Privacidad, datos personales en El Salvador

José Osorio

Investigador Asociado Centroamérica

Hace unos años el globo se enfrentó a una indefensión legal entre las compañías de alta tecnológicas y usuarios por la falta de normas claras en la utilización de datos personales, hasta que regiones como la Unión Europea establecieron normativas destinadas a otorgar más control a los ciudadanos de su información personal por los efectos irreversibles que las empresas realizaban con su uso y tratamiento, llevando a grandes compañías como Google realizar cambios significativos en su política de privacidad y protección de datos personales, por considerar que sus prácticas no eran las más adecuadas y alteraban los derechos de sus ciudadanos.

A pesar de todo ello, las empresas tecnológicas y entidades gubernamentales no dejan de estar inmersas al tráfico de masas y de datos, por las bondades que las mismas generan, adquiriendo derechos y una serie de obligaciones en sus técnicas automatizadas de recolección, uso y distribución. Convirtiéndose en una oportunidad para que las empresas tecnológicas, entidades gubernamentales y titulares de la información marcaran las fronteras entre privacidad, uso de datos personales y propiedad de los mismos, una línea pocas veces aplicada en nuestras sociedad y legislación.

Muchos son los países de la región Centroamericana que todavía se encuentran en un proceso de configuración de una ley marco en Datos Personales; no obstante, nuestro El Salvador no se queda atrás y se enfrenta a dos escenarios: el primero referido al crecimiento de una sociedad cada día más digitalizada que utiliza como medios de vida la tecnología e internet, y múltiples plataformas tecnologías que almacenan datos personales; y un segundo escenario referido a la forma como nos estamos relacionando a nuestro entorno que consecuentemente, nos hacen reflexionar sobre la importancia de calibrar derechos como igualdad, libertad de expresión e intimidad personal, y en general a respetar nuestros derechos fundamentales. por tales razones, el legislador y múltiples actores han incidido en nuestra historia produciendo normativas que hacen valer el derecho al honor, a la intimidad personal y familiar y a la propia imagen establecidos en el art. 2 de la Constitución, determinando cuándo su uso es ilegal o indebido, inclusive cuando estos se encuentren vulnerados en servicios como la nube o servicios de codificación tecnológica fuera de nuestro territorio; por dichas circunstancias siempre es bueno hacer un inventario del catálogo de normativas existentes.

En ese sentido, El Salvador cuenta con una serie de normas que lo colocan en el mapa de países de la región que fomentan la regulación de masas en el uso de medios tecnológico y en aquellas actividades ejercidas por el gobierno electrónico; entre las que se destacan la Ley de Acceso a la Información Pública, la Ley de Firma Electrónica y la Ley Especial contra los Delitos Informáticos y Conexos, que hacen entender las fronteras entre privacidad, uso de datos personales y propiedad de los mismos. Por consiguiente, vale la pena realizar las siguientes interrogantes: ¿Son aplicables? ¿existe alguna vulnerabilidad de nuestros datos personales en los llamados medios electrónicos o redes sociales tradicionales como: Facebook, Instagram y WhatsApp?; ¿estas normativas son capaces de sancionar las competencias de una empresa tecnológica como ebay, Amazon y Alibaba? Empecemos analizando cada una de ellas:

  1. Por Decreto Legislativo N° 133 del mes de octubre de 2015 se aprueba la Ley de Firma Electrónica, normativa que pretende dinamizar las bondades del comercio electrónico, en la compra y venta de productos o servicios a través de medios electrónicos, y el gobierno electrónico, en el uso de las tecnologías de la información en los procesos internos del gobierno, así como en la prestación de servicios del Estado a los ciudadanos en las diversas dependencias con las que cuenta la administración pública, regulando los servicios de firma electrónica simple y firma electrónica certificada y proveedores. Es decir: un Proveedor de Servicios de Certificación considerado una Persona jurídica (empresa) autorizada por la autoridad competente (Ministerio de Economía), dedicada a emitir certificados electrónicos y demás actividades previstas en la Ley y un Proveedor de Servicios de Almacenamiento de Documentos Electrónicos: Persona jurídica (empresas) autorizada por la autoridad competente (Ministerio de Economía) que, por la naturaleza de su negocio, brinda servicios de almacenamiento de documentos electrónicos (ambas consideradas empresas tecnológicas). Para tales efectos, las empresas tecnológicas deberán cumplir con las reglas siguientes:

Art. 5 del Decreto Legislativo N°133.- “El tratamiento de los datos personales que precisen los prestadores de servicios de certificación y los prestadores de servicio de almacenamiento de documentos electrónicos se sujetarán a lo siguiente: 1) tendrán la prohibición de ceder los datos personales de los usuarios a terceros; 2) los titulares podrán solicitar la rectificación o cancelación de los datos personales, cuando éstos fueren inexactos o incompletos; y, 3) por lo tanto, las empresas tendrán la obligación de mantener la confidencialidad de los mismos y al deber de guardarlos. Obligaciones que en los términos jurídicos subsistirán aún después de finalizar las relaciones con el responsable del registro de datos y las empresas; observando, la falta de un componente que determine hasta donde pueden llegar la transferencia de datos personales, esto no imposibilita que estos proveedores estén sujetos a sanciones, multas y obligaciones a pesar de que sus servicios se encuentren en la nube o con alguna codificación electrónica fuera del territorio nacional”.

