CUMPLIMIENTO, RIESGOS Y OPORTUNIDADES PARA LAS EMPRESAS SALVADOREÑAS ANTE LA LEY PARA LA PROTECCIÓN DE DATOS PERSONALES

Publicado el 02 de junio del 2025

Foto de Héctor Josué Deras Argueta



Héctor Josué Deras Argueta - Asociado Senior

La Ley de Datos Personales fue publicada en el Diario Oficial el 16 de mayo de 2024, entrando en vigencia un año después de su publicación, es decir, el 16 de mayo de este 2025.

El objetivo de ésta es regular el tratamiento de los datos personales en posesión de terceras personas, naturales o jurídicas, públicas o privadas, garantizando así el derecho a la autodeterminación informativa, la privacidad y la protección de datos personales de los ciudadanos.

A continuación, se presenta un análisis estructurado de las principales implicaciones legales:

1. Cumplimiento normativo obligatorio
Todos los sujetos obligados (personas jurídicas, instituciones públicas, ONGs, empresas, bancos, universidades, hospitales, etc.) que lleven a cabo actividades relativas o conexas al tratamiento de datos personales deberán:

• Crear o ajustar sus políticas internas de protección de datos.
• Documentar procesos relacionados con la recolección, tratamiento, almacenamiento, transferencia y eliminación de datos.
• Obtener consentimiento expreso para el tratamiento de datos, especialmente si son sensibles.

2. Creación de roles y responsabilidades internas
La ley regula la designación de un encargado de protección de datos personales (Data Protection Officer o DPO), especialmente en organizaciones grandes o con alto volumen de datos; quien se encargará de gestionar y tramitar las solicitudes efectuadas por cada titular de los derechos.

3. Fiscalización y supervisión por la APDP
La ley crea la Agencia de Protección de Datos Personales, que tendrá a su cargo la aplicación y supervisión de la presente ley. En el ejercicio de sus funciones la APDP podrá:

• Realizar auditorías y verificaciones.
• Requerir documentación.
• Imponer sanciones y ordenar la suspensión del tratamiento de datos.

4. Derechos ARCO y mecanismos para atenderlos
Se definen los Derechos ARCO-POL. Estos, son aquellos derechos personalísimos e independientes de Acceso, Rectificación, Cancelación, Oposición, Portabilidad, Olvido y Limitación, por medio de los cuales el titular de los datos personales puede ejercer el control sobre el tratamiento de éstos. En virtud de ello, todo sujeto obligado deberá permitir que los ciudadanos ejerzan los siguientes derechos: acceder a sus datos, rectificarlos si son incorrectos, cancelarlos cuando ya no sean necesarios u oponerse a su uso.

5. Transferencias internacionales
No se podrán transferir datos personales a países que no tengan una legislación de protección de datos adecuada, salvo excepciones.

6. Sanciones
La ley impone multas que podrían ir desde los $1,000 hasta más de $100,000, dependiendo de la gravedad, reincidencia y daño causado.

• Quienes no adopten estas medidas estarán en riesgo de sanciones, incluso si el tratamiento de datos no haya causado daño tangible.
• Las empresas deberán crear nuevas funciones o capacitar personal, lo que representa un costo operativo inicial y continuo.
• Se requerirá crear canales formales, seguros y trazables para que los usuarios puedan ejercer estos derechos.
• Los sujetos obligados que usen proveedores en el extranjero (por ejemplo, servicios en la nube) deberán revisar contratos y cláusulas para ajustarse a la ley.