Archivos de la etiqueta: Legislación El Salvador

14Feb/25

Decreto Legislativo nº 349 de 5 de abril de 2022.

Decreto Legislativo, El Salvador, , , , , ,

Decreto Legislativo nº 349 de 5 de abril de 2022. Reforma al Código Penal  (Diario Oficial nº 69, Tomo 435)

 DECRETO Nº 349 de 5 de abril de 2022. Reforma al Código Penal (D.O. nº 69, tomo nº 435 del 6 de abril de 2022)

LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE EL SALVADOR,

CONSIDERANDO:

I.- Que El Salvador reconoce a la persona humana como el origen y el fin de la actividad del Estado y es su obligación asegurar a los habitantes el goce de la libertad, la seguridad jurídica y el bien común, así como la protección y conservación del derecho a la vida, e integridad física y moral de las personas, de conformidad con lo que establecen los artículos 1 y 2 de la Carta Magna.

II.- Que por Decreto Legislativo N° 1030, de fecha 26 de abril de 1997, publicado en el Diario Oficial N° 105, Tomo 335, del 10 de junio del mismo año, se aprobó el Código Penal en el cual se regulan, entre otros, los delitos relativos a la paz pública.

III.- Que a efecto de cumplir con los deberes del Estado, en cuanto a la protección y conservación de esos derechos; y ante el incremento de la actividad delictiva, la Asamblea Legislativa a iniciativa del Presidente de la República por medio del Consejo de Ministros, emitió el Decreto Legislativo Nº 333 de fecha 27 de marzo de 2022, publicado en el Diario Oficial Nº 62, Tomo N° 434 de ese misma fecha, que comprende el Régimen de Excepción, cuya finalidad es proporcionar las herramientas y mecanismos jurídicos a las instituciones de seguridad pública, Policía Nacional Civil y Fuerza Armada de El Salvador, con miras a reestablecer el orden y la seguridad ciudadana, así como el control territorial.

IV.- Que ante el aumento desmesurado de hechos violentos en todo el territorio nacional por parte de estructuras delictivas denominadas maras o pandillas, se ha puesto en riesgo la vida y la integridad de toda la ciudadanía, generando una situación de alarma, inestabilidad social, y consiguiente temor en la población al poner en peligro inminente la vida e integridad física y mental de las personas.

V.- Que es un hecho notorio que las organizaciones criminales antes mencionadas, realizan dentro de su accionar, atentados sistemáticos a la vida, seguridad e integridad personal de la población, incluso contra las autoridades civiles, militares, policiales y penitenciarias; contra la propiedad, mediante la ejecución de delitos de extorsión a personas naturales o jurídicas; vulneraciones al derecho de todo ciudadano de residir en cualquier lugar del territorio; en contra del derecho a la educación, obligando a la deserción de estudiantes; contra el libre tránsito; paralizan el transporte público de pasajeros, incluso a nivel nacional y con frecuencia atentan contra la vida del personal de los servicios de transporte público; impiden la libre realización de actividades económicas y laborales de amplios sectores de la población; entre tantas acciones realizadas de manera sistemática, planificada y organizada.

VI.- Que en virtud de la sentencia de inconstitucionalidad 22-2007 AC de las quince horas y veintidós minutos del día veinticuatro de agosto de dos mil quince, las estructuras delictivas denominadas maras o pandillas: » …son grupos terroristas las pandillas denominadas Mara Salvatrucha o MS-13 y la Pandilla 18 o Mara 18, y cualquier otra pandilla u organización criminal que busque arrogarse el ejercicio de las potestades pertenecientes al ámbito de la soberanía del Estado – v. gr., control territorial, así  como el monopolio del ejercicio legítimo de la fuerza por parte de las diferentes instituciones que componen la justicia penal- , atemorizando, poniendo en grave riesgo o afectando sistemática e indiscriminadamente los derechos fundamentales de la población o de parte de ella; en consecuencia, sus jefes, miembros, colaboradores, apologistas y financistas, quedan comprendidos dentro del concepto de «terroristas», en sus diferentes grados y formas de participación, e independientemente de que tales grupos armados u organizaciones delictivas tengan fines políticos, criminales, económicos (extorsiones, lavado de dinero, narcotráfico, etc.), o de otra índole».

VII.- Que las maras o pandillas cuentan, dentro de sus estructuras organizadas, con la colaboración activa de miembros de diversos grupos, quienes colaboran y participan de forma directa en la comisión de graves hechos delictivos, tales como: homicidios, extorsiones, violaciones, tráfico ilícito de drogas, agrupaciones ilícitas, actos terroristas, entre otros, poniendo en riesgo los bienes jurídicos de mayor relevancia protegidos por la Constitución de la República, entre ellos, la vida, la propiedad, la libertad, la seguridad jurídica, la paz y la soberanía nacional;

VIII.- Que el artículo 6 de la Constitución, reconoce la libertad de expresión, como un derecho fundamental de toda persona a emitir, sin interferencia indebida del Estado o de los particulares, ideas, opiniones y juicios, ya sea de palabra, por escrito o a través de cualquier otro medio, como garantía de todas las sociedades libres, plurales y abiertas, siendo un componente esencial del Estado en la búsqueda de un gobierno democrático y representativo; sin embargo el ejercicio de dicho derecho se encuentra limitado en tanto el mismo no subvierta el orden público.

IX.- Que en la actualidad, las estructuras terroristas denominadas maras o pandillas, con el objetivo de ejercer un control territorial de zonas específicas, utilizan técnicas de lenguaje por medio del grafiti, textos, pinturas, diseños, dibujos o cualquier forma de expresión visual, elaborado de manera libre en infraestructuras privadas y públicas, con la finalidad de generar mensajes de amenaza, muerte o de restricciones a la libertad, causando con ello un impacto negativo para toda la población y afectando de forma directa el orden público y constituyendo dichas expresiones mecanismos que coadyuvan al accionar de dichos grupos terroristas.

X.- Que ante el ejercicio ilegítimo del derecho a la libertad de expresión realizado por las organizaciones terroristas, maras o pandillas, es necesario ampliar el catálogo de delitos cometidos por todos los miembros, colaboradores, apologistas y financistas de las maras o pandillas, con la finalidad de reprimir y disuadir al individuo de que ejecute el comportamiento legalmente prohibido, de manera que la persona, a sabiendas de las consecuencias negativas que supondría una determinada actitud, se abstenga de incumplir lo dispuesto en el ordenamiento jurídico.

POR TANTO,

en uso de sus facultades constitucionales y a iniciativa del Presidente de la República, por medio del Ministro de Justicia y Seguridad Pública.

DECRETA, las siguientes:

REFORMAS AL CÓDIGO PENAL  

Artículo 1.- lntercálese entre el artículo 345-B y el artículo 346, un artículo 345-C, de la siguiente manera:

“ELABORACIÓN Y REPRODUCCIÓN ILEGAL DE MENSAJES, SEÑALES, DENOMINACIONES O PROPAGANDAS ALUSIVAS A MARAS O PANDILLAS

Artículo 345-C.- El que elaborare, participare en su elaboración, facilitare o fabricare, textos, pinturas, diseños, dibujos, grafitis o cualquier forma de expresión visual en bienes inmuebles de uso público o privado, que explícita o implícitamente transmitan mensajes, señales, denominaciones, propagandas, o cualquier tipo de manifestación escrita que haga alusión a las diferentes agrupaciones, o asociaciones criminales terroristas de maras o pandillas, y en especial las que tengan como finalidad aludir a control territorial de dichos grupos o a transmitir amenazas a la población en general, será sancionado con pena de prisión de diez a quince años.

En igual sanción incurrirán quienes, por medio del uso de las Tecnologías de la Comunicación y la Información, medios de comunicación radial, televisivo, escrito o digitales, reproduzcan y transmitan mensajes o comunicados originados o presuntamente originados por dichos grupos delincuenciales, que pudieren generar zozobra y pánico a la población en general.»

Artículo 2.- Declárase de Orden Público lo regulado en el presente decreto, el que prevalecerá sobre cualquier otra disposición legal que la contraríe.

Artículo 3.- El presente decreto entrará en vigencia el mismo día de su publicación en el Diario Oficial.

DADO EN EL SALÓN AZUL DEL PALACIO LEGISLATIVO: San Salvador, a los cinco días del mes de abril del año dos mil veintidós.

ERNESTO ALFREDO CASTRO ALDANA, PRESIDENTE.

SUECY BEVERLEY CALLEJAS ESTRADA, PRIMERA VICEPRESIDENTA

RODRIGO JAVIER AYALA CLAROS, SEGUNDO VICEPRESIDENTE.

GUILLERMO ANTONIO GALLEGOS NAVARRETE, TERCER VICEPRESIDENTE.

ELISA MARCELA ROSALES RAMÍREZ, PRIMERA SECRETARIA.

NUMAN POMPILIO SALGADO GARCÍA, SEGUNDO SECRETARIO.

JOSÉ SERAFÍN ORANTES RODRÍGUEZ, TERCER SECRETARIO.

REINALDO ALCIDES CARBALLO CARBALLO, CUARTO SECRETARIO.

CASA PRESIDENCIAL: San Salvador, a los cinco días del mes de abril de dos mil veintidós.

PUBLÍQUESE,  NAYIB ARMANDO BUKELE ORTEZ, Presidente de la República.  

HÉCTOR GUSTAVO VILLATORO FUNES,  Ministro de Justicia y Seguridad Pública.

28Ene/25

Decreto nº 743. Ley de Títulos Valores Electrónicos de 1 de octubre de 2020

Decreto, El Salvador, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Decreto nº 743. Ley de Títulos Valores Electrónicos de 1 de octubre de 2020. (Diario Oficial nº 7, nº tomo 430, de 12 de enero de 2021)

DECRETO Nº 743

LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE EL SALVADOR,

CONSIDERANDO:

I.- Que el artículo 101 de la Constitución de la República establece que el Estado promoverá el desarrollo económico y social mediante el incremento de la producción, la productividad y la racional utilización de los recursos y con igual finalidad, fomentará los diversos sectores de la producción y defenderá el interés de los consumidores.

II.- Que igualmente el artículo 102 garantiza la libertad económica, en lo que no se oponga al interés social. Asimismo, establece que el Estado fomentará y protegerá la iniciativa privada dentro de las condiciones necesarias para acrecentar la riqueza nacional y para asegurar los beneficios de esta al mayor número de habitantes del país.

III.- Que conforme al artículo 2 de la Carta Magna, toda persona tiene derecho a la seguridad jurídica; por lo que el Estado debe crear un marco legal que brinde seguridad a los usuarios de las comunicaciones electrónicas y a las transacciones autorizadas mediante las aplicaciones de la tecnología o la suscripción electrónica de las mismas, brindándoles validez jurídica.

IV.- Que debe modernizarse la legislación aplicable a los títulos valores, para que puedan emitirse y circular a través de medios electrónicos, cumpliendo con los requisitos establecidos en el Código de Comercio, en concordancia con los principios de neutralidad tecnológica y equivalencia funcional.

POR TANTO,

en uso de sus facultades Constitucionales y a iniciativa de las y los Diputados: Margarita Escobar, José Luis Urías, Rodolfo Antonio Martínez, Mayteé Gabriela Iraheta Escalante, Juan José Martel, Arnoldo Marín Villanueva, José Javier Palomo Nieto y Francisco José Zablah Safie; y con el apoyo de las y los Diputados: José Francisco Merino López, Rosa María Romero, José Andrés Hernández Ventura, Hortensia Margarita López Quintana, José Serafín Orantes Rodríguez y Sonia Maritza López Alvarado.

DECRETA la siguiente:

LEY DE TÍTULOS VALORES ELECTRÓNICOS

Objeto y Ámbito de Aplicación

Artículo 1.- Esta Ley tiene como objeto regular los títulos valores electrónicos, su emisión, circulación, aceptación, aval y demás actos cambiarios, los cuales serán creados en un mensaje de datos, cumpliendo los requisitos particulares de cada título valor regulados en el Código de Comercio y utilizando firma electrónica, gozarán de equivalencia funcional con los títulos valores y producirán sus mismos efectos jurídicos, por lo que no deberán exigirse requisitos adicionales a los regulados en el Código de Comercio.

Los títulos valores electrónicos son representativos de derechos crediticios, corporativos o de participación, de tradición o representativos de mercancías.

Podrán otorgarse como documentos electrónicos, cualquier tipo de título valor desarrollado en la legislación vigente, a los cuales les serán aplicables todos los principios de esta Ley.

En lo no regulado por esta Ley se aplicarán las disposiciones del Código de Comercio, Ley de Firma Electrónica, Ley de Anotaciones Electrónicas de Valores en Cuenta, Ley de Comercio Electrónico, Ley del Mercado de Valores y Ley de Garantías Mobiliarias.

En caso de acción judicial, en materia procesal, se aplicarán las disposiciones contenidas en el Código Procesal Civil y Mercantil.

