El Salvador cuenta con una política de Ciberseguridad la cual se encuentra propuesta en la Agenda Digital El Salvador 2020-2030, aprobada desde el 2022. La política de Ciberseguridad establece los lineamientos para la prevención, detección y subsanamiento de posibles vulnerabilidades a las que se puedan exponer los diferentes recursos de información del país, y proteger la infraestructura crítica nacional, poco se conoce del nivel de adopción de la política y sus resultados.
Sobre la regulación de protección de datos personales, El Salvador no ha contado con ley específica sobre protección de datos personales, la jurisprudencia de la Sala Constitucional ha emitido sentencias N.° 934-2007 y N.° 142-2012 las cuales han desarrollado el derecho a la autodeterminación informativa. Si bien han suplido algunas carencias, las mismas siguen siendo insuficientes.
Durante el año 2021, la Asamblea Legislativa de El Salvador aprobó una Ley de Protección de Datos Personales, tenía por objetivo la protección integral de los datos personales buscando regular su tratamiento legítimo e informado, asegurando la privacidad y el derecho a la autodeterminación informativa de las personas naturales. Aplicable para datos almacenados por particulares como por entidades públicas o privadas, independientemente de la forma en que se resguarden.
Esta ley fue luego vetada por el Presidente del El Salvador, Nayib Bukele. El veto presidencial fue justificado con el argumento de que la ley no estaba lo suficientemente alineada con los estándares internacionales y podría interferir con la implementación de políticas de seguridad pública.
Desde entonces, El Salvador no ha contado con una ley de protección de datos personales ni una ley sobre ciberseguridad, lo cual lo ha hecho vulnerable a ataques. El más reciente ataque que sufrió el país fue en septiembre del año en curso por un grupo de hackers, exponiendo de forma masiva datos personales de afiliados al Instituto Salvadoreño de Seguridad Social (ISS).
La ausencia de una legislación adecuada sobre protección de datos personales pone a las personas en riesgo de filtración de información sensible y revela la falta de acción del Estado al no implementar medidas claras frente a los ataques. La carencia de normativas específicas en materia de ciberseguridad y protección de datos dificulta la garantía de derechos fundamentales y limita el acceso a la justicia y reparación para las víctimas de filtraciones en el país.
Ante esta ausencia, la Asamblea Nacional de la República de El Salvador, aprobó dos leyes el 12 de noviembre del 2024: Ley de Ciberseguridad y Seguridad de la Información y la Ley de Protección de Datos Personales de El Salvador. Sus textos finales aún no se encuentran públicos.
La Ley de Ciberseguridad y Seguridad de la Información tiene por objeto establecer los principios, el marco legal, la institucionalidad, los lineamientos, así como las políticas de protección que permitirán estructurar, regular, auditar y fiscalizar las medidas de ciberseguridad y seguridad de la información en poder de las instituciones públicas.
La Agencia de Ciberseguridad del Estado (ACE) será el ente rector que elaborará la Política de Ciberseguridad de la Información de la Nación, que contendrá los lineamientos, planes y programas de acción que se aplicarán para su cumplimiento.A partir de esta ley, también se creará un registro nacional de amenazas e incidentes en la materia.
La ley de protección de datos personales tiene como propósito establecer la regulación para la protección de los datos personales, determinando los requisitos esenciales para el uso correcto de los mismos.
Además, según lo expuesto por las autoridades del país, esta ley contribuirá al control mediante el reconocimiento de los derechos vinculados a la protección de la información personal, alineará a El Salvador con estándares internacionales, promoverá la inversión extranjera y garantizará a los ciudadanos el acceso a sus datos personales, permitiéndoles solicitar su corrección o eliminación.
Lo particular de ambas leyes es la creación de la Agencia de Ciberseguridad del Estado, la cual será la entidad rectora de ambas normativas, con atribuciones especiales para la protección de datos personales y la ciberseguridad de El Salvador.
La reciente aprobación de la Ley de Ciberseguridad y Seguridad de la Información y la Ley de Protección de Datos Personales constituye un avance significativo para El Salvador en términos de protección de datos y ciberseguridad. Sin embargo, es necesario contar con una efectiva implementación de ambas leyes y que las mismas estén alineadas a los estándares internacionales, para garantizar la protección efectiva de los datos personales y la ciberseguridad del país.
Costa Rica, a través de su Asamblea Nacional hasta este año aprobó finalmente su Ley sobre Acceso a la Información Pública, era el único país de la región de Centroamérica que no contaba con una normativa específica en la materia.
Por ejemplo, Guatemala cuenta con la Ley de Acceso a la Información Pública desde el año 2008, El Salvador cuenta con su Ley de Acceso a la Información Pública desde el año 2011, Honduras posee la Ley de Transparencia y Acceso a la Información desde el año 2006, Nicaragua desde el año 2007 con su Ley de Acceso a la Información Pública y Panamá desde el año 2002 con su Ley que dicta normas para la transparencia en la gestión pública, establece la acción de habeas data y dicta otras disposiciones.
Costa Rica durante el 2022, la Asamblea Nacional aprobó en segundo debate la ‘’Ley General de Acceso a la Información Pública’’ el 26 de abril de 2022. Este proyecto de ley había sido presentado en el año 2018 y aprobado antes del cierre de la gestión de la Asamblea Legislativa.
La presente ley tiene por objeto que el Estado garantice el cumplimiento efectivo del derecho humano de acceso a la información pública, de forma proactiva, oportuna, oficiosa, completa y accesible, garantizando la transparencia administrativa en el ejercicio de la función pública, fortaleciendo la rendición de cuentas por parte de las autoridades y su debida publicidad en la función pública. Los sujetos de derecho privado que detentan información de interés público están bajo lo establecido en esta ley.
- Principio de transparencia
- Principio de facilitación
- Principio de rendición de cuentas
- Principio de igualdad y no discriminación
- Principio de la oportunidad
- Principio del control
- Principio de la responsabilidad
- Principio de gratuidad
- Principio de la libertad de información
- Principio de máxima publicidad
- Principio de disponibilidad
- Principio de calidad de la información
- Principio de uso de tecnologías de información
- Principio de coordinación institucional
- Principio de accesibilidad
- Principio de inclusión
- Principio pro-persona
