El derecho a la protección de datos como futuro normativo en El Salvador

ASOCIADO DE GARCÍA & BODÁN

Para todo sistema jurídico moderno, es necesario contar con una ley de Protección de Datos Personales, puesto que de acuerdo con la legislación propia de cada ordenamiento jurídico se contempla el derecho fundamental a la intimidad y privacidad. Desde esa perspectiva el Estado tiene la obligación de proteger la privacidad e intimidad personal de los administrados y la forma de cómo se protege es a través de una ley de Protección de Datos Personales.

La Constitución de El Salvador plasma en su artículo 2, inciso segundo, el derecho fundamental a la intimidad, personal y familiar, base constitucional para que a través de reiterada Jurisprudencia (Inc. 36–2004; Inc. 58–2007; Amparo 118–2002) la Sala de lo Constitucional establezca que de ese artículo se desprende el Derecho a la Autodeterminación Informativa, el cual no es más, que por un lado, ser informado plenamente sobre los aspectos relativos al tratamiento informático en el momento de la recolección de sus datos; y, por otro, conocer la existencia de ficheros de datos de carácter personal, su finalidad y la identidad del responsable del fichero, para lo cual el titular del derecho puede recabar la información oportuna de la base de datos que corresponda, y si los datos serán tratados por un tercero conocer la finalidad del tratamiento de los datos y el tiempo que este tercero los tendrá habilitados para consultarlos.

Habiendo establecido el Derecho Fundamental a la Autodeterminación Informativa, la pregunta que surge es ¿cuál es la relación con la Protección de Datos Personales? y la respuesta es muy sencilla, el Derecho a la Autodeterminación Informativa se protege con el vehículo jurídico de una ley de Protección de Datos Personales, por medio de la cual se goza una tutela efectiva administrativa y judicial del ya mencionado derecho fundamental.

En ese sentido, lo que nos ocuparía es describir las nociones básicas que debería de contener una buena ley de Protección de Datos Personales, y para ello es insoslayable tomar como referencia el mejor parámetro técnico que existe en el mundo jurídico, puesto que es una rama del derecho que se viene desarrollando desde 1995 en Europa; este parámetro no es otro que el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, comúnmente denominado Reglamento Europeo de Protección de Datos o RGPD y el convenio 108+ del Consejo de Europa para la Protección de Datos Personales.

Esta situación no se trata de copiar y pegar dicho cuerpo normativo, sino más bien se trata de crear una normativa basada en parámetros de avanzada y adecuarlos a la realidad para poder tener una ley aplicable y que vaya acorde a los avances tecnológicos presentes y futuros del país.

Dicho lo anterior, podemos decir que lo primero que debe de contener es un buen listado de definiciones, en donde se expongan de manera clara y concisa las nociones básicas y fundamentales de las cuales versará la ley, por ejemplo, es evidente que se debe de definir lo que se entenderá por Dato Personal, responsable del tratamiento, encargado del tratamiento y otras cuestiones más técnicas como brecha de seguridad, tratamiento transfronterizo, establecimiento principal, entre otros. Como nexo entre las definiciones, principios y derechos, de los cuales hablaremos a continuación, es muy importante que se establezcan bases de legitimación para el tratamiento, ya que no podemos pensar que el

consentimiento es el único fundamento de legitimación para ello, puesto que existen muchas más.1

Luego de esto, habría que definir los principios2 mundialmente conocidos y actualizados relativos al tratamiento de datos personales, sin dejar afuera el principio más importante, el Principio de Responsabilidad Proactiva. En ese sentido, no tendría sentido una ley de Protección de Datos si no se desarrollan los derechos que todos tenemos sobre nuestros datos, los cuales se conocen como ARSOPOL3 y al desarrollar estos derechos podríamos tener una tutela judicial efectiva de estos. Como último punto en relación a los principios y derechos, hay que mencionar el deber y derecho desde la perspectiva del interesado de informar todos los aspectos del tratamiento de datos a la persona de la cual se recaban. También figuras relevantes que se deben de tomar en cuenta, como lo es, el tener una Autoridad técnica independiente que vele por el cumplimiento de la normativa con las facultades sancionadoras que el derecho administrativo le confiere a toda contraloría pública; otra figura muy importante en ese sentido, es la del Delegado de Protección de Datos, quien es sin duda una figura moderna, que ayuda a tener un contralor interno en cada uno de las entidades públicas o privadas que traten datos personales, puesto que es el nexo entre la Autoridad de Control y dicha entidad.

Finalmente, no se puede dejar de mencionar por el grado de especialidad, tres procesos importantes que brindan seguridad al tratamiento de los datos, los cuales son: el análisis de riesgos, la evaluación de impacto y las transferencias internacionales a terceros países, puesto que suponen actualizaciones legislativas en materia de datos y brindan herramientas técnicas para el responsable al momento de tratar datos personales.

Es así como, contemplando estas cuestiones básicas en una ley de protección de datos, se adecuaría a los avances tecnológicos mundiales, que nuestro país va siguiendo, y podríamos tener una ley en la que vislumbraríamos una verdadera actualización legislativa.

1 Por ejemplo, la ejecución de un contrato, los intereses vitales del interesado, el cumplimiento de una obligación legal, etc. 2 Los principios se deben de entender como obligaciones que debe de cumplir el

Responsable de Tratamiento al momento previo, durante y después de tratar los datos personales. 3 Acceso; Rectificación; Supresión; Olvido, Portabilidad; Oposición; Limitación del tratamiento; y No ser objeto de decisiones individuales automatizadas incluida la elaboración de perfiles.