto Legislativo N°133.- “El tratamiento de los datos personales que precisen los prestadores de servicios de certificación y los prestadores de servicio de almacenamiento de documentos electrónicos se sujetarán a lo siguiente: 1) tendrán la prohibición de ceder los datos personales de los usuarios a terceros; 2) los titulares podrán solicitar la rectificación o cancelación de los datos personales, cuando éstos fueren inexactos o incompletos; y, 3) por lo tanto, las empresas tendrán la obligación de mantener la confidencialidad de los mismos y al deber de guardarlos. Obligaciones que en los términos jurídicos subsistirán aún después de finalizar las relaciones con el responsable del registro de datos y las empresas; observando, la falta de un componente que determine hasta donde pueden llegar la transferencia de datos personales, esto no imposibilita que estos proveedores estén sujetos a sanciones, multas y obligaciones a pesar de que sus servicios se encuentren en la nube o con alguna codificación electrónica fuera del territorio nacional”.

La ley contempla la creación de la Unidad de Firma Electrónica, que tendrá la responsabilidad de acreditar, controlar y vigilar a los proveedores de este servicio. Esta normativa establece la creación de un Reglamento y un Comité Técnico Consultivo, para asesorar al Ministerio de Economía en el desenvolvimiento de las mismas.

Por Decreto Nº 260 del mes de febrero de 2016 se aprueba La Ley Especial contra Delitos Informático y Conexos, mediante la cual establece los parámetros en la persecución del delito cuando la “Utilización de Datos Personales” vulnera las libertades del individuo, y su base legal la determina el Art. 24 del citado Decreto y que dice así: “El que sin autorización utilice datos personales a través del uso de las Tecnologías de la Información y la Comunicación, violando sistemas de confidencialidad y seguridad de datos, insertando o modificando los datos en perjuicio de un tercero, será sancionado con prisión de cuatro a seis años”. Seguido con: “La sanción aumentará hasta una tercera parte del máximo de la pena prevista en el inciso anterior a quien proporcione o revele a otro, información registrada en un archivo o en banco de datos personales cuyo secreto estuviere obligado a preservar” y cuyo ámbito de aplicación está en el Art. 2.- La presente Ley se aplicará a los hechos punibles cometidos total o parcialmente en el territorio nacional o en los lugares sometidos a su jurisdicción. También se aplicará a cualquier persona, natural o jurídica, nacional o extranjera, por delitos que afecten bienes jurídicos del Estado, de sus habitantes o protegidos por Pactos o Tratados Internacionales ratificados por El Salvador.

De igual forma, se aplicará la presente Ley si la ejecución del hecho, se inició en territorio extranjero y se consumó en territorio nacional o si se hubieren realizado, utilizando Tecnologías de la Información y la Comunicación instaladas en el territorio nacional y el responsable no ha sido juzgado por el mismo hecho por tribunales extranjeros o ha evadido el juzgamiento o la condena; en el entendimiento que esta coerción es aplicable tanto a actores públicos y privados cuando sean vulnerados contraseñas, protocolos de seguridad informática, datos sensibles y bancos de datos de naturaleza pública y privada, como también aplicada en los casos que los hechos hayan sido realizados por el responsable del tratamiento para fines comerciales.

A lo anterior, hay que sumar otras normativas sujetas a esta sanción como: la Ley de Regulación de Servicios de Información sobre el Historial de Crédito de las Personas, donde existe en nuestro medio una cantidad de información y recursos sobre la mesa; la Ley de Protección al Consumidor previstas en los artículos 18 y 21; y la Ley General de Telecomunicaciones en su artículo 29 literal b).

Por lo anterior, podemos determinar la existencia de una regulación cuando se vulneran las fronteras entre privacidad, uso de datos personales y propiedad de los mismos; sin embargo, nos cuestionamos: ¿cuántas veces se ha aplicado en nuestro país y a quiénes se le han aplicado?