La ley contempla la creación de la Unidad de Firma Electrónica, que tendrá la responsabilidad de acreditar, controlar y vigilar a los proveedores de este servicio. Esta normativa establece la creación de un Reglamento y un Comité Técnico Consultivo, para asesorar al Ministerio de Economía en el desenvolvimiento de las mismas.

  1. Por Decreto Nº 260 del mes de febrero de 2016 se aprueba La Ley Especial contra Delitos Informático y Conexos, mediante la cual establece los parámetros en la persecución del delito cuando la “Utilización de Datos Personales” vulnera las libertades del individuo, y su base legal la determina el Art. 24 del citado Decreto y que dice así: “El que sin autorización utilice datos personales a través del uso de las Tecnologías de la Información y la Comunicación, violando sistemas de confidencialidad y seguridad de datos, insertando o modificando los datos en perjuicio de un tercero, será sancionado con prisión de cuatro a seis años”. Seguido con: “La sanción aumentará hasta una tercera parte del máximo de la pena prevista en el inciso anterior a quien proporcione o revele a otro, información registrada en un archivo o en banco de datos personales cuyo secreto estuviere obligado a preservar” y cuyo ámbito de aplicación está en el Art. 2.- La presente Ley se aplicará a los hechos punibles cometidos total o parcialmente en el territorio nacional o en los lugares sometidos a su jurisdicción. También se aplicará a cualquier persona, natural o jurídica, nacional o extranjera, por delitos que afecten bienes jurídicos del Estado, de sus habitantes o protegidos por Pactos o Tratados Internacionales ratificados por El Salvador.

De igual forma, se aplicará la presente Ley si la ejecución del hecho, se inició en territorio extranjero y se consumó en territorio nacional o si se hubieren realizado, utilizando Tecnologías de la Información y la Comunicación instaladas en el territorio nacional y el responsable no ha sido juzgado por el mismo hecho por tribunales extranjeros o ha evadido el juzgamiento o la condena; en el entendimiento que esta coerción es aplicable tanto a actores públicos y privados cuando sean vulnerados contraseñas, protocolos de seguridad informática, datos sensibles y bancos de datos de naturaleza pública y privada, como también aplicada en los casos que los hechos hayan sido realizados por el responsable del tratamiento para fines comerciales.

A lo anterior, hay que sumar otras normativas sujetas a esta sanción como: la Ley de Regulación de Servicios de Información sobre el Historial de Crédito de las Personas, donde existe en nuestro medio una cantidad de información y recursos sobre la mesa; la Ley de Protección al Consumidor previstas en los artículos 18 y 21; y la Ley General de Telecomunicaciones en su artículo 29 literal b).

Por lo anterior, podemos determinar la existencia de una regulación cuando se vulneran las fronteras entre privacidad, uso de datos personales y propiedad de los mismos; sin embargo, nos cuestionamos: ¿cuántas veces se ha aplicado en nuestro país y a quiénes se le han aplicado?

  1. Por Decreto Legislativo No. 534 del mes de diciembre del año 2010 se aprueba la Ley de Acceso a la Información Pública, normativa que da vida al Instituto de Accesos a la Información Pública facultándolo a ser el ente rector en la Protección de Datos Personales. Actualmente, el citado Instituto cuenta con una Unidad, cuya competencia es custodiar el cumplimiento de la legislación de protección de datos personales (artículos 31 al 38) y asegurar el respeto de sus principios ante los entes obligados (instituciones gubernamentales y dependencias que reciben fondos públicos). De conformidad con el artículo 31, toda persona, directamente o a través de su representante, tendrá derecho a saber si se están procesando sus datos personales; a conseguir una reproducción inteligible de ella sin demora; a obtener las rectificaciones o supresiones que correspondan cuando los registros sean injustificados o inexactos y a conocer los destinatarios cuando esta información sea transmitida, permitiéndole conocer las razones que motivaron su petición, en los términos de esta ley.

Asimismo, esta normativa faculta el acceso a los datos personales al titular o su representante, regulando las bases de datos e información del sector gubernamental, y a pesar de ello, actualmente el Instituto, participa en la configuración de un anteproyecto de Ley de Protección de Datos Personales Independiente, donde están inmersas otras instancias nacionales como: Presidencia de la República de El Salvador y Registro Nacional de las Personas Naturales y otros sectores.

En virtud de las consideraciones expuestas, podemos concluir que al no contar con un marco legal robusto y especializado sobre la materia, las instituciones que están participando en este anteproyecto tienen la oportunidad de elevar el diálogo sobre su importancia y retos que enfrenta el país en un mundo globalizado; con miras a respetar al individuo en el cumpliendo de los principios establecidos en nuestra Constitución, la Convención Americana sobre Derechos Humanos, el Pacto Internacional de Derechos Civiles y Políticos, la Declaración Universal sobre Derechos Humanos y la Declaración de Principios sobre Libertad de Expresión de la Comisión Interamericana de Derechos Humanos, alentando simultáneamente a las empresas e individuos a obtener lo máximos beneficios del mercado digital, el crecimiento económico, la innovación y la colaboración gubernamental, marcando las frontera entre privacidad, uso de datos personales y propiedad de los mismos. Razón por la cual, mientras tanto, nosotros como dueños de la información personal debemos ser más cautelosos en la forma cómo estamos compartiendo nuestros datos personales a las diferentes compañías de Internet.