Definiciones

Artículo 2.- Para los efectos de esta Ley, se entenderá por:

a) Anotación electrónica: es el asiento realizado por la Central de Registro Electrónico, en cumplimiento a la instrucción emitida por un usuario para el registro de un título valor electrónico para perfeccionar jurídicamente cualquier acto cambiario realizado con los valores electrónicos registrados.

b) Marginación electrónica: es el registro informático sucesivo que va incorporando información a los títulos valores electrónicos previamente registrados.

c) Acto cambiario electrónico: anotaciones electrónicas referentes a la aceptación, circulación, endoso y aval, efectuados por la Central de Registro Electrónico con los títulos valores electrónicos registrados.

d) Central de Registro Electrónico: entidad que de conformidad a esta Ley asienta y registra mediante anotaciones electrónicas los títulos valores electrónicos destinados a circular, así como cualquier acto cambiario realizado con ellos, tales como la circulación, el endoso, la aceptación, la presentación, el pago, el aval o cualquier afectación o gravamen sobre los derechos representados en el título valor electrónico o sobre las mercancías que ampara.

e) Documento electrónico: todo mensaje de datos, enviado, recibido o archivado por medios electrónicos, ópticos o de cualquier otra tecnología que forman parte de un expediente electrónico.

f) Mensaje de datos: la información generada, enviada, recibida, archivada o comunicada a través de medios de comunicación electrónica o similar, que pueda contener documentos electrónicos.

g) Obligado cambiario: persona que según el Código de Comercio o la Ley está obligada al pago del título valor electrónico o a cumplir una prestación cambiaria según el título valor electrónico de que se trate o del derecho representado en el mismo.

h) Título valor electrónico: documento electrónico representativo de derechos crediticios, corporativos o de representación patrimonial, y de tradición o representativos de mercancías, que son necesarios para legitimar el ejercicio del derecho literal y autónomo que ellos representan; como tales, tienen la misma validez y los mismos efectos jurídicos que los títulos valores definidos en el artículo 623 del Código de Comercio.

Principios

Artículo 3.- En la creación, circulación y cualquier otro acto cambiario de los títulos valores electrónicos deberán observarse los principios siguientes:

a) Neutralidad tecnológica: ninguna de las disposiciones de la presente Ley será aplicada de modo que excluya, restrinja o prive de efecto jurídico cualquier método, procedimiento, dispositivo o tecnología utilizada por la Central de Registro Electrónico, para crear anotaciones o marginaciones electrónicas o efectuar cualquier acto cambiario.

En virtud de lo anterior, para todos los efectos legales, los actos cambiarios podrán realizase utilizando cualquier tipo de tecnología disponible, siempre y cuando se cumplan todos los requisitos legales establecidos y la respectiva tecnología garantice autenticidad, integridad, disponibilidad, accesibilidad y trazabilidad del título valor electrónico desde su creación y durante el tiempo de su conservación.

b) Equivalencia funcional del título valor electrónico: los valores electrónicos producirán los mismos efectos jurídicos que los títulos valores regulados en el Código de Comercio y conservarán todos los derechos, acciones y prerrogativas propias de su naturaleza, siempre que en su emisión se cumplan todos los requisitos regulados en el Código de Comercio para los títulos valores, en consecuencia, son títulos con fuerza ejecutiva.

c) Equivalencia funcional de constancia por escrito: cuando cualquier norma requiera que la información conste por escrito, ese requisito quedará satisfecho con un mensaje de datos, si la información que este contiene es accesible para su posterior consulta.

d) Equivalencia funcional de firma: cuando cualquier norma exija la existencia de una firma o establezca ciertas consecuencias en ausencia de la misma, en relación con un mensaje de datos, se entenderá satisfecho dicho requerimiento si se utiliza firma electrónica simple. La firma del emisor del título valor electrónico, requerida por el Código de Comercio, será equivalente a la firma electrónica.

e) Inalterabilidad del derecho preexistente: la aplicación de los principios y regulaciones de la firma electrónica, no implican una modificación sustancial del derecho existente que regula las relaciones jurídicas de cada materia en especial.

Registro

Artículo 4.- Los títulos valores electrónicos serán registrados por una Central de Registro Electrónica, cuando cumplan con los requisitos regulados en el Código de Comercio para los títulos valores y que éste o presuma expresamente. La omisión de tales requisitos no afectará a la validez del negocio que dio origen al documento electrónico o al acto.

Cuando el título valor, por decisión de su titular, no esté supuesto a circular podrá ser almacenado conforme a las reglas determinadas en el Capítulo V de la Ley de Firma Electrónica, ya sea por cuenta propia del titular o como servicio prestado por un tercero, será título ejecutivo y su certificación para el ejercicio de los derechos incorporados en el mismo, será la que se emita conforme a los Capítulos V y VI de la Ley de Firma Electrónica.

Para la creación y registro del título valor electrónico se deberán utilizar mecanismos que permitan establecer la autenticidad y confidencialidad del mismo y que garanticen la integridad de su contenido, y que a partir del almacenamiento permita la trazabilidad de las operaciones que se realicen con el título valor electrónico.

Contrato de Usuario

Artículo 5.- Para realizar cualquier actividad relacionada con títulos valores electrónicos es requisito previo, suscribir un contrato de usuario de servicios con una Central de Registro Electrónico.

Entidades Autorizadas

Artículo 6.- Las personas jurídicas públicas o privadas, autorizadas por la Unidad de Firma Electrónica del Ministerio de Economía, de conformidad con la Ley de Firma Electrónica como proveedores de servicios de almacenamiento de documentos electrónicos, podrán prestar los servicios y realizar las funciones de las Centrales de Registro Electrónico.

Cuando un título valor electrónico no esté supuesto a circular o el titular de los derechos incorporados en el mismo no lo someta a régimen de circulación, su almacenamiento podrá sujetarse a lo establecido en el Capítulo V de la Ley de Firma Electrónica.

Funciones de las Centrales de Registro Electrónico

Artículo 7.- Las Centrales de Registro Electrónico tendrán las funciones siguientes:

a) Recibir y registrar títulos valores electrónicos y efectuar las anotaciones o marginaciones electrónicas correspondientes.

b) La realización de anotaciones o marginaciones electrónicas y el registro de los valores correspondientes a las mismas, que garanticen la trazabilidad de las transacciones que se realizan con los títulos valores electrónicos. El acto jurídico del endoso en todas sus modalidades se realizará a través de marginaciones electrónicas.

c) El registro de la constitución de gravámenes o la transferencia de los títulos valores electrónicos que el usuario o el titular del derecho, según el caso le comunique.

d) La teneduría de los libros de registro de valores nominativos, a solicitud de las entidades emisoras.

e) La expedición de certificados y constancias de las operaciones realizadas con los títulos valores electrónicos registrados.

f) La inscripción de las medidas cautelares en los registros de la entidad, cuando éstas recaigan sobre los valores registrados.

g) Cualquier otra actividad que sea necesaria para la ejecución de las funciones antes descritas, siempre y cuando no contradigan el ordenamiento jurídico vigente.

Responsabilidades de la Central de Registro Electrónico

Artículo 8.- La Central de Registro Electrónico, mediante la suscripción de un contrato de servicios, se obliga a recibir y registrar por instrucción del titular o usuario, los títulos valores electrónicos y a perfeccionar jurídicamente los actos cambiarios que se realicen con ellos, mediante las correspondientes marginaciones electrónicas.

Reglamento de la Central de Registro Electrónico

Artículo 9.- La Central de Registro Electrónico deberá emitir un Reglamento que regule lo siguiente:

a) Los procedimientos y requerimientos para realizar y perfeccionar los actos cambiarios electrónicos.

b) Las reglas sobre envío, recepción y acuse de recibo de los mensajes de datos de manera que exista plena certeza de estas operaciones y que las mismas sean fácil y objetivamente comprobables.

c) Las medidas de seguridad pertinentes para: i) mitigar cualquier riesgo de acceso no autorizado, alteración, destrucción o pérdida de la información o de los mensajes y documentos electrónicos;

ii) identificar plenamente a las partes que interactúan frente a la Central de Registro Electrónico;

iii) comprobar el origen, la identidad e integridad de los mensajes de datos;

iv) garantizar la confidencialidad de la información y de las transacciones.

d) Las políticas de tratamiento de los datos personales y de confidencialidad de la información que implementará la Central de Registro Electrónico.

e) Las pautas sobre registro y almacenamiento de la información.

f) El uso y métodos para garantizar la trazabilidad sobre todas las anotaciones y marginaciones electrónicas realizadas respecto del valor, así como de la autenticidad e integridad del mismo.

g) Las especificaciones técnicas y de seguridad mínimas de los equipos necesarios para transmitir, recibir, registrar y almacenar los mensajes de datos en general e interactuar a través de la plataforma tecnológica de la Central de Registro Electrónico.

Este Reglamento deberá ser sometido para su aprobación a la Unidad de Firma Electrónica del Ministerio de Economía.

Principios del Registro Electrónico

Artículo 10.- Las Centrales de Registro Electrónico, deberán realizar los registros sobre los títulos valores electrónicos cumpliendo los siguientes principios:

a) Principio de prioridad: una vez producido un registro no podrá practicarse ningún otro respecto de los mismos valores o derechos que obedezca a un hecho producido con anterioridad, en lo que resulte opuesto o incompatible con dicho registro.

b) Principio de tracto sucesivo: los registros sobre un mismo derecho registrado deberán estar encadenados cronológica, secuencial e ininterrumpidamente, de modo que quien transmite el valor o derecho aparezca previamente en el registro.

c) Principio de rogación: para la realización de cada registro se requerirá solicitud previa del titular del valor o derecho registrado o de la entidad competente y autorizada para tal fin. Por lo tanto, no procederán registros a voluntad o iniciativa propia de la Central de Registro Electrónico.

d) Principio de buena fe: la emisión, circulación, aceptación, aval y demás actos cambiarios de los títulos valores electrónicos, se presumirán bajo la buena fe de los otorgantes y demás suscriptores, bajo condiciones de lealtad, buena fe comercial y legalidad, fundamentados en las sanas prácticas y costumbres mercantiles.

Información al Usuario

Artículo 11.- Con la periodicidad que se establezca en el Reglamento de la Central de Registro, éstas deberán remitir a las instituciones o personas titulares de los valores electrónicos registrados, una relación detallada de los valores que aparezcan registrados en sus respectivos asientos, con descripción de los asientos subsecuentes.

Responsabilidad de los Usuarios

Artículo 12.- El usuario, bien sea que actúe en nombre propio o en nombre de otro, será responsable ante la Central de Registro Electrónico, de la identificación del último endosante, de la integridad y autenticidad de los títulos valores registrados y de la validez de las operaciones que se realicen con ellos.

En consecuencia, recibido un título valor electrónico, por la Central de Registro Electrónico, el mismo se considerará libre de vicios, gravámenes o embargos y el usuario que lo haya enviado responderá de todos los perjuicios que se causen a terceros.

Efectos de la Anotación

Artículo 13.- Las anotaciones electrónicas efectuadas por las Centrales de Registro Electrónico son asientos que permiten el registro de un título valor electrónico o el perfeccionamiento de los actos cambiarios.

Todos los actos cambiarios que recaigan sobre un título valor electrónico, deberán registrarse para su perfeccionamiento, en la Central de Registro Electrónico.

Quien aparezca en los asientos de las Centrales de Registro Electrónico, es el titular del valor electrónico, al cual se refiere dicho registro, y podrá exigir al emisor o al obligado cambiario que realice en su favor las prestaciones que correspondan.

Exhibición

Artículo 14.- Para efectos del artículo 629 del Código de Comercio, la exhibición del título valor electrónico podrá realizarse mediante certificación expedida por la Central de Registro Electrónico, o por quien almacene el título valor electrónico que corresponda.

Titularidad

Artículo 15.- En la certificación que expida la Central de Registro Electrónico o quien almacene el título valor electrónico, constará la titularidad de los valores objeto de anotación y marginación electrónica. Estas certificaciones legitimarán al titular para ejercer los derechos que otorguen dichos valores.

La certificación deberá constar en un documento físico o electrónico y deberá contener como mínimo: a) Identificación completa del titular del valor electrónico que se certifica.

b) Descripción del título valor electrónico del cual se expide, indicando su naturaleza, cantidad y demás aspectos que permitan identificarlo plenamente.

c) La situación jurídica del título valor electrónico que se certifica. En caso de existir, deberán indicarse los gravámenes, medidas administrativas, cautelares o cualquier otra limitación sobre la propiedad o sobre los derechos que derivan de su titularidad.

d) Las garantías que existan sobre el título valor y los derechos representados.

e) Especificación del derecho o de los derechos para cuyo ejercicio se expide.

f) Firma del representante legal de la Central de Registro Electrónico.

g) Fecha de expedición.

h) De manera destacada, una advertencia en la cual se indique, que la certificación no es un documento negociable y que no es válido para transferir la propiedad del valor o derecho que representa.

Las certificaciones deberán expedirse a más tardar el día hábil siguiente al de la fecha de la solicitud.

Alcance de las Certificaciones

Artículo 16.- Las certificaciones legitiman a quien figura en las mismas para ejercer los derechos representados en el título valor electrónico. Dichas certificaciones constituyen documentos probatorios que acreditan y evidencian el contenido de las anotaciones y marginaciones electrónicas. Por consiguiente, no podrán ser utilizados para actos diferentes al ejercicio del derecho incorporado en ellos.

