El Salvador adopta disposiciones básicas sobre Datos Personales

elspd

Por Mauricio París

Mediante Decreto No. 133 de fecha 1 de octubre de 2015, la Asamblea Legislativa de la República de El Salvador aprobó la Ley de Firma Electrónica –en lo sucesivo me referiré a ella sólo como la Ley- que entrará en vigor en 6 meses, llenando así un vacío normativo importante, ya que era el único país de Centroamérica y uno de los pocos en Latinoamérica que no contaba con regulación específica sobre la materia.

La existencia de regulación sobre firmas electrónicas es uno de los tres elementos básicos en la materia, siendo los otros elementos la existencia de regulaciones sobre específicas sobre comercio electrónico y sobre protección de datos personales, materias en las que El Salvador aún no cuenta con regulaciones específicas.

La Ley se inspira en la Ley Modelo sobre Firmas Electrónicas de la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional (CNUDMI) aprobada en el año 2001 – en lo sucesivo me referiré a ella sólo como Ley Modelo-, pero contiene múltiples modificaciones y adiciones introducidas por el legislador salvadoreño. No obstante, los principios básicos de la Ley Modelo se encuentran contenidos en la norma en cuestión.

Pese a no ser un instrumento específico en materia de protección de datos personales, el legislador salvadoreño incorporó disposiciones relativas a éstos que vienen a complementar las normas sobre datos personales contenidas en la Ley de Acceso a la Información, Decreto No. 534 de 2 de diciembre de 2010.

El artículo 3 de la Ley, dedicado a definiciones. Se establece que dato personal es: “Cualquier información numérica, alfabética, gráfica o fotográfica o de cualquier otro tipo, concerniente a personas naturales identificadas o identificables.” Esta definición nos parece incorrecta. Técnicamente, un dato personal es cualquier dato numérico, alfabético, gráfico, fotográfico, etc. que identifique o haga identificable a una persona. El elemento que implica la protección del dato personal es precisamente el que identifique o  permita identificar a una persona, no simplemente el que le pertenezca. Así por ejemplo, de acuerdo a la legislación salvadoreña, el año de nacimiento o el nombre de pila de una persona son datos personales, aunque estos por sí solos, no identifican ni hacen identificable a una persona. El hecho de que un dato esté contenido en un registro público no lo debería convertir, por sí mismo, en un dato de alcance público, ya que por ejemplo se contienen en este tipo de registros datos relacionados con la salud, como el expediente clínico, o con la condición económica, como en los registros tributarios.

La definición de dato personal contenida en la Ley de Acceso a la Información, pareciera ser un poco más limitada, ya que define dato personal como: “la información privada concerniente a una persona, identificada o identificable, relativa a su nacionalidad, domicilio, patrimonio, dirección electrónica, número telefónico u otra análoga.”

Volviendo a la Ley de Firma Electrónica, el artículo 3 define dato personal de alcance público como: “Datos que no afectan la intimidad del titular de la misma, como los datos relativos al estado familiar de la persona entre otros, y que pueden estar contenidos en registros públicos.” En la mayoría de las legislaciones los datos relativos al estado familiar o estado civil son considerados como datos íntimos y de acceso restringido, ya que no existe un interés público en que estos sean de acceso irrestricto a la colectividad y pueden prestarse para algún tipo de discriminación relacionada con la filiación o estado civil de las personas. De hecho, la propia Ley de Acceso a la Información antes mencionada define como datos personales sensibles “los que corresponden a una persona en lo referente al credo, religión, origen étnico, filiación o ideologías políticas, afiliación sindical, preferencias sexuales, salud física y mental, situación moral y familiar y otras informaciones íntimas de similar naturaleza o que pudieran afectar el derecho al honor, a la intimidad personal y familiar y a la propia imagen.” La contradicción de conceptos entre ambas normas salta a la vista, siendo más adecuada la última norma citada.

Por otra parte, el artículo 5 de la Ley regula el uso de los datos personales por parte de prestadores de servicios de certificación de firmas electrónicas y de almacenamiento de documentos electrónicos. Estos prestadores deben contar con una autorización conferida por la Unidad de Firma Electrónica, ente adscrito al Ministerio de Economía. Dispone el artículo antes dicho en primer término que, para la expedición de certificados electrónicos al público y para el almacenamiento de documentos electrónicos, dichos prestadores únicamente podrán recabar datos personales directamente los firmantes, prohibiendo la cesión de los datos personales de los usuarios. Entendemos entonces que un prestador de servicios de almacenamiento de documentos electrónicos certificado, no podrá almacenar datos personales cuando no los haya recabado directamente de sus firmantes, si se trata de documentos firmados electrónicamente. Pero en caso de documentos electrónicos no firmados, tampoco podría almacenarlos si contiene datos que no haya recabado directamente en virtud de la prohibición de cesión de los datos personales de los usuarios. La Ley no hace ninguna excepción a dicha prohibición, por lo cual aun cuando la cesión sea consentida por el titular de tales datos, en principio no sería permitida. No queda claro qué entiende la norma por “usuarios”, ya que aunque interpretamos que se refiere en realidad a los titulares de los datos, otra interpretación posible es que el legislador se estuviera refiriendo a los usuarios de los del sistema de expedición de certificados electrónicos, asumiendo que debieran compartir sus datos personales para efectos de la solicitud de expedición de los certificados electrónicos. Sin duda, la forma en la que se desarrolle esta disposición en el reglamento incidirá en el desarrollo de la práctica de estos servicios.

El mismo artículo 5 incorpora los derechos del titular a la rectificación y cancelación de sus datos personales cuando estos resulten inexactos o incompletos, así como el deber de confidencialidad y custodia de los datos a cargo del responsable del registro de los datos y de su tratamiento. Por último, se incluye la relevación no consentida de información personal de clientes a terceros como una falta muy grave a cargo de los prestadores de servicios de certificación o almacenamiento de documentos electrónicos, con una sanción de entre 51 a 100 salarios mínimos.

Como vemos, la legislación salvadoreña, aunque de manera tímida, incorpora conceptos propios de la materia de protección de datos personales. Se trata de un importante paso para El Salvador en materia de gobierno digital, comercio electrónico y protección de datos personales. Si bien la legislación contiene algunas contradicciones y vacíos normativos, muchas de ellas pueden ser subsanadas por medio del reglamento que deberá dictarse. Esperamos que en los próximos años el hermano país complete la triada regulatoria en la materia mediante la aprobación de una ley de protección de datos personales y otra de comercio electrónico, pero sobre todo que el Estado salvadoreño impulse políticas que fomenten y divulguen el uso de tales herramientas.