Recientemente la Protección de datos personales se ha puesto de moda en El Salvador,  producto de la entrada en vigencia de la nueva normativa en la materia a partir de noviembre de 2024; pero más que una moda pasajera, se ha convertido en una verdadera preocupación para muchas entidades, inclusive las mismas instituciones del Estado. Este cambio responde a una transformación del estatus quo por parte de proveedores de servicios, ahora denominados Responsables del Tratamiento de datos,  transitandos de un uso indiscriminado y sin control hacia prácticas que transparentan y otorgan garantías a los ciudadanos para proteger sus datos personales, con consecuencias en caso de incumplimiento.

En esta transición,  hay que entender las claves para adaptarse y evitar errores que se comenten comunmente al momento de abordar una implementación. Acá que compartimos algunas claves a tomar en cuenta:

1. Reconocimiento Institucional. Las organizaciones deben, desde su máximo órgano de Administración, reconocer institucionalmente la importancia de cuidar los datos personales de cualquier persona natural en el tratamiento de su información, con el objetivo de  trasmitir a las organizaciones el compromiso que “la privacidad es primero”, y dicho reconocimiento ser comunicado y publicado.

2. Evitar el Copy and Paste en Protección de datos. Recurrir a copiar y adaptar avisos de privacidad o politicas de otras organizaciones, bajo la creencia de que con ello se, cumplirá con la ley, puede llevar a su organización errar en  aplicar medidas y garantías no adaptadas a sus realidades internas, que podrían representar costos inncesarios. Es importante realizarun levantamiento de los diferentes tratamientos efectuados para adaptar las garantías idóneas en función de sus grupos de interés y el nivel de riesgo que su organización representa.

3. Clasificar los datos y priorizar el riesgo de tratamientos de datos. El enfoque de riesgo es una premisa aplicable en el compliance de protección de datos. Identificar los datos sobre los que da tratamiento es vital para establecer las principales medidas a tomar. Si su organización realiza, marketing directo masivo, si recibe datos personales de terceros, si recoge o trata datos sensibles como datos de salud mental o física, filiación sindical, convicciones religiosa o biométricos, o datos financieros comprometidos como números de tarjetas de crédito, debe priorizar la implementación. 

4. Identificar su correcta base de licitud para el tratamiento. En el nuevo contexto y nivel de protección de datos normado, el consentimiento no es la única base de licitud para el tratamiento de los datos; la normativa, siguiendo estándares internacionales como GDPR, permite a los responsables de tratamiento evitar el engorroso proceso de recoger, justificar y conservar consentimiento para todo, a través de otras bases legítimas de utilización de datos.

5. Ciclo de vida de los datos. Un correcto modelo de compliance, le ayudará controlar el flujo de entrada y salida de los datos bajosu responsabilidad.Estas acciones se convierten en garantías para evitar accesos no autorizados de datos o usos indebidos dela información, derivados de la falta de medidas de control y seguimiento.

6. Transparencia a través del aviso de privacidad. Es prioritario utilizar la herramienta del aviso de privacidad para transparentar las normas de conducta de su organización el en tratamiento de datos, lo que generará confianza de sus contrapartes, clientes, proveedores y empleados en el correcto tratamiento datos.

7. Implementar el acceso a los derechos de los ciudadanos. La mejor garantía de los titulares de los datos, es tener a disposición una vía para controlar sus datos, la que se materializa a través de ejercicio de sus derechos concedidos en la ley. Los derechos ARCO-POL,representan esas garantías de control de la “autodeterminación informativa”.

8. Principios, la columna vertebral.  Los principios determinados en la Ley, son las garantías de cómo se van a realizar los tratamientos en función de proteger a los titulares. Son los principios los que nos indican como debemos tratar los datos, y serán la garantía de protección, y no el consentimiento como tal. Cumplir con alguna base de licitud como principio (no solo el consentimiento), dará la tranquilidad al responsable del tratamiento del cumplimiento.

9. Delegado de Protección de datos. Designar un gestor interno del cumplimiento es otra garantía frente a los titulares de los datos, con la delegación institucional suficiente dará soporte y atención permanente a su modelo de gestión de datos.

10. Integración organizacional y Asesoría. Para buscar la mejor aplicación del modelo debe involucrar a todas las áreas de su organización, ya que son ellos los que conocen qué, cómo, cuando y donde tratan datos personales. Es común pensar y de forma errónea que, la protección de datos se limita a seguridad de la información y ciberseguridad, la protección debe integrarse a todos los procesos sean éstos manuales o automatizados. La sola existencia de una política interna no resolverá el problema o lo hará cumplir, debe asesorarse con un equipo que lo guíe correctamente en la implementación, busque el asesor idóneo, con conocimientos y experiencia, que sepa conocer y entender sus necesidades. 

---

Autor: MSc. Carlos Zablah

Socio Senior, Signaturelex El Salvador