Anotación del Ejercicio de Derechos

Artículo 17.- Cuando el titular de los derechos incorporados en un título valor electrónico, haya solicitado a la Central de Registro Electrónico una certificación para el ejercicio de los derechos correspondientes, deberá informar y documentar a ésta sobre el resultado de la operación realizada, para que haga la anotación y marginación electrónica correspondiente en sus registros, reflejando en forma actualizada la situación jurídica del título valor electrónico.

La Central de Registro Electrónico deberá efectuar las anotaciones y marginaciones correspondientes a los actos mediante los cuales se hayan ejercitados los derechos incorporados en los títulos valores electrónicos, consignando si éstos fueron ejecutados en su totalidad o de forma parcial.

En caso del ejercicio total de los derechos incorporados en el título valor electrónico, la Central de Registros Electrónicos deberá anotar su extinción.

Duplicado de la Certificación por Pérdida, Destrucción o Sustracción

Artículo 18.- La Central de Registro Electrónico deberá entregar duplicado de la certificación original emitida en forma física, siempre y cuando se denuncie la pérdida, destrucción o sustracción. Para tal efecto a las certificaciones se les impondrá un sello que indique inequívocamente que es un duplicado.

Con la emisión del duplicado, se anularán los certificados entregados previamente, y se deberá consignar en el mismo, que no se reconocerán los efectos de los certificados emitidos con anterioridad al último.

Certificación de Saldo

Artículo 19.- En el caso de instituciones financieras, la constancia o certificación emitida por su contador con base a registros contables, en la que se haga constar el saldo a pagar y la fecha de vencimiento de la obligación tendrá valor probatorio en juicio, salvo prueba en contrario.

Para la fijación del saldo, en la certificación deberán constar los abonos realizados por éste, así como su aplicación a la obligación.

La fecha de vencimiento se considerará el día siguiente a la fecha, en que el deudor cayó en mora con base en los sistemas contables de la institución financiera, entendiéndose que con dicha certificación se da por incorporada la fecha de vencimiento en los títulos valores electrónicos.

Las instituciones financieras podrán emitir esta certificación en formato físico o electrónico de conformidad al artículo 217 de la Ley de Bancos y 133 de la Ley de Bancos Cooperativos y Sociedades de Ahorro y Crédito.

Circulación o Transferencia

Artículo 20.- La transferencia del título valor electrónico de un titular a otro se perfeccionará mediante anotación electrónica que realizará la Central de Registro Electrónico.

Lo anterior, también es aplicable a los endosos especiales como el endoso sin responsabilidad, en propiedad, en garantía o al cobro a que se refiere el Código de Comercio.

Aval de Valor Electrónico

Artículo 21.- El aval se perfecciona o realiza mediante anotación electrónica que realizará la Central de Registro Electrónico.

Afectaciones o Gravámenes

Artículo 22.- La reivindicación, el secuestro, o cualesquiera otras afectaciones o gravámenes sobre los derechos representados en un título valor electrónico previamente registrado o sobre los derechos consignados en éste o sobre las mercancías por él representadas, no surtirán efectos si no comprenden al valor mismo. Lo anterior se perfeccionará mediante una anotación electrónica que realice la Central de Registro Electrónico.

Transferencia de Valor Electrónico a Anotación Electrónica de Valores en Cuenta

Artículo 23.- La Central de Registro Electrónico, por instrucciones del usuario podrá transferir títulos valores electrónicos a una sociedad especializada en el depósito y custodia de valores, para la creación de una nota contable efectuada en un Registro Electrónico de Cuentas de Valores, de nominada «anotación electrónica de valores en cuenta», la cual de conformidad a la Ley de Mercado de Valores y a la Ley de Anotaciones Electrónicas en Cuenta, podrá negociarse en la Bolsa de Valores, según la naturaleza jurídica del valor electrónico de que se trate y a la voluntad de su emisor.

Vigencia

Artículo 24.- El presente Decreto entrará en vigencia un año después de su publicación en el Diario Oficial.

DADO EN EL SALÓN AZUL DEL PALACIO LEGISLATIVO: San Salvador, a un día del mes de octubre del año dos mil veinte.

MARIO ANTONIO PONCE LÓPEZ, PRESIDENTE.

NORMAN NOEL QUIJANO GONZÁLEZ, PRIMER VICEPRESIDENTE

GUILLERMO ANTONIO GALLEGOS NAVARRETE, SEGUNDO VICEPRESIDENTE

YANCI GUADALUPE URBINA GONZÁLEZ, TERCERA VICEPRESIDENTE

ALBERTO ARMANDO ROMERO RODRÍGUEZ, CUARTO VICEPRESIDENTE

REYNALDO ANTONIO LÓPEZ CARDOZA, PRIMER SECRETARIO

RODOLFO ANTONIO PARKER SOTO, SEGUNDO SECRETARIO

NORMA CRISTINA CORNEJO AMAYA, TERCERA SECRETARIA

PATRICIA ELENA VALDIVIESO DE GALLARDO, CUARTA SECRETARIA

LORENZO RIVAS ECHEVERRÍA, QUINTO SECRETARIO

MARIO MARROQUÍN MEJÍA, SEXTO SECRETARIO

En cumplimiento a lo dispuesto en el artículo 97, inciso 3º del Reglamento Interior de este Órgano del Estado, se hace constar que el presente Decreto fue devuelto con observaciones por el Presidente de la República, el día 14 de octubre de 2020; observaciones que fueron consideradas por esta Asamblea Legislativa, en Sesión Plenaria del día 3 de diciembre del presente año, conforme a lo establecido en el inciso 3° del Artículo 137 de la Constitución, resolviendo aceptarlas parcialmente.

MARIO MARROQUÍN MEJÍA, SEXTO SECRETARIO DIRECTIVO.

CASA PRESIDENCIAL: San Salvador, a los quince días del mes de diciembre del año dos mil veinte.

PUBLÍQUESE,

Nayib Armando Bukele Ortez, Presidente de la República.

María Luisa Hayem Brevé, Ministra de Economía.

28Ene/25

Decreto Legislativo nº 481 de 24 de agosto de 2022

Decreto, El Salvador, , , ,

Decreto Legislativo nº 481 de 24 de agosto de 2022. Reformas a la Ley de Firma Electrónica (Diario Oficial República de El Salvador en la América Central, nº 175, Tomo nº 436, San Salvador, Martes 20 de septiembre de 2022).

DECRETO N° 481

LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE EL SALVADOR,

CONSIDERANDO:

I. Que mediante Decreto Legislativo n.° 133, de fecha 1 de octubre de 2015, publicado en el Diario Oficial n.° 196, Tomo n.° 409, del 26 del mismo mes y año, se emitió la Ley de Firma Electrónica.

II. Que mediante Decreto Legislativo n.° 100, de fecha 20 de julio de 2021, publicado en el Diario Oficial n.° 148, Tomo n.° 432, del 6 de agosto del mismo año, se reformó la Ley relacionada en el considerando anterior, reformas que fueron encaminadas a brindar mayor seguridad jurídica a los proveedores de servicios de certificación, de almacenamiento de documentos electrónicos, y a los usuarios de dichos servicios, fortaleciendo y dinamizando el clima de inversión del país.

III. Que en la implementación de las mencionadas reformas, se ha identificado el interés de instituciones públicas en acreditarse como proveedoras de servicios de certificación, generándose para ellas inconvenientes en cuanto a los requisitos generales para obtener dicha acreditación, específicamente en el caso de la emisión de la garantía.

IV. Que se ha identificado que el objetivo de emitir una garantía es, por una parte, asegurar el compromiso y la permanencia en el negocio por parte de los interesados en brindar el servicio; y por otra parte, es una forma de asegurar indemnizaciones por fallas en la prestación de dichos servicios. En tal sentido, se considera que las instituciones públicas, siendo creadas por ley y asegurando así su permanencia, sólo deben cumplir con el objetivo de asegurar un monto para indemnizaciones, por lo que es necesario ajustar la redacción a la naturaleza de estas entidades; siendo pertinente introducir reformas en ese sentido, a la Ley a que se refiere el primer considerando.

POR TANTO,

En uso de sus facultades constitucionales y a iniciativa del presidente de la República, por medio de la ministra de Economía.

DECRETA la siguiente:

REFORMAS A LA LEY DE FIRMA ELECTRÓNICA

Artículo 1.- Sustitúyase el literal d) del artículo 43, de la siguiente manera:

d) Rendir una garantía por un monto adecuado al riesgo asumido por la prestación de los servicios de certificación, otorgada por una sociedad autorizada por la Superintendencia del Sistema Financiero, la que se calculará conforme a los requerimientos definidos en el Reglamento de la presente ley. Para los efectos de esta ley, se excluyen las garantías y los derechos reales que puedan constituirse sobre un bien mueble o inmueble determinado. Esta garantía será utilizada para indemnizar los daños y perjuicios que se ocasionasen a los usuarios de los servicios. La garantía será revisada anualmente tomando en cuenta los cambios en el nivel de riesgo asumido por el proveedor de servicios de certificación.

Las instituciones públicas que deseen acreditarse como proveedores de servicios de certificación, por su naturaleza estatal estarán excluidas de este requisito, debiendo presentar en su lugar un plan de acción que detalle la forma de indemnizar daños y perjuicios en caso de incumplimientos.

Un reglamento técnico desarrollará el procedimiento para hacer efectivas las garantías o el plan de acción correspondiente.»

Artículo 2.- Refórmase el artículo 46 de la siguiente manera:

«Inicio de las Actividades de Proveedores de Servicios de Certificación

Art. 46.- El proveedor de servicios de certificación acreditado que inicie sus actividades, deberá dar notificación de este hecho a la Unidad de Firma Electrónica.»

Artículo 3.- El presente decreto entrará en vigencia ocho días después de su publicación en el Diario Oficial.

DADO EN EL SALÓN AZUL DEL PALACIO LEGISLATIVO: San Salvador, a los veinticuatro días del mes de agosto del año dos mil veintidós.

ERNESTO ALFREDO CASTRO ALDANA, PRESIDENTE.

SUECY BEVERLEY CALLEJAS ESTRADA, PRIMERA VICEPRESIDENTA

RODRIGO JAVIER AYALA CLAROS, SEGUNDO VICEPRESIDENTE

GUILLERMO ANTONIO GALLEGOS NAVARRETE, TERCER VICEPRESIDENTE.

ELISA MARCELA ROSALES RAMÍREZ, PRIMERA SECRETARIA

NUMAN POMPILIO SALGADO GARCÍA, SEGUNDO SECRETARIO

JOSÉ SERAFÍN ORANTES RODRÍGUEZ, TERCER SECRETARIO

REINALDO ALCIDES CARBALLO CARBALLO, CUARTO SECRETARIO

CASA PRESIDENCIAL: San Salvador, a los treinta y un días del mes de agosto de dos mil veintidós.

PUBLÍQUESE,

NAYIB ARMANDO BUKELE ORTEZ, PRESIDENTE DE LA REPÚBLICA.

MARÍA LUISA HAYEM BREVÉ,  MINISTRA DE ECONOMÍA.

27Ene/25

Decreto nº 880 de 1 de noviembre de 2023

Decreto, El Salvador, , , , , ,

Decreto nº 880 de 1 de noviembre de 2023. Derogase el inciso segundo del artículo 345-C del Código Penal que despenaliza la difusión de mensajes generado por las pandillas a través de medios de Comunicación. (Diario Oficial nº 226, Tomo 441 de 1 de diciembre de 2023).

DECRETO N.° 880

LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE EL SALVADOR,

CONSIDERANDO:

I. Que la Constitución de la República establece en sus artículos 1 y 2 que El Salvador reconoce a la persona humana como el origen y el fin de la actividad del Estado, que está organizado para la consecución de la justicia, de la seguridad jurídica y del bien común, así como la conservación del derecho a la vida, e integridad física y moral de las personas.

II. Que mediante Decreto Legislativo n.° 349, de fecha 5 de abril de 2022, publicado en el Diario Oficial n.° 69, Tomo n.° 435, de fecha 5 de abril de 2022, se reformó el Código Penal, a efecto de incorporar un artículo 345-C, el cual, en su inciso segundo estableció que incurriría en ilícito penal quien por medio del uso de las Tecnologías de la Comunicación y la Información, medios de comunicación radial, televisivo, escrito o digitales, reproduzca y transmita mensajes o comunicados originados o presuntamente originados por grupos delincuenciales, que pudieren generar zozobra y pánico a la población en general.

III. Que actualmente, el Estado, a través de las acciones implementadas en materia de seguridad, y específicamente con la ejecución del Plan Control Territorial y del Régimen de Excepción aprobado por esta Asamblea Legislativa, responde efectivamente y de manera inmediata ante el actuar delincuencial de los grupos terroristas a través de la intervención de los territorios y del establecimiento de los cercos de seguridad, logrando así desarticular su accionar, cumpliendo con el objetivo de las políticas de seguridad, y previniendo la difusión de todo tipo de mensajes que representaban amenazas, muerte o restricciones a la libertad de la población. Aunado a lo anterior, los diversos actores de la sociedad, incluyendo a la población en general, han recobrado la confianza en las autoridades, denunciando activamente el actuar de los grupos terroristas, lo cual ha vuelto aún más eficiente las funciones de las instituciones de seguridad pública, logrando así consolidar los resultados obtenidos con miras a erradicar el actuar de estos grupos delincuenciales.

