Pese a una serie de cuestionamientos en su contra, las nuevas Ley para la Protección de Datos Personales, que aplicará a toda la población, y la Ley de Ciberseguridad y Seguridad de la Información, que aplicará a las instituciones del Estado, están vigentes en El Salvador.
Al menos seis organizaciones de la sociedad civil habían pedido al presidente Nayib Bukele que observara o vetara los decretos a fin de dar paso a una discusión más amplia para delimitar las funciones de la nueva Agencia de Ciberseguridad Estatal en El Salvador.
La creación de dicha Agencia de Ciberseguridad está contemplada en las nuevas legislaciones, y estará bajo el control del Órgano Ejecutivo.
Tendrá la potestad de decidir cuándo un dato es inexacto, desactualizado o incompleto, “abriendo la puerta a la arbitrariedad y creando un ente con capacidad de decidir qué debe considerarse verdad y qué no”, señalan las organizaciones en un comunicado.
El pronunciamiento se publicó el fin de semana en redes sociales y es firmado por Acción Ciudadana, la Asociación de Periodistas de El Salvador (APES), Fundación Cristosal, TRACODA, el Instituto Centroamericano de Estudios Fiscales (ICEFI) y la Fundación Nacional para el Desarrollo (FUNDE), entidades que pidieron a Bukele que “observe o vete los decretos aprobados por la Asamblea Legislativa, por ser atentatorios de los derechos fundamentales a la libertad de expresión y de prensa”.
Estos grupos señalan que las nuevas leyes establecen la obligación de eliminar datos personales y consideran que esto podría prestarse para que “cualquier funcionario o actor con poder político o económico pueda exigir a una organización o a un medio de comunicación borrar los nombres y apellidos de personas señaladas por cometer actos de corrupción”.
Los sujetos obligados de la ley de datos personales será toda persona natural y jurídica, tanto pública como privada, es decir, a toda la población. Estarán obligados a nombrar delegados de protección de datos personales.
Estos sujetos obligados tendrán seis meses –hasta mayo de 2025– a partir de la vigencia para adoptar medidas que establezca la nueva Agencia de Ciberseguridad del Estado (ACE) para proteger datos personales y para que los titulares de los datos personales ejerzan sus derechos; y la ACE dictará sus políticas de protección de datos personales en un máximo de tres meses, es decir, hasta el 23 de febrero de 2025.
En cambio, la ley de ciberseguridad, aunque siempre será regida por la ACE, aplicará a todos los servidores de las instituciones públicas.
La nueva Agencia de Ciberseguridad del Estado (ACE), que tendrá 90 días –hasta el 21 de febrero de 2025– para elaborar normativas, protocolos, lineamientos y otros. Será el presidente de la República quien nombre al director de la ACE, quien a su vez nombrará a un director de Protección de Datos Personales, que podrá sancionar las infracciones a esta normativa.
Las nuevas leyes entraron en vigor el pasado 23 de noviembre luego de que fueran publicadas ocho días antes en el Diario Oficial de El Salvador.