Por Decreto Legislativo No. 534 del mes de diciembre del año 2010 se aprueba la Ley de Acceso a la Información Pública, normativa que da vida al Instituto de Accesos a la Información Pública facultándolo a ser el ente rector en la Protección de Datos Personales. Actualmente, el citado Instituto cuenta con una Unidad, cuya competencia es custodiar el cumplimiento de la legislación de protección de datos personales (artículos 31 al 38) y asegurar el respeto de sus principios ante los entes obligados (instituciones gubernamentales y dependencias que reciben fondos públicos). De conformidad con el artículo 31, toda persona, directamente o a través de su representante, tendrá derecho a saber si se están procesando sus datos personales; a conseguir una reproducción inteligible de ella sin demora; a obtener las rectificaciones o supresiones que correspondan cuando los registros sean injustificados o inexactos y a conocer los destinatarios cuando esta información sea transmitida, permitiéndole conocer las razones que motivaron su petición, en los términos de esta ley.

Asimismo, esta normativa faculta el acceso a los datos personales al titular o su representante, regulando las bases de datos e información del sector gubernamental, y a pesar de ello, actualmente el Instituto, participa en la configuración de un anteproyecto de Ley de Protección de Datos Personales Independiente, donde están inmersas otras instancias nacionales como: Presidencia de la República de El Salvador y Registro Nacional de las Personas Naturales y otros sectores.

El veinticuatro de junio de dos mil diecinueve fue presentada ante la Gerencia de Operaciones Legislativas de la Asamblea Legislativa la propuesta de Ley de protección de datos personales y hábeas data. Dicha propuesta de ley tiene como finalidad la protección integral de los datos personales de las personas naturales que se encuentren en posesión de otros particulares, personas jurídicas, o entidades públicas; esto, a través de la determinación de las reglas relativas a su tratamiento y a la garantía de la privacidad y derecho de su titular para disponer libremente de la misma.

Los datos personales, según lo define la propuesta de ley en referencia, son toda información de carácter privado concerniente a una persona identificada o identificable, relativa a su nacionalidad, domicilio, patrimonio, dirección electrónica, número telefónico y cualquier otra información análoga. Asimismo, dicha propuesta de ley define el concepto de «datos sensibles», como aquellos datos personales que afecten la esfera más íntima de su titular y cuya utilización indebida pueda dar origen a la discriminación, a una afectación al derecho al honor, a la intimidad personal y familiar y a la propia imagen de su titular.

Uno de los elementos más importantes que incorpora la ley de protección de datos personales y hábeas data es el consentimiento previo informado como requisito indispensable para el tratamiento de datos sensibles, el cual según lo dispone el artículo 28 de esa propuesta de ley, debe ser libre, informado, específico, expreso e individualizado y además, deberá ser otorgado por su titular, ya sea por un medio físico o electrónico, y el cual deberá ser resguardado por el responsable de la base de datos que dispondrá de la información del particular. Este y otros elementos que incorpora la propuesta de ley en referencia brindan una serie de herramientas para la protección de datos personales y sensibles, que actualmente son inexistentes en el marco legal salvadoreño.

Desde los análisis comparativos de diversas legislaciones, los países latinoamericanos referentes en la materia que marcan la tendencia en una protección efectiva de los datos personales, son Argentina, Brasil, Chile y Uruguay. La realidad es que en la región aún nos falta mucho por trabajar, para lograr un nivel efectivo de control y protección de los datos personales. El Salvador carece de una norma de carácter general que determine la clasificación de los tipos de datos personales y sensibles existentes, los principios generales que rigen su tratamiento, los derechos de sus titulares, y el régimen sancionatorio aplicable por su vulneración. Así mismo, no existe una conciencia en las empresas sobre la importancia de los datos, su protección y debido uso.

En este contexto, la propuesta de ley es de vital importancia para consolidar la configuración legal del derecho a la autodeterminación informativa, desarrollado por la Sala de lo Constitucional, y el cual tiene por objeto preservar la información de las personas que se encuentra contenida en registros públicos o privados, frente a su utilización arbitraria. En una era de completa digitalización y globalización, el uso de los datos personales merece que se le preste especial atención.