IV. Que en concordancia con el artículo 6 de la Constitución el cual establece en su inciso primero que “Toda persona puede expresar y difundir libremente sus pensamientos siempre que no subvierta el orden público, ni lesione la moral, el honor, ni la vida privada de los demás…” esta Asamblea considera necesario ratificar el ejercicio del derecho a la libertad de expresión, ya que ha quedado demostrada la efectividad de las políticas públicas en materia de seguridad, y la contundencia de las acciones realizadas por el Estado para frenar la difusión de los mensajes que generaban zozobra en la población, lo cual se ha logrado mediante el trabajo articulado de las instituciones, y sin perseguir o menoscabar en ninguna manera la labor de los medios de comunicación, por lo que se vuelve innecesario en este momento continuar regulando la restricción establecida, por lo que es procedente derogar el inciso segundo del artículo 345-C.

POR TANTO,

En uso de sus facultades constitucionales y a iniciativa de los diputados y las diputadas:

Suecy Beverley Callejas Estrada,

Walter David Coto Ayala,

Caleb Neftalí Navarro Rivera,

Marcela Balbina Pineda Erazo y

Katheryn Alexia Rivas González.

DECRETA la siguiente:

REFORMA AL CÓDIGO PENAL

Artículo 1.- Derógase el inciso segundo del artículo 345-C del Código Penal, contenido en el Decreto Legislativo n.° 1030, de fecha 26 de abril de 1997, publicado en el Diario Oficial n.° 105, Tomo n.° 335, de fecha 10 de junio de 1997.

Artículo 2.- El presente decreto entrará en vigencia ocho días después de su publicación en el Diario Oficial.

DADO EN EL SALÓN AZUL DEL PALACIO LEGISLATIVO: San Salvador, uno de noviembre de dos mil veintitrés.

ERNESTO ALFREDO CASTRO ALDANA, Presidente

SUECY BEVERLEY CALLEJAS ESTRADA, Primera Vicepresidente

RODRIGO JAVIER AYALA CLAROS, Segundo Vicepresidente

GUILLERMO ANTONIO GALLEGOS NAVARRETE, Tercer Vicepresidente

ELISA MARCELA ROSALES RAMÍREZ, Primera Secretaria

NUMAN POMPILIO SALGADO GARCÍA, Segundo Secretario

REYNALDO ANTONIO LÓPEZ CARDOZA, Tercer Secretario

REINALDO ALCIDES CARBALLO CARBALLO, Cuarto Secretario

CASA PRESIDENCIAL: San Salvador, a los siete días del mes de noviembre de dos mil veintitrés.

PUBLÍQUESE,

NAYIB ARMANDO BUKELE ORTEZ, Presidente de la República.

HÉCTOR GUSTAVO VILLATORO, Ministro de Justicia y Seguridad Pública.

21Ene/25

Decreto nº 144. Ley para la Protección de Datos Personales de 12 de noviembre de 2024

El Salvador, Ley, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Decreto nº 144. Ley para la Protección de Datos Personales de 12 de noviembre de 2024. (Diario Oficial nº 219, Tomo nº 445 de 15 de noviembre de 2024)

DECRETO N.° 144

LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE EL SALVADOR,

CONSIDERANDO:

I. Que el artículo 1 de la Constitución de la República establece que: «El Salvador reconoce a la persona humana como el origen y el fin de la actividad del Estado»; y que está organizado para la consecución de la justicia y de la seguridad jurídica; asimismo, el artículo 2 establece que toda persona tiene derecho a la integridad física y moral, y a ser protegida en la conservación y defensa de los mismos; y que se debe garantizar el derecho al honor, a la intimidad personal y a la propia imagen.

II. Que el tratamiento de los datos personales de las personas naturales debe realizarse de acuerdo con los principios, métodos y tecnologías que garanticen la confidencialidad y el buen uso de ellos, lo que demanda asegurar la mayor protección posible, así como establecer las sanciones correspondientes cuando éstos sean violentados.

III. Que debido a que las nuevas tecnologías permiten transmitir con gran facilidad los datos de las personas naturales a nivel mundial, resulta necesario establecer las condiciones mínimas y estandarizadas para compartir datos con otros países, salvaguardando la seguridad de la información de acuerdo con los convenios internacionales que El Salvador ha ratificado.

IV. Que, en virtud de lo anterior, resulta necesario se emita un cuerpo normativo que garantice la protección de los datos de carácter personal que se encuentren en posesión de otros distintos de sus titulares, y que además facilite la inversión, especialmente en centros de almacenamiento de datos como requisito ineludible para la generación de empleos en cadenas de alto valor.

POR TANTO,

en uso de sus facultades constitucionales y a iniciativa del presidente de la República, por medio del ministro de Justicia y Seguridad Pública,

DECRETA la siguiente:

LEY PARA LA PROTECCIÓN DE DATOS PERSONALES

TÍTULO I.- DISPOSICIONES GENERALES

CAPÍTULO I.- OBJETO Y ÁMBITO DE APLICACIÓN

Objeto

Artículo 1.- La presente ley tiene por objeto establecer la regulación para la protección de los datos personales, determinando los requisitos esenciales para realizar el tratamiento legítimo e informado de éstos y el marco normativo que debe seguirse en su recolección, uso, procesamiento, almacenamiento y otras actividades relacionadas a ellos; todo en aras de garantizar el derecho a la intimidad y a la autodeterminación informativa de las personas naturales.

Ámbito de aplicación

Artículo 2.- Esta ley se aplicará a toda persona natural o jurídica, de carácter público o privado, que lleve a cabo actividades relativas o conexas al tratamiento de datos personales, ya sea de manera manual, parcial o totalmente automatizado o a través de terceros. Se entenderán incluidos incluso aquellos sujetos que realicen las referidas actividades sin cumplir con los requisitos y limites dispuestos en la presente ley.

Los órganos del Estado, sus dependencias, las instituciones oficiales autónomas, las autoridades municipales y cualquier otra entidad u organismo, independientemente de su forma, naturaleza o situación jurídica, mediante las cuales se administren recursos públicos, bienes del Estado o ejecuten actos de la administración pública en general, así como los servidores públicos y personas que laboren en ellas, dentro o fuera del territorio de la República, estarán sujetos específicamente a las disposiciones que se establecen en el Título III de la presente ley.

Exclusiones

Artículo 3.- Quedan excluidos de la aplicación de la presente ley:

a) El tratamiento de datos de historial crediticios que realicen los sujetos obligados en los supuestos de la Ley de Regulación de los Servicios de Información sobre el Historial de Créditos de las Personas. Sin embargo, esta exclusión no aplicara a los integrantes del Sistema Financiero y demás supervisados por la Superintendencia del Sistema Financiero, sobre aquella información que no sea relativa al historial crediticio de sus usuarios.

b) El tratamiento de datos personales destinados exclusivamente a actividades en el marco de la vida familiar o doméstica, mientras no tengan como propósito una divulgación o utilización comercial.

c) El tratamiento de datos personales u actividades que tengan por objeto la seguridad pública, la defensa, la seguridad del Estado, prevención, investigación, detección y represión del delito, todo en observancia al debido proceso y respeto a los Derechos Humanos.

d) Cualquier tratamiento de los datos personales realizados en los registros públicos, así como, en el registro del estado familiar de las alcaldías, en los procedimientos establecidos en la Ley

Transitoria del Registro del Estado Familiar y de los Regímenes Patrimoniales del Matrimonio. Se excluye además todo tratamiento de datos personales efectuado en aplicación de la Ley Especial Reguladora de la Emisión del Documento Único de Identidad, Ley de Emisión del Documento Único de Identidad en el Exterior, Ley del Nombre de la Persona Natural por el Registro del Estado Familiar de las Personas Naturales.

CAPÍTULO II.- DEFINICIONES Y PRINCIPOS RECTORES

Definiciones

Artículo 4.- Para los efectos de esta ley o disposiciones jurídicas relacionadas se entenderá por:

a) Autodeterminación informativa: facultad de toda persona para ejercer sus derechos y accionar los mecanismos que la presente ley otorga sobre la información personal que le concierne, contenida en registros públicos o privados, especialmente, pero no exclusivamente ni limitado, a los almacenados mediante medios digitales e informáticos. Es decir, es la capacidad del individuo para determinar la divulgación y el uso de sus datos personales, controlar y determinar lo que terceros podrían conocer sobre su vida personal en cada momento.

b) Base de datos o repositorio: conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso.

c) Bloqueo de datos: restricción temporal o permanente de cualquier acceso o tratamiento de los datos almacenados.

d) Consentimiento: manifestación libre, específica, informada, expresa e individualizada de la voluntad del titular de los datos, mediante la cual acepta, ya sea a través de una declaración o una clara acción afirmativa, que se efectúe el tratamiento de éstos en los casos en que no exista otro fundamento legal para ello.

e) Cookie: pequeña información enviada por un sitio web y almacenada en el navegador del usuario, de manera que el sitio web pueda consultar la actividad previa del navegador. Sus principales funciones son recordar accesos y conocer información sobre los hábitos de navegación.

f) Datos personales: información concerniente a una persona natural identificada o identificable.

Se consideran datos personales aquella información en texto, imagen o audio que permita la identificación de una persona, su domicilio, nacionalidad, estado familiar y canales de contacto, entendiéndose estos últimos como su número telefónico, dirección electrónica, o cualquier dato que aporte información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo. No se tratan como datos personales aquellos que no permiten identificar o localizar a una persona.

g) Datos personales sensibles: son los datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, que afectan a la esfera más íntima de su titular y cuya utilización indebida puedan dar origen a discriminación, afectar gravemente el derecho al honor, a la intimidad personal y familiar y a la propia imagen. De manera enunciativa pero no limitativa, generalmente son los que revelan aspectos como creencias y convicciones religiosas, origen étnico, afiliación o ideologías políticas, afiliación sindical, preferencias sexuales, salud física y mental, información biométrica, genética, situación moral y familiar, hábitos personales y otras informaciones íntimas de similar naturaleza.

h) Disociación o Anonimización: procedimiento irreversible mediante el cual los datos personales dejan de asociarse a su titular o de permitir, por su estructura, contenido o grado de desagregación, la identificación de éste.

i) Derechos ARCO-POL: derechos personalísimos e independientes de Acceso, Rectificación, Cancelación, Oposición, Portabilidad, Olvido y Limitación, por medio de los cuales el titular de los datos personales puede ejercer el control sobre el tratamiento de éstos.

j) Encargado del tratamiento (Encargado): persona natural o jurídica, pública o privada, que sola o en conjunto con otros, realice el tratamiento de datos personales por cuenta del responsable del tratamiento.

k) Emisor de datos personales: titular del banco de datos personales, o aquel que resulte encargado de su tratamiento en El Salvador, que realice una transferencia de datos personales a otro país de conformidad a lo dispuesto en la presente ley.

l) Fuentes de acceso público: aquellas bases de datos o repositorios de administración pública o privada cuya consulta puede ser realizada por disposición de ley por cualquier persona o medio, por el abono de una contraprestación o tarifa.

m) Limitación en el tratamiento de datos personales: permite al titular, cuyos datos personales son objeto de tratamiento, solicitar al responsable del tratamiento que aplique medidas sobre sus datos personales para, evitar su modificación o, en su caso, su borrado o supresión.

n) Medidas de Seguridad: políticas, acciones o procedimientos de control o grupo de controles que garanticen la protección de los datos personales contenidos en registros o archivos físicos o electrónicos, de accesos no autorizados garantizando la confidencialidad, integridad y disponibilidad.

o) Receptor de datos personales: toda persona natural o jurídica, pública o privada, que recibe los datos en caso de transferencia internacional, ya sea como titular, encargado de datos personales o tercero.

p) Responsable de tratamiento (Responsable): persona natural o jurídica, pública o privada, administradora de la base de datos y/o repositorio, o quien decida sobre la finalidad y medios del tratamiento de los datos personales que administre o posea.

q) Seudonimización: procedimiento de tratamiento de datos personales a efectos de que éstos ya no pueden asociarse con el titular de éstos, sin utilizar información adicional, siempre y cuando dicha información adicional se encuentre separada, oculta, clasificada y resguardada bajo medidas técnicas y organizativas que garanticen que tales datos personales no pueden ser atribuidos a una persona física identificada o identificable.

r) Sitios de Contingencia: sitio alterno o secundario en el cual se replican de forma continua o discontinua los datos almacenados en servidores informáticos físico o virtuales que residen en un lugar principal.

s) Titular: toda persona natural cuyos datos sean objeto del tratamiento al que se refiere la presente ley.

t) Tratamiento de datos: cualquier operación o conjunto de operaciones efectuadas mediante procedimientos automatizados o manuales y aplicadas a datos personales. Estas se relacionan con la obtención, uso, registro, organización, conservación, difusión, almacenamiento, posesión, acceso, manejo y divulgación de datos personales.

u) Transferencia de datos personales: toda comunicación de datos personales realizada a persona distinta del responsable o encargado del tratamiento, con el consentimiento previo e informado de su titular.

