El Salvador cuenta con una política de Ciberseguridad la cual se encuentra propuesta en la Agenda Digital El Salvador 2020-2030, aprobada desde el 2022. La política de ciberseguridad establece los lineamientos para la prevención, detección y subsanamiento de posibles vulnerabilidades a las que se puedan exponer los diferentes recursos de información del país, y proteger la infraestructura crítica nacional, poco se conoce del nivel de adopción de la política y sus resultados.
Sobre la regulación de protección de datos personales, El Salvador no ha contado con ley específica sobre protección de datos personales, la jurisprudencia de la Sala Constitucional ha emitido sentencias N.° 934-2007 y N.° 142-2012 las cuales han desarrollado el derecho a la autodeterminación informativa. Si bien han suplido algunas carencias, las mismas siguen siendo insuficientes.
Durante el año 2021, la Asamblea Legislativa de El Salvador aprobó una Ley de Protección de Datos Personales, tenía por objetivo la protección integral de los datos personales buscando regular su tratamiento legítimo e informado, asegurando la privacidad y el derecho a la autodeterminación informativa de las personas naturales. Aplicable para datos almacenados por particulares como por entidades públicas o privadas, independientemente de la forma en que se resguarden.
Esta ley fue luego vetada por el Presidente Nayib Bukele. El veto presidencial fue justificado con el argumento de que la ley no estaba lo suficientemente alineada con los estándares internacionales y podría interferir con la implementación de políticas de seguridad pública.
Desde entonces, El Salvador no ha contado con una ley de protección de datos personales ni una ley sobre ciberseguridad, lo cual lo ha hecho vulnerable a ataques. El más reciente ataque que sufrió el país fue en septiembre del año en curso por un grupo de hackers, exponiendo de forma masiva datos personales de afiliados al Instituto Salvadoreño de Seguridad Social (ISS).
La ausencia de una legislación adecuada sobre protección de datos personales pone a las personas en riesgo de filtración de información sensible y revela la falta de acción del Estado al no implementar medidas claras frente a los ataques. La carencia de normativas específicas en materia de ciberseguridad y protección de datos dificulta la garantía de derechos fundamentales y limita el acceso a la justicia y reparación para las víctimas de filtraciones en el país.
Ante esta ausencia, la Asamblea Nacional de la República de El Salvador, aprobó dos leyes el 12 de noviembre del año en curso: la Ley de Ciberseguridad y Seguridad de la Información y la Ley de Protección de Datos Personales. Sus textos finales aún no se encuentran públicos.
La Ley de Ciberseguridad y Seguridad de la Información tiene por objeto establecer los principios, el marco legal, la institucionalidad, los lineamientos, así como las políticas de protección que permitirán estructurar, regular, auditar y fiscalizar las medidas de ciberseguridad y seguridad de la información en poder de las instituciones públicas. La Agencia de Ciberseguridad del Estado (ACE) será el ente rector que elaborará la Política de Ciberseguridad de la Información de la Nación, que contendrá los lineamientos, planes y programas de acción que se aplicarán para su cumplimiento.A partir de esta ley, también se creará un registro nacional de amenazas e incidentes en la materia.
La ley de protección de datos personales tiene como propósito establecer la regulación para la protección de los datos personales, determinando los requisitos esenciales para el uso correcto de los mismos. Además, según lo expuesto por las autoridades del país, esta ley contribuirá al control mediante el reconocimiento de los derechos vinculados a la protección de la información personal, alineará a El Salvador con estándares internacionales, promoverá la inversión extranjera y garantizará a los ciudadanos el acceso a sus datos personales, permitiéndoles solicitar su corrección o eliminación.
Lo particular de ambas leyes es la creación de la Agencia de Ciberseguridad del Estado, la cual será la entidad rectora de ambas normativas, con atribuciones especiales para la protección de datos personales y la ciberseguridad en el país.
La reciente aprobación de la Ley de Ciberseguridad y Seguridad de la Información y la Ley de Protección de Datos Personales constituye un avance significativo para El Salvador en términos de protección de datos y ciberseguridad. Sin embargo, es necesario contar con una efectiva implementación de ambas leyes y que las mismas estén alineadas a los estándares internacionales, para garantizar la protección de los datos personales y la ciberseguridad del país.
