La Agencia de Ciberseguridad del Estado (ACE) de El Salvador publicó las Políticas de Actuación y Manejo de Datos Personales, que desarrollan la Ley para la Protección de Datos Personales y establecen un marco obligatorio para todas las entidades públicas y privadas que recolecten, almacenen, procesen o transfieran datos personales en el país, incluyendo operaciones internacionales vinculadas a ciudadanos salvadoreños.
Principales obligaciones para empresas y organizaciones
Las políticas, alineadas con estándares internacionales como la ISO 27001, incluyen los siguientes deberes:
- Nombrar un Delegado de Protección de Datos Personales (DPDP) responsable del cumplimiento normativo.
- Establecer el tratamiento de Datos Personales con una base de legitimación.
- Elaborar políticas internas de protección de datos y mantener un registro detallado de las actividades de tratamiento.
- Capacitar al personal en el manejo seguro de la información.
- Realizar evaluaciones de impacto en la privacidad (EIPD) para identificar y mitigar riesgos.
- Implementar medidas técnicas obligatorias, como control de accesos, autenticación en dos pasos, cifrado de datos, copias de seguridad y pruebas de penetración.
- Aplicar medidas físicas de seguridad, como acceso restringido a instalaciones, almacenamiento seguro de documentos y eliminación certificada de archivos.
- Notificar cualquier brecha de seguridad en un plazo máximo de 72 horas a la ACE, la Fiscalía General de la República y a los titulares afectados.
Sanciones por incumplimiento
Las infracciones se clasifican en leves, graves y muy graves, con sanciones que van desde advertencias hasta multas económicas significativas (Arts. 56 y 57 LPDP). El incumplimiento puede exponer a las empresas no solo a sanciones económicas, sino también a un fuerte impacto reputacional.
Supervisión y vigencia
Las empresas deberán actualizar sus procedimientos internos para alinearse a estas políticas, las cuales incluyen auditorías anuales de cumplimiento y la promoción de certificaciones internacionales en privacidad y seguridad de datos. Estas disposiciones ya están en vigor y se actualizarán periódicamente para adaptarse a nuevas regulaciones y amenazas digitales.