Principios rectores

Artículo 5.- Los principios rectores para la protección de datos son:

a) Principio de la exactitud de los datos: los datos personales deberán mantenerse exactos, completos y actualizados hasta donde sea posible para las finalidades de su tratamiento, de tal manera que no se altere su veracidad. Se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan. Se presumirán exactos y actualizados los datos obtenidos directamente de su titular.

b) Principio de lealtad: el responsable tratará los datos personales en su posesión, privilegiando la protección de los intereses de sus titulares y absteniéndose de tratar o recabar éstos a través de medios fraudulentos, desleales y/o ilícitos.

c) Principio de consentimiento y finalidad: en el tratamiento y recolección de datos personales debe existir un consentimiento libre, especifico, informado, expreso e individualizado del titular, que establezca el fin, propósito y periodo de almacenamiento y tratamiento.

d) Principio de minimización de datos: los datos personales recopilados y utilizados deben ser suficientes, pertinentes y no excesivos en relación con el propósito específico y legítimo.

e) Principio de Transparencia: consiste en informar al titular de los datos personales de todas las características del tratamiento al que serán sometidos sus datos y, asimismo, exige que esa información se facilite en forma concisa, de fácil acceso y con un lenguaje claro y sencillo. Se prohíbe recurrir a textos extensos, terminologías técnicas o legales y/o letra pequeña en la aplicación de este principio.

f) Principio de Seguridad de Datos: se refiere a garantizar la seguridad, integridad, disponibilidad y confidencialidad de los datos personales, a fin de evitar su alteración, pérdida, consulta o tratamiento no autorizado, así como detectar desviaciones de información, intencionales o no, que provengan de la acción humana o de un medio técnico.

g) Principio de Licitud: El tratamiento de datos personales debe realizarse en cumplimiento a lo establecido en la presente ley y la normativa aplicable, para lo cual debe cumplirse al menos una de las siguientes condiciones:

1. El tratamiento de los datos se base en el consentimiento expreso otorgado por el titular para una o varias finalidades.

2. El tratamiento sea necesario para la ejecución de un contrato, del cual forma parte el titular, o para la ejecución de medidas precontractuales.

3. El tratamiento sea necesario para el cumplimiento, por parte del responsable, de alguna obligación legal.

4. El tratamiento sea necesario para garantizar la protección de los intereses vitales del titular u otra persona afectada.

5. El tratamiento sea necesario para el cumplimiento de un fin de interés público o para que el responsable pueda ejercer los poderes públicos que le han sido conferidos.

6. El tratamiento sea necesario para que el responsable pueda satisfacer sus intereses legítimos, siempre y cuando esos intereses no atenten contra los derechos o libertades de los titulares de los datos personales.

h) Principio de temporalidad: la conservación de los datos personales debe limitarse al periodo en el que se lograran los fines que se persiguen para su tratamiento.

i) Principio de responsabilidad demostrada: una entidad que recoge y efectúa el tratamiento de datos personales debe ser responsable del cumplimiento efectivo de las medidas que implementen para proteger la privacidad de sus titulares y de garantizar una efectiva protección de datos personales.

j) Principio de ejercicio progresivo de las facultades: Los derechos y garantías reconocidos a las niñas, niños y adolescentes serán ejercidos de manera progresiva tomando en consideración el desarrollo evolutivo de sus facultades, su condición o situación individual, la dirección y orientación apropiada de sus padres, madres o de quien ejerza la representación legal, y las disposiciones establecidas en la legislación vigente.

CAPÍTULO III.- DERECHOS DE LOS TITULARES DE LOS DATOS PERSONALES Y SU EJERCICIO

SECCIÓN A DERECHOS ARCO-POL

Derecho a la protección de los datos personales

Artículo 6.- Toda persona, por sí mismo o por medio de su representante con facultades especiales, tendrá derecho a conocer si sus datos personales están siendo procesados para garantizar la protección de los mismos, cuando sea procedente podrá solicitar la rectificación, cancelación o bloqueo de éstos; a oponerse al tratamiento de sus datos; y, a solicitar que se limite su tratamiento en el futuro para usos distintos a los consentidos.

Asimismo, tendrán derecho a obtener una reproducción inteligible de sus datos personales y a transferirlos cuando así lo consideren pertinente.

Tratándose de los datos personales de personas fallecidas, le corresponderá a sus herederos o sucesores ejercer los derechos correspondientes, debiendo acreditar con documentación que demuestre su calidad de heredero o sucesor.

Derecho de información frente a la recolección de datos

Artículo 7.- El titular de sus datos personales tendrá derecho a conocer quienes resguardarán éstos.

Este derecho incluye también a los proveedores de servicios de almacenamiento tercerizados, como el encargado del tratamiento de datos personales que fue contratado por el responsable a tales efectos y que utiliza como medio de almacenamiento la nube u otra infraestructura.

La información deberá ser almacenada en forma tal que se garantice plenamente el derecho de acceso por el titular de la misma. Asimismo, cuando se recaben datos personales se deberá informar previamente a sus titulares en forma expresa, precisa e inequívoca, lo siguiente:

a) El propósito o finalidad para la que serán recolectados y tratados, así como quiénes pueden ser sus destinatarios o clase de destinatarios.

b) La existencia de la base de datos o repositorio, así como los respaldos y sitios de contingencia, en el caso que aplique.

c) La identidad, domicilio, correo electrónico, número telefónico y cualquier información que facilite contactar al responsable y al encargado del tratamiento, o a sus respectivos representantes.

d) El contenido de los derechos ARCO-POL y los mecanismos para ejercerlos.

e) Las medidas y mecanismos de protección y seguridad que el responsable ha tomado y mantiene activas para salvaguardar la información.

La información brindada de conformidad a los literales anteriores no tendrá costo alguno, y podrá ser proporcionada mediante la publicación de políticas de privacidad de forma física y/o electrónica, las que deben ser fácilmente accesibles e identificables.

Cuando se proyecte un tratamiento de datos distinto de aquel para el cual se recolectaron, se proporcionará al titular información sobre esta finalidad ulterior y cualquier otra información adicional pertinente. El titular tendrá derecho de revocar la autorización otorgada inicialmente y deberá emitir una nueva autorización para que sus datos sean tratados conforme a la nueva finalidad.

En todo caso, se deberá notificar a las partes, los efectos de proporcionarlos, de la negativa a hacerlo o de su inexactitud.

Derecho de acceso a datos personales

Artículo 8.- El titular de datos personales tendrá derecho a obtener toda la información que sobre sí mismo se encuentre en bases de datos o registros físicos. Este derecho de acceso será ejercido en forma gratuita conforme a lo establecido en la presente ley.

La información personal a la cual se concederá acceso deberá ser suministrada:

a) En forma clara y exenta de codificaciones, la cual deberá ser acompañada de una explicación de los términos que se utilicen, los sujetos que han consultado dicha información y con qué propósito.

b) De manera completa, siempre y cuando la misma no haya sido objeto de seudonimización o disociación, en cuyo caso se dejara constancia de dichas circunstancias. En ningún caso el informe podrá revelar datos pertenecientes a terceros, aun cuando se vinculen con el titular.

Esta información podrá obtenerse mediante la mera consulta de su titular o su representante, previa identificación de su identidad y de los datos que por medio de su visualización pretende conocer, o también se podrá obtener con la indicación de los datos que son objeto de tratamiento por medios electrónicos o por cualquier otro medio que la tecnología permita y cuyo contenido sea legible e inteligible; esto sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos, imágenes o cualquier otro medio usado para dicho propósito.

Adicionalmente, se debe comunicar si se ha realizado un intercambio de su información personal con otras instituciones o entidades.

Derecho de Rectificación

Artículo 9.- El titular tendrá derecho a solicitar al responsable la rectificación o corrección de sus datos personales, cuando éstos sean inexactos, incompletos o no se encuentren actualizados. Además, el titular podrá solicitar la rectificación y actualización de sus datos personales, en el caso de que éstos hayan sido sometidos a tratamiento en inobservancia de las disposiciones de la presente ley.

El titular deberá ofrecer la documentación que acredite que es procedente la rectificación de sus datos personales o podrá informar la ubicación en la cual se encuentra almacenada o registrada la misma.

El responsable del tratamiento deberá cumplir con lo solicitado por el titular o su representante de manera gratuita, y resolver en el sentido que corresponda en el plazo de veinte días hábiles, contados a partir de la recepción de la solicitud. El incumplimiento de esta obligación dentro del plazo determinado habilitará al interesado para presentar la denuncia correspondiente ante la Entidad Rectora a efecto de que se garanticen sus derechos.

Durante el proceso de verificación para rectificar la información de los datos personales, el responsable del banco de datos, base de datos, repositorio o de los sistemas o registros, tanto manuales como informáticos, bloqueará aquellos que se estén analizando para su rectificación, dando a conocer que se encuentra en revisión o actualización, según lo solicitado.

Derecho de cancelación o supresión

Artículo 10.- El titular de los datos personales o sus representantes podrán solicitar al responsable la eliminación de los datos personales que le conciernan sin dilaciones indebidas. Dicha solicitud podrá presentarse cuando concurra al menos uno de los siguientes casos:

a) Los datos personales ya no sean necesarios con relación a los fines para los cuales fueron tratados.

b) El titular retire su consentimiento, siempre y cuando dicho consentimiento haya sido el supuesto que haya legitimado el tratamiento de dichos datos por parte del responsable, y su tratamiento no se base en otro supuesto de licitud establecido en la presente ley.

c) El titular se oponga al tratamiento de éstos, y no prevalezcan otros motivos legítimos para el almacenamiento de los mismos.

d) Los datos personales hayan sido obtenidos o tratados ilícitamente.

e) Los datos personales deban suprimirse para el cumplimiento de una obligación legal aplicable al responsable.

f) Los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados, en el caso de oferta directa a niños.

g) Los datos personales se hayan obtenido en relación con la oferta de servicios de instituciones públicas o privadas.

Sin embargo, no procederá la solicitud de cancelación o supresión en los siguientes casos:

a) Cuando causen perjuicios a derechos o intereses legítimos de terceros, siempre y cuando existiere resolución judicial u orden administrativa de conservar dichos datos.

b) Si contraviene lo establecido por una obligación legal.

c) Cuando sean necesarios para ejercer el derecho a la libertad de expresión, de información y prensa. Los datos utilizados en éstos casos deben cumplir con el principio de exactitud, es decir, no se pueden utilizar o difundir datos personales que sean inexactos, incompletos o desactualizados.

d) Cuando los datos personales hayan sido objeto de disociación.

e) Cuando tengan fines de investigación científica, histórica o estadísticos, siempre y cuando, los datos personales hayan sido seudonimizados o en su caso disociados.

f) Con fines de archivo en interés público; o para la formulación, el ejercicio o la defensa de reclamaciones.

El titular también podrá ejercer el derecho al olvido de sus datos personales, cuando éstos hayan sido publicados en el entorno electrónico, debiendo el responsable informar a otros responsables del tratamiento de dichos datos personales para que éstos sean suprimidos de los enlaces, copias o réplicas que los contengan. Este derecho incluye además el de solicitar que se eliminen de los motores de búsqueda en Internet las listas de resultados que se obtuvieran al realizar una búsqueda a partir de los datos personales del titular de los enlaces publicados que contuvieran información relativa al mismo, cuando éstos sean inadecuados, inexactos, no pertinentes, no actualizados o excesivos o hubieren devenido como tales por el transcurso del tiempo, teniendo en cuenta los fines para los que se recogieron o trataron, el tiempo transcurrido, la naturaleza e interés público de dicha información.

Bloqueo de datos personales

Artículo 11.- El derecho de supresión o cancelación de datos personales podrá dar lugar al bloqueo de dichos datos, conservándose únicamente éstos a disposición de la Administración Pública, Jueces y Tribunales en el ejercicio estricto de sus funciones, para la atención de las posibles responsabilidades nacidas del tratamiento, en los plazos establecidos para el resguardo según las leyes aplicables.

Derecho de oposición

Artículo 12.- Es el derecho del interesado a solicitar el cese en el tratamiento de sus datos personales, incluida la elaboración de perfiles o clasificaciones con fines comerciales o de mercadotecnia directa. No obstante, el derecho de oposición no podrá ejercerse en los siguientes escenarios:

a) Cuando el tratamiento sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de facultades conferidos al responsable.

b) Cuando el tratamiento sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del titular que requiera la protección de sus datos personales, en particular cuando el titular sea un niño o niña.

