A principios del mes de septiembre se dio a conocer la filtración masiva de datos ocurrida en El Salvador, donde los datos personales de 974,428 salvadoreños inscritos en el Instituto Salvadoreño del Seguro Social (ISSS) fueron expuestos por el grupo de hackers Ciberinteligencia SV.
La base de datos divulgada incluye nombres, empleadores, salarios, números de identificación y direcciones de los afiliados al ISSS, lo que plantea serias preocupaciones sobre la privacidad y la seguridad de los datos. Hasta el momento la Institución no ha emitido declaraciones ni medidas implementadas a raíz de la filtración masiva, ni el Gobierno de turno.
Esta situación resalta la imperiosa necesidad de implementar medidas de protección de datos personales en el país. Esta filtración masiva de datos masiva, además de filtrar información sensible, coloca en evidencia la falta de legislación adecuada para la protección de datos personales en el país así como el nivel de ciberseguridad en el mismo.
El Salvador cuenta con una política de Ciberseguridad la cual se encuentra propuesta en la Agenda Digital El Salvador 2020-2030, aprobada en 2022. Esta política contiene la normativa y lineamientos para la prevención, detección y remediación de posibles vulnerabilidades a las que se puedan exponer los diferentes recursos de información del país, y proteger la infraestructura crítica nacional, sin embargo se desconoce su nivel de adopción así como sus resultados.
El Salvador actualmente no cuenta con una ley de protección de datos personales que regule el tratamiento de datos personales de las personas. En el 2021 fue aprobada la ley de protección de datos personales por la Asamblea legislativa sin embargo, ese mismo año el presidente Nayib Bukele vetó la norma por considerarla anti técnica y de razones de inconveniencia para su aplicación. Aunque era inicialmente una de las propuestas contenida en la Agenda Digital 2020-2030.
Esta ausencia de una normativa sobre protección de datos personales coloca a las personas vulnerables ante situaciones peligrosas como la filtración. La falta de normativas sobre ciberseguridad y protección de datos personales dificulta la protección de derechos fundamentales básicos e impide a las víctimas de filtraciones buscar justicia o reparación en el país.
Por lo cual, es necesario que el gobierno de turno y las instituciones encargadas prioricen la creación de políticas públicas y leyes que protejan la privacidad de las personas ante este tipo de ataques. Es necesario contar con un marco legal que regule el uso de datos personales y establezca medidas de ciberseguridad para prevenir brechas similares.