Derecho a la limitación

Artículo 13. El titular de los datos personales o su representante tendrá derecho a solicitar al responsable la limitación del tratamiento de sus datos cuando se cumpla alguna de las siguientes condiciones:

a) El titular o su representante impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de éstos.

b) El tratamiento sea ilícito y el titular o su representante se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso.

c) El responsable ya no necesite los datos personales para los fines del tratamiento, pero el titular los necesite para la formulación, el ejercicio o la defensa de reclamaciones ante ese responsable o cualquier otro responsable o autoridad pública.

d) El titular o su representante se haya opuesto al tratamiento de los mismos mientras se verifica si los motivos legítimos manifestados por el responsable prevalecen sobre los del titular.

Los efectos de la limitación operaran mientras subsistan las razones que motivaron al titular o su representante para ejercer su derecho.

Derecho a la portabilidad

Artículo 14.- Es el derecho del titular a recibir los datos personales que haya facilitado al responsable, en un formato estructurado, de uso común, de lectura mecánica e interoperable, y el derecho a transmitirlos a otro responsable sí éste así lo desea.

El ejercicio de este derecho exige dos requisitos: que el tratamiento esté fundado en el consentimiento del titular y que dicho tratamiento sea efectuado por medios automatizados. Para facilitar este proceso, es necesario motivar la interoperabilidad entre los servicios.

Es obligación de los responsables realizar con agilidad y sin costo para el titular, todos los trámites para la migración de los datos de éste a otro responsable del tratamiento, en un formato estructurado, de uso común y fácil lectura, cuando así lo solicite legítimamente.

SECCIÓN B.- DEL EJERCICIO DE LOS DERECHOS ARCO-POL

Delegado de protección de datos personales

Artículo 15.- Los sujetos obligados por la presente ley deberán de nombrar un delegado de protección de datos personales, en adelante delegado, quien se encargará de gestionar y tramitar las solicitudes para el ejercicio de los derechos ARCO-POL.

Atribuciones

Artículo 16.- El delegado tendrá las siguientes atribuciones:

a) Recibir, tramitar y resolver las solicitudes para el ejercicio de los derechos ARCOPOL.

b) Auxiliar y orientar al responsable en las actividades que lo requiera con relación al ejercicio del derecho de los titulares de datos personales.

c) Establecer mecanismos para asegurar que los datos personales solo se entreguen a su titular o al representante de éste que se encuentre debidamente acreditado.

d) Proponer procedimientos internos que aseguren y fortalezcan con mayor eficiencia la gestión de las solicitudes para el ejercicio de los derechos ARCO-POL.

e) Asesorar a las áreas en materia de protección de datos personales.

f) Realizar actividades de formación en el personal de la institución relativas a los derechos y obligaciones establecidos en la presente ley.

g) Publicar el aviso de privacidad en el sitio web del responsable o en lugares fisibles dentro de los establecimientos de éste, según se determine en los lineamientos aplicables.

Deber de asistencia

Artículo 17.- Sera obligación de cada dependencia, empleado o proveedor del responsable del tratamiento de datos de asistir y atender a las peticiones canalizadas por el delegado en el ejercicio de sus funciones.

De la Solicitud.

Artículo 18.- El titular o su representante podrán solicitar al responsable del banco de datos, base de datos, repositorio o de los sistemas o registros, tanto manuales como informáticos, en los casos establecidos en la presente ley, el ejercicio de sus derechos ARCO-POL. Los requisitos que deberá contener dicha solicitud son los siguientes:

a) El nombre del titular o su representante, su domicilio y los medios para recibir notificaciones.

b) Los documentos que acrediten la identidad del titular y, en su caso, de la persona que le represente.

c) De ser posible, hacer mención del área del responsable que trata los datos personales.

d) La descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los derechos ARCO-POL, salvo que se trate del derecho de acceso.

e) La descripción del derecho ARCO-POL que se pretende ejercer, o bien, lo que solicita el titular.

f) Cualquier otro elemento o documento que facilite la localización de los datos personales, en su caso.

g) Firma del titular o de la persona que lo representa, o cualquier otro medio equivalente que permite establecer la anuencia de éstos.

La presentación de la solicitud de derechos ARCO-POL deberá realizarse al delegado. Cuando se traté de una solicitud de acceso a datos personales, el titular deberá señalar la modalidad en la que prefiere que éstos se reproduzcan. El delegado deberá atender la solicitud en la modalidad requerida por el titular, salvo que exista una imposibilidad física o jurídica que lo limite a reproducir los datos personales en dicha modalidad, en este caso deberá ofrecer otras modalidades de entrega de los datos personales, fundando y motivando dicha actuación.

En caso de que la solicitud de protección de datos no cumpla con alguno de los requisitos a que se refiere este artículo o se requiera información adicional, el delegado deberá realizar la prevención respectiva por una sola ocasión, para que subsane las omisiones dentro de un plazo de diez días hábiles contados a partir del día siguiente al de la notificación. Si el interesado no realiza la actuación requerida en el plazo previsto o la realiza sin atender a las prevenciones realizadas, se archivará su escrito sin más trámite y quedará a salvo su derecho de presentar una nueva solicitud.

Incompetencia del responsable

Artículo 19.- Si de la verificación de la solicitud de derechos ARCO-POL, el delegado advirtiera que el responsable no es el competente para atenderla o que la solicitud corresponde a un derecho diferente de los previstos en la presente ley, deberá hacerlo del conocimiento del titular y le devolverá la petición dentro de los cinco días hábiles posteriores a su recepción.

Plazos de respuesta

Artículo 20.- El delegado deberá entregar al titular o su representante la respuesta respectiva a la solicitud de derechos ARCO-POL en el plazo de veinte días hábiles, pudiendo prorrogarse este plazo por causas justificadas y sin que dicha prórroga exceda otros veinte días hábiles.

Entrega de la información

Artículo 21.- La obligación de acceso a la información se dará por cumplida cuando se pongan a disposición del titular los datos personales mediante la expedición de copias simples, copias certificadas, consulta directa, documentos electrónicos o cualquier otro medio análogo.

Durante el proceso de rectificación de datos personales, el delegado deberá dejar constancia que dicha información se encuentra sometida a un proceso de rectificación ante el requerimiento de terceros para acceder a la misma.

En el supuesto de comunicación o transferencia de datos personales, el delegado deberá notificar la rectificación, actualización o eliminación de dichos datos a quienes hayan recibido los mismos, dentro de los cinco días hábiles posteriores a la determinación de la procedencia de la solicitud del titular.

Excepciones al ejercicio de los derechos de ARCO-POL

Artículo 22.- El delegado podrá denegar el acceso a los datos personales o a realizar la rectificación, cancelación, portabilidad, olvido o conceder la oposición o limitación al tratamiento de éstos, en los siguientes supuestos:

a) Cuando el solicitante no sea el titular de los datos personales, o el representante no esté debidamente acreditado para ello.

b) Cuando en el banco de datos, base de datos, repositorio, sistemas o registros, tanto manuales como informáticos, no se encuentren los datos personales del solicitante.

c) Cuando se perjudiquen los derechos e intereses legítimos de un tercero.

d) Ante un notorio error del solicitante respecto a la identificación de los datos personales o falsedad de los hechos descritos por el solicitante que supuestamente posibilitarían el ejercicio de los derechos ARCO-POL.

e) Cuando exista un impedimento legal, o la resolución de una autoridad competente, que restrinja el acceso a los datos personales, o no permita la rectificación, supresión u oposición de éstos.

f) Cuando la cancelación u oposición haya sido previamente realizada.

g) Cuando el responsable no sea competente.

h) En los demás casos establecidos en la presente ley y otras leyes aplicables.

La negativa a que se refiere este artículo podrá ser parcial en cuyo caso el responsable efectuará el acceso, rectificación, cancelación o supresión, oposición, portabilidad, olvido o limitación solo de los datos que considero procedente modificar.

En todos los casos anteriores, el delegado deberá notificar a través de una resolución motivada, las razones de su decisión y comunicarla al titular, o en su caso, al representante, en los plazos de tres días hábiles a la adopción de la decisión. La notificación deberá efectuarse por el mismo medio señalado por el titular y deberá acompañarse, en su caso, de las pruebas y cualquier documentación que se tomó en cuenta al momento de emitir el pronunciamiento respectivo.

Costos

Artículo 23.- El ejercicio de los derechos ARCO-POL es gratuito y sólo podrán realizarse cobros de los costos de reproducción, certificación o envío. La reproducción o envío de la información será sufragada por el solicitante, sin embargo, su valor no podrá ser superior al de los materiales utilizados o de los costos de remisión. El responsable deberá publicar y comunicar a los interesados de los costos de reproducción y envío de sus datos personales

En caso de que los datos personales deban entregarse en dispositivos magnéticos o electrónicos, el interesado deberá aportar el medio en que serán almacenados. Para el envío por vía electrónica no tendrá costo alguno, siempre y cuando sea posible realizar a través de dicho mecanismo.

TÍTULO II. DE LAS ACTIVIDADES REALIZADAS SOBRE LOS DATOS PERSONALES

CAPÍTULO I. PRIVACIDAD DE LOS DATOS PERSONALES

Aviso de privacidad

Artículo 24.- El aviso de privacidad es el documento físico, electrónico o digital mediante el cual el responsable, previo al tratamiento y recolección de datos, informa al titular sobre los términos bajo los cuales serán tratados sus datos personales. Este aviso deberá ser consistente con la política de privacidad que deberá elaborar el responsable para tal efecto.

El contenido del aviso de privacidad tendrá, al menos, la siguiente información:

a) El domicilio del responsable.

b) Los datos personales que serán sometidos a tratamiento, identificando aquéllos que son sensibles.

c) El fundamento legal que faculta al responsable para realizar el tratamiento.

d) Las finalidades del tratamiento para las cuales se obtienen los datos personales, distinguiendo aquéllas que requieren el consentimiento del titular.

e) Los mecanismos, medios y procedimientos disponibles para ejercer los derechos ARCO-POL y los mecanismos para revocar el consentimiento.

f) Indicación del nombre del delegado y lugar o medios para presentar la solicitud de derechos ARCO-POL.

g) Los medios a través de los cuales el responsable comunicará a los titulares los cambios al aviso de privacidad.

h) Los datos de contacto de la entidad subcontratada encargada del tratamiento de datos personales, en caso de existir.

i) El uso de cookies.

El aviso de privacidad podrá ser difundido por los medios físicos o electrónicos al titular de los datos personales, debiendo ser redactado y estructurado de manera clara y sencilla. En ningún caso el responsable podrá eximirse de la obligación de comunicarlo por escrito al titular al momento de que este otorgue su consentimiento informado para que sus datos puedan ser tratados.

Notificación de vulneraciones a la seguridad de los datos personales

Artículo 25.- Cuando el responsable tenga conocimiento de una vulneración de seguridad de datos personales ocurrida en cualquier fase del tratamiento, entendiéndose ésta como cualquier daño, pérdida, alteración, destrucción, acceso ilegitimo, y en general, cualquier uso ilícito o no autorizado de los datos personales aun cuando ocurriera de manera accidental, notificará a la Agencia de Ciberseguridad del Estado, a la Fiscalía General de la República y a los titulares afectados dicho acontecimiento, para lo cual se establece un plazo máximo de setenta y dos horas desde que se tuvo conocimiento de la vulneración de seguridad.

Dentro de este mismo plazo, el responsable deberá iniciar un proceso de revisión exhaustiva para determinar la magnitud de la afectación, y las medidas correctivas y preventivas que correspondan, así como la actualización de las políticas de seguridad del responsable de la base de datos para evitar nuevas vulneraciones

La notificación que realice el responsable a la Entidad Rectora estará redactada en un lenguaje claro y sencillo y contendrá, al menos, la siguiente información:

a) La naturaleza del incidente.

b) Los datos personales comprometidos.

c) Las acciones correctivas generales realizadas de forma inmediata.

d) Las recomendaciones al titular sobre las medidas que éste pueda adoptar para proteger sus intereses.

e) Los medios disponibles al titular para obtener mayor información al respecto.

La notificación dirigida a los titulares afectados únicamente deberá contener lo establecido en los literales a), b), d) y e).

Asimismo, el responsable documentará toda vulneración ocurrida en cualquier fase del tratamiento que ocasione un riesgo en la seguridad de los datos personales, identificando de manera enunciativa más no limitativa, la fecha en que ocurrió, el motivo de la vulneración, los hechos relacionados con ella, sus efectos o implicaciones y las medidas correctivas implementadas de forma inmediata y definitiva, la cual estará a disposición de la autoridad encargada de la materia.

CAPÍTULO II. DEL PREVIO CONSENTIMIENTO INFORMADO

Formas del consentimiento

Artículo 26.- El consentimiento deberá ser expreso, y se podrá manifestar de manera verbal, por escrito o a través de signos inequívocos, siempre y cuando conste por medios físicos, electrónicos o cualquier otro medio tecnológico.

En el caso del consentimiento de los niños, niñas y adolescentes para proporcionar sus datos personales se tomará en cuenta el Principio de Ejercicio Progresivo de las Facultades, en lo pertinente y adecuado para la aplicación de la presente ley.

Cuando se trate de datos personales de personas declaradas incapaces se estará a lo dispuesto por el derecho común.

Tratándose de datos personales sensibles, el responsable deberá obtener el consentimiento por escrito del titular para su tratamiento, a través de su firma autógrafa o su equivalente.

Requisitos del consentimiento

Artículo 27.- Para el tratamiento de los datos personales, y en especial de los datos personales sensibles, será necesaria la obtención del consentimiento del titular o en su caso de su representante, debiendo ser dicho consentimiento:

a) Libre: no debe mediar error, mala fe, dolo, violencia física, psicológica o cualquier otra forma de violencia, que puedan afectar la manifestación de voluntad del titular.

b) Específico: referido a una o varias finalidades determinadas y definidas que justifiquen el tratamiento.

c) Informado: que el titular tenga conocimiento previo al tratamiento, a qué serán sometidos sus datos personales y las consecuencias de otorgar su consentimiento.

d) Expreso: debe ser inequívoco, de forma tal que pueda demostrarse su otorgamiento. El consentimiento puede ser obtenido por medios físicos o electrónicos.

e) Individualizado: debe existir al menos un otorgamiento del consentimiento por parte de cada titular de los datos personales.

Excepciones del Consentimiento

Artículo 28.- No será necesario el previo consentimiento para el tratamiento de los datos personales en los casos siguientes:

a) Cuando los datos personales figuren en fuentes de acceso público, siempre y cuando no constituyan datos personales sensibles.

b) Cuando el titular de los datos personales no esté en condiciones de otorgar el consentimiento y este sea necesario para efectuar un tratamiento para la prevención, diagnóstico, la prestación de asistencia sanitaria, tratamientos médicos o la gestión de servicios sanitarios, en los términos que establece las disposiciones jurídicas aplicables, y que dicho tratamiento de datos personales se realice por una persona sujeta al secreto profesional u obligación equivalente.

c) Cuando exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes o tenga por finalidad proteger un interés vital del titular o de otra persona física que no esté capacitada para dar su consentimiento o no pueda darlo en ese momento.

d) Cuando los datos personales se sometan a un procedimiento previo de disociación.

e) Cuando el titular de los datos personales sea una persona reportada como desaparecida en los términos de la ley aplicable para tales efectos.

f) Cuando deriven de una relación contractual, científica o profesional del titular de los datos personales, y sean necesarios para su desarrollo o cumplimiento.

g) Cuando se trate de datos personales que el titular ha hecho ya manifiestamente públicos.

h) Cuando formen parte de archivos históricos, se recaben para fines de investigación científica o histórica o fines estadísticos siempre y cuando sea probable que los derechos citados anteriormente imposibiliten u obstaculicen gravemente el logro de los fines científicos y cuanto esas excepciones sean necesarias para alcanzar esos fines.

De la revocación del consentimiento

Artículo 29.- En cualquier momento, el titular podrá revocar de forma expresa su consentimiento para el tratamiento de sus datos personales, sin efecto retroactivo, para lo cual el responsable deberá establecer mecanismos expeditos, sencillos y gratuitos, que permitan al titular realizar dicha revocación.

Esta revocación no afectará la licitud del tratamiento posterior que realice el responsable, si este es ejecutado sobre la base de otras de las causales establecidas en la presente ley que lo justifiquen.

Trámite de la revocación

Artículo 30.- El delegado, ante la presentación de la solicitud de revocación del consentimiento, contará con un plazo de cinco días hábiles a partir de su recepción para proceder conforme a la revocación. Sí estos datos personales también son tratados por un encargado del tratamiento, el delegado deberá informarle de la resolución de revocación en el plazo de cinco días hábiles a partir de la fecha de emisión de esta, para que la ejecute inmediatamente.

Negativa a la revocación

Artículo 31.- En caso de negativa por parte del responsable a tramitar la revocación del consentimiento, el titular, sin perjuicio de otras acciones que conforme al ordenamiento jurídico pudiera ejercer, podrá presentar su denuncia ante la Entidad Rectora de la presente ley.

CAPÍTULO III. DEL TRATAMIENTO DE DATOS PERSONALES

Tratamiento de datos personales

Artículo 32.- El tratamiento de datos personales por parte de todos los responsables sólo podrá efectuarse respecto de los fines previamente informados y con sujeción a las normas aplicables. En el caso de las instituciones o empresa privada, únicamente deberá realizar el tratamiento de los datos personales que tengan relación directa con la naturaleza de los servicios que prestarán o prestaron al titular, en ningún caso podrán transferir o tratar datos personales de terceros para ofrecer otro tipo de servicios o cualquier finalidad diferente a la que éstos fueron recabados, sin previa autorización del titular.

Procedimientos para el ejercicio de los derechos ARCO-POL

Artículo 33.- El responsable establecerá y documentará procedimientos para el ejercicio de los derechos ARCO-POL sobre los datos personales objetos de tratamiento, con base en las políticas de actuación emitidas por la Entidad Rectora y las medidas de seguridad mínimas necesarias.

En los casos en el que el responsable subcontrate servicios en los cuales se conceda acceso a los datos personales, estos proveedores deberán someterse a la presente ley y a los lineamientos que el responsable y la Entidad Rectora establezca para garantizar el adecuado tratamiento de los datos personales.

Obligaciones para el tratamiento de datos personales

Artículo 34.- El responsable, y en su caso el encargado del tratamiento de datos, además del cumplimiento de los principios establecidos en la presente ley, tendrá las obligaciones siguientes:

a) Limitar el tratamiento de los datos personales de conformidad a la finalidad para la que se emitió el consentimiento por parte del titular.

b) Implementar las medidas de seguridad y cumplir con las políticas de actuación conforme a la presente ley.

c) Guardar confidencialidad en el tratamiento de los datos personales.

d) Cualquier otra obligación que le atribuya la presente ley.

De las políticas de actuación y manejo de datos personales

Artículo 35.- La Entidad Rectora dictará las políticas de actuación y manejo de datos personales, las cuales serán imperativas a los sujetos obligados por la presente ley.

De las medidas de seguridad en el tratamiento de datos personales

Artículo 36.- El responsable deberá acatar y mantener las medidas de seguridad establecidas por la Entidad Rectora para el resguardo y el tratamiento de los datos personales y que garanticen el cumplimiento de las características mínimas de seguridad de la información, tales como integridad, disponibilidad y confidencialidad.

El responsable deberá aplicar los mecanismos tecnológicos, regulatorios y procedimentales que garanticen el cumplimiento de las características de seguridad de información. Lo dispuesto en este artículo también será de obligatorio cumplimiento para el encargado del tratamiento de datos personales.

CAPÍTULO IV. DEL TRATAMIENTO DE DATOS SENSIBLES

Datos sensibles

Artículo 37.- Ninguna persona puede ser obligada a proporcionar sus datos personales sensibles. Éstos sólo podrán ser objeto de tratamiento con el consentimiento expreso e inequívoco del titular de conformidad con lo establecido en la presente ley, advirtiendo en todo caso al titular de dichos datos sobre su derecho a no prestarlo.

Excepcionalmente podrán ser objeto de tratamiento los datos a que se refiere el párrafo anterior cuando sea necesario para salvaguardar la vida del titular de los mismos o de otra persona, en el supuesto de que éste se encuentre física o jurídicamente incapacitado para dar su consentimiento.

No obstante lo dispuesto en el inciso primero de este artículo, podrán ser objeto de tratamiento los datos personales relativos a la salud, cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta a una obligación equivalente al secreto, garantizándose así la confidencialidad de los datos y que ellos no puedan ser utilizados para propósitos diferentes.

De la recolección de datos sensibles

Artículo 38.- Los datos personales sensibles sólo pueden ser recolectados y ser objeto de tratamiento en los casos establecidos por la presente ley, cuando medien razones de interés general autorizadas por otras disposiciones legales aplicables o cuando el responsable tenga un mandato legal para hacerlo.

También podrán ser tratados con finalidades estadísticas o científicas cuando se disocien de sus titulares.

Datos relativos a la salud

Artículo 39.- Los establecimientos de salud y los profesionales vinculados a las ciencias de la salud podrán recolectar y tratar los datos personales relativos a la salud física o mental de los pacientes que acudan a los mismos o que estén o hubieren estado bajo tratamiento de aquéllos, respetando el secreto profesional, los derechos de los pacientes establecidos en la Ley de Deberes y Derechos de los Pacientes y Prestadores de Servicios de Salud, la normativa específica aplicable y lo establecido en la presente ley.

CAPÍTULO V. DE LA TRANSFERENCIA DE DATOS

Transferencia de datos

Artículo 40.- Los datos personales objeto de tratamiento sólo pueden ser transferidos para el cumplimiento de los fines directamente relacionados con el interés legítimo del titular de los mismos o del responsable de la base de datos, y con el previo consentimiento del primero de éstos, a quien se deberá informar sobre la finalidad de la transferencia e identificar al cesionario o los elementos que permitan hacerlo. El consentimiento otorgado podrá revocarse cuando el titular de la información así lo decidiere.

Contrato para la transferencia de datos

Artículo 41.- El responsable de la transferencia de datos personales deberá suscribir un contrato con el responsable receptor, en el cual se prevean como mínimo las mismas obligaciones a las que se encuentra sujeto el responsable de la transferencia de dichos datos.

Interés superior de las niñas, niños y adolescentes

Artículo 42.- En cualquier tipo de tratamiento de datos personales se garantizará el interés superior de las niñas, niños y adolescentes, de conformidad con lo dispuesto en las leyes vigentes o tratados internacionales aplicables a dicha materia.

El ejercicio de los derechos de los niñas, niños y adolescentes implica previamente informarles tanto a éstos, como a sus progenitores o tutores legales, sobre su contenido y como ejercerlos. La información a los niñas, niños y adolescentes deberá ser presentada en un lenguaje claro, sencillo y adaptado a su edad y capacidad de comprensión, debiendo estar la información y los datos accesibles en todo momento, todo de acuerdo al Principio del Ejercicio Progresivo de las Facultades.

Otras garantías

Artículo 43.- En cualquier tipo de tratamiento de datos se deberán observar los preceptos establecidos en las leyes vigentes y tratados internacionales en materias relativas a los derechos de grupos específicos y que por su condición se encuentran en situación de desventaja, tales como personas con discapacidad, adultos mayores, población indígena, entre otros.

Transferencia internacional de datos personales

Artículo 44.- La transferencia de datos personales de cualquier tipo con países u organismos internacionales será permitida solamente cuando el país receptor o importador de datos personales cumpla como mínimo con los principios de protección de datos personales definidos en la presente ley o por los estándares internacionales en la materia. De ninguna manera, las garantías ofrecidas deberán ser menores a las exigidas por el ordenamiento jurídico vigente en El Salvador.

En caso de que el país receptor o importador de datos personales no cuente con un nivel de protección adecuado, el país emisor deberá garantizar que el tratamiento de los datos personales se efectué conforme a lo dispuesto por la presente ley.

Sin perjuicio de las transferencias de datos personales que se realicen a países que tienen un nivel adecuado de protección, los responsables, en virtud del principio de responsabilidad demostrada, deberán de implementar las medidas apropiadas y efectivas a fin de garantizar el adecuado tratamiento de los datos personales que transfieren al país receptor y la seguridad a los registros al momento de efectuar dicha transferencia.

Queda exceptuado el caso de los tratados de Integración Económica Centroamericana, ya que por la naturaleza comercial en la región se podrá optar a la transferencia de datos conforme a lo adoptado y acordado legalmente entre los países miembros del mismo tratado.

En todo caso deberá mediar el consentimiento previo del titular de los datos personales, salvo se establezcan excepciones en los instrumentos internacionales pertinentes y estas operen recíprocamente entre los países que los suscriban.

Participación de la Entidad Rectora

Artículo 45.- Los responsables de los bancos de datos, bases de datos, repositorios o de los sistemas o registros, tanto manuales como informáticos, podrán solicitar la opinión del Entidad Rectora, respecto a si el flujo transfronterizo de datos personales que realiza o realizará cumple con lo dispuesto por la presente ley.

En cualquier caso, el flujo transfronterizo de datos personales se pondrá en conocimiento de dicho organismo, incluyendo la información que se requiere para la transferencia de datos personales y el registro de banco de datos.

TÍTULO III. CAPÍTULO UNICO

ENTIDADES PÚBLICAS Y RELACIONADAS

Tratamiento de datos del sector público

Artículo 46.- Los sujetos mencionados en el inciso segundo del artículo 2 de la presente ley podrán recopilar y realizar el tratamiento de los datos personales a los que tuvieran acceso en atención al ejercicio de sus competencias o facultades legales, aun sin el consentimiento expreso de los titulares de éstos.

Sin embargo, los titulares o sus representantes podrán ejercer respecto de dichos datos, en los casos que fuera aplicable, los siguientes derechos:

a) Derecho de acceso a datos personales, según se dispone en el artículo 8 de la presente ley.

b) Derecho de rectificación, según se dispone en el artículo 9 de la presente ley.

c) Derecho de cancelación o supresión, solo en el supuesto del literal e), inciso primero del artículo 10 de la presente ley.

d) Derecho de oposición, según lo dispone el artículo 12 de la presente ley.

e) Derecho a la limitación, solo en el supuesto del literal a), c) y d) del artículo 13 de la presente ley.

Ejercicio de derechos

Artículo 47.- Para el ejercicio de los derechos contemplados en el artículo anterior, se deberá cumplir con lo dispuesto en la Sección B, Capítulo III del Título I de la presente ley. Para tales efectos, el nombramiento del delegado podrá recaer en el Oficial de Información de la institución pertinente.

Obligación de informar

Artículo 48.- Los sujetos mencionados en el inciso segundo del artículo 2 deberán informar a sus usuarios de la posibilidad de que sus datos personales sean recopilados y sometidos a tratamientos, así como la información de contacto del delegado y los medios para ejercer sus derechos.

Esta información deberá comunicarse a través de avisos en sus sitios web, plataformas digitales, sus formularios o por cualquier otro medio adecuado para tal fin.

Transferencias y difusión

Artículo 49.- Los sujetos obligados por el presente capítulo no podrán transferir, difundir, distribuir o comercializar los datos personales obtenidos en el ejercicio de sus competencias o facultades legales, salvo que haya mediado el consentimiento expreso y libre, por escrito o por un medio equivalente, de sus titulares.

Se podrá transferir o difundir los datos personales, aún sin el consentimiento del titular, únicamente en los siguientes casos:

a) Cuando fuere necesario por razones estadísticas, científicas o de interés general, siempre que los mismos sean disociados o seudonimizados.

b) Cuando se transmitan entre instituciones públicas u órganos del Estado, siempre y cuando se destinen al ejercicio de sus facultades legales.

c) Cuando se trate de la investigación de delitos e infracciones administrativas, en cuyo caso se seguirán los procedimientos previstos en las leyes pertinentes.

d) Cuando exista orden judicial.

e) Cuando contraten o recurran a terceros para la prestación de un servicio que demande el tratamiento de datos personales.

En el caso contemplado en el literal e), los terceros deberán suscribir un acuerdo de confidencialidad con la entidad pública involucrada y estarán sujetos a todas las obligaciones para la protección de datos personales contempladas en la presente ley.

TÍTULO IV. DE LA ENTIDAD RECTORA Y EL REGIMEN SANCIONADOR

CAPÍTULO I. ENTIDAD RECTORA

Entidad Rectora y sus atribuciones

Artículo 50.- La aplicación y supervisión de la presente ley corresponderá a la Agencia de Ciberseguridad del Estado, en adelante «ACE» o la «Agencia», para lo cual ejercerá las siguientes atribuciones:

a) Controlar, inspeccionar y supervisar a las instituciones obligadas en el marco de aplicación de la presente ley.

b) Ejercer la potestad sancionadora en materia de protección de datos personales y en los términos fijados por la presente ley.

c) Dictar, modificar o anular medidas provisionales según lo dispuesto en la Ley de Procedimientos Administrativos.

d) Garantizar la efectiva protección de datos personales de acuerdo con las facultades que le otorga la presente ley.

e) Promover programas de divulgación de esta ley dirigidos a los sujetos obligados al cumplimiento de la misma y a la población en general, con énfasis en la sensibilización del público y comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento de datos personales, con especial énfasis en la niñez, adolescencia y adultos mayores.

f) Resolver las controversias que se susciten entre los titulares, los responsables y los encargados del tratamiento, con relación a la clasificación y desclasificación de datos personales sensibles.

g) Proporcionar cuando sea requerido apoyo técnico a los responsables del tratamiento, en la elaboración y ejecución de sus programas de protección de datos personales.

h) Cooperar, en particular compartiendo información, siempre que no se trate de datos personales o datos personales sensibles, con otras autoridades de control en el ejercicio de sus funciones y prestar asistencia mutua con el fin de garantizar la coherencia en la aplicación y ejecución de la presente ley.

i) Dictar las políticas de actuación sobre el manejo y mantenimiento de los datos personales, así como las medidas de seguridad y protección de los mismos, procurando la implementación, en lo que fuera aplicable, de las buenas prácticas a nivel internacional.

j) Crear mecanismos de certificación de la protección de datos y de sellos y marcas para los mismos efectos, así como aprobar que terceros emitan certificaciones sobre dicha materia.

k) Realizar una revisión periódica de las certificaciones expedidas a que se refiere el literal anterior, siempre que fuera procedente.

l) Realizar auditorías anuales de las certificaciones expedidas.

m) Impartir capacitaciones a los instituciones públicas y privadas, así como a sus miembros, en materia de protección de datos personales y su administración.

n) Dictar las guías de implementación de la presente ley, las cuales deberán ser publicadas en su página web, redes sociales y cualquier otro medio que considere pertinente.

o) Asesorar y cooperar con los entes obligados en el cumplimiento de esta ley.

p) Recomendar cláusulas contractuales que garanticen la protección de los datos personales de acuerdo con la presente ley.

q) Elaborar los modelos de formularios para la realización de solicitudes de los derechos ARCO-POL y la revocación del consentimiento de los titulares de los datos personales.

r) Realizar o apoyar las investigaciones científicas o académicas sobre la aplicación de la presente ley.

s) Asistir y asesorar a los ciudadanos que lo requieran sobre los alcances de la presente ley y de los medios legales de que disponen para la defensa de los derechos que ésta garantiza.

t) Solicitar a las entidades públicas y privadas la información referida a los antecedentes, documentos, programas u otros elementos relativos al tratamiento de los datos personales, garantizando la integridad, seguridad y confidencialidad de la información y elementos suministrados.

u) Asesorar en la forma pertinente al órgano Ejecutivo en la consideración de los proyectos de ley que se refieran total o parcialmente a protección de datos personales.

v) Las demás que le confiera esta ley, reglamentos u otras disposiciones legales aplicables.

En el ejercicio de sus atribuciones, la Agencia podrá emplear procedimientos automatizados de acuerdo con las herramientas tecnológicas a su alcance.

Ejercicio de potestades

Artículo 51.- El Director General de la ACE ejercerá las atribuciones y facultades que le correspondan según lo dispuesto en la presente ley, a excepción de la potestad para imponer sanciones.

Para asistir al Director General en el ejercicio de sus funciones, será nombrado un Director de Protección de Datos Personales. Este funcionario también conocerá de los procedimientos administrativos para imponer las sanciones que establece la presente ley, y podrá delegar la instrucción y sustanciación de estos procedimientos, no así la imposición de la sanción, en un empleado o funcionario de la ACE distinto del Director General.

La Agencia establecerá las dependencias o unidades administrativas necesarias para realizar todas las actividades necesarias en materia de protección de datos personales.

Requisitos

Artículo 52.- Para ser Director de Protección de Datos Personales se requiere:

a) Tener un grado universitario, nacional o extranjero, de preferencia en ciencias jurídicas, informática, ciencias de la computación, ingeniería en sistemas, telecomunicaciones u otras áreas relacionadas.

b) Acreditar experiencia profesional y laboral en materia de protección de datos personales o seguridad de la información.

c) Ser de reconocida honorabilidad y probidad.

d) Haberse desempeñado en forma destacada en asuntos profesionales, de servicio público o académico.

Con relación a lo relativo a los impedimentos, incompatibilidades y cesación del cargo del Director de Protección de Datos Personales, se aplicará lo dispuesto en la Ley de Ciberseguridad y Seguridad de la Información.

CAPÍTULO II. DEL PROCEDIMIENTO SANCIONADOR

Procedimiento sancionador

Artículo 53.- Para el ejercicio de potestad sancionadora, el desarrollo del procedimiento y las reglas de prescripción de las infracciones y sanciones contemplada en la presente ley se aplicará lo dispuesto en la Ley de Ciberseguridad y Seguridad de la Información.

Carga de la prueba

Artículo 54.- Para efectos de demostrar la obtención del consentimiento o la comunicación de la política o del aviso de privacidad, la carga de la prueba recaerá específicamente en el responsable, conforme a las formas que se establecen en la presente Ley. Esto sin perjuicio de la facultad de aportar prueba a los otros intervinientes de los procedimientos administrativos sancionadores, según previstos por esta ley y otras disposiciones jurídicas aplicables a dichos procedimientos.

Tratándose de transferencias internacionales de datos personales, la carga de la prueba recaerá en el responsable de la transferencia, el cual deberá demostrar que el tratamiento o la transferencia fue realizado conforme a la presente ley o de acuerdo con los estándares internacionales en la materia.

Publicidad de las resoluciones

Artículo 55.- Todas las resoluciones emitidas por la ACE respecto a la imposición de sanciones de conformidad con la presente ley serán difundidas públicamente en su sitio web, en versiones públicas, siempre y cuando los datos personales sean disociados o anonimizados.

CAPÍTULO III. DE LAS INFRACCIONES Y SANCIONES

Infracciones

Artículo 56.- Las infracciones se clasificarán en leves, graves y muy graves:

a) Son consideradas infracciones leves, las siguientes:

1. No informar al titular de los datos personales acerca de sus derechos antes de ser recolectados.

2. No publicar los datos de contacto del encargado del tratamiento.

3. Omitir notificar respecto de las vulneraciones a la seguridad de los datos personales acaecidas a los sujetos pertinentes, de conformidad con lo dispuesto en el artículo 25 de la presente ley.

4. Acceder a un banco de datos, base de datos, repositorio, sistemas o registros, tanto manuales como informáticos, sin autorización del responsable de éstos.

5. Dar un tratamiento a los datos personales de forma inexacta o falsa.

6. Modificar los datos suministrados en el documento que autoriza el tratamiento de datos personales.

7. Exigir pago para atender las solicitudes que en la presente ley se establecen como gratuitas.

8. Incumplir con el Derecho de Información frente a la Recolección de Datos contenido en el artículo 7 o la obligación de informar del artículo 48, ambos de la presente ley.

9. No atender las solicitudes realizadas por parte de la ACE en materia de protección de datos personales.

b) Son consideradas infracciones graves, las siguientes:

1. Proporcionar de forma incompleta o inexacta la información relativa a los datos personales que del titular se traten, ya sean recolectados o inferidos, cuando este ejerza su derecho de acceso.

2. No atender las solicitudes de derechos ARCO-POL, en el tiempo y forma establecidos por la presente ley.

3. Procesar, recopilar o destinar datos personales con finalidad diferente para la que se otorgó el consentimiento o se habilito su tratamiento.

4. Obstaculizar el desarrollo de las auditorías o inspecciones que realice la ACE.

5. No implementar las medidas, controles técnicos o lineamientos que establezca la ACE en materia de protección de datos.

6. Incurrir en las prohibiciones establecidas en el artículo 59 de la presente ley.

7. No cumplir con las medidas de seguridad establecida en las políticas de actuación emitidas por la Agencia.

c) Son consideradas infracciones muy graves, las siguientes:

1. Tratar datos personales sin el consentimiento previo, de conformidad con lo establecido en el artículo 26 de la presente ley.

2. Denegar las solicitudes realizadas para el ejercicio de los derechos ARCO-POL en contravención a lo establecido en esta ley.

3. El uso de los datos personales de niños, niñas y adolescentes sin el previo consentimiento de sus padres, representantes o tutores, de conformidad con las leyes vigentes o tratados internacionales debidamente suscritos y ratificados por El Salvador.

4. Tratar datos personales de personas declaradas incapaces sin el consentimiento de su titular o su representante.

5. Realizar transferencia internacional de datos personales a países que no cumplan como mínimo con el nivel de protección exigido por la presente ley.

6. Realizar transferencia de datos personales sin el consentimiento de su titular o su representante, o en contravención de las excepciones que establezca la ley.

7. Comercializar datos personales a cualquier título sin el consentimiento de su titular.

8. Revertir la seudonimización de los datos personales sin el consentimiento del titular.

9. Tratar datos personales a pesar de la revocación del consentimiento otorgado por el titular.

10. No hacer efectiva la revocación del consentimiento ante la solicitud del titular cuando ésta proceda.

Multas

Artículo 57.- Sin perjuicio de las responsabilidades penales a que diere lugar, las infracciones determinadas en la presente ley serán sancionadas con las siguientes multas:

a) Las infracciones leves se sancionarán con multa de uno hasta un máximo de diez salarios mínimos mensuales vigentes del sector comercio.

b) Las infracciones graves se sancionarán con multa de once hasta un máximo de veinticinco salarios mínimos mensuales vigentes del sector comercio.

c) Las infracciones muy graves se sancionarán con multa de veintiséis hasta un máximo de cuarenta salarios mínimos mensuales vigentes del sector comercio.

Medidas adicionales

Artículo 58.- Determinada la procedencia de la sanción, la Agencia podrá ordenar al infractor o el sujeto obligado relacionado que adopte las medidas que fueren necesarias para restablecer la legalidad alterada por la infracción o que permita la corrección de los derechos o las situaciones vulneradas.

Todas las sanciones determinadas en la presente ley no eximen al infractor de las responsabilidades civiles o penales derivadas de las investigaciones correspondientes a que dieren lugar.

Prohibiciones

Artículo 59.- Queda prohibido a los sujetos obligados por la presente ley lo siguiente:

a) Crear bases de datos que contengan datos personales sensibles, en contravención a lo dispuesto en la presente ley o la normativa aplicable para tales efectos.

b) El tratamiento de datos personales que revelen el origen racial o étnico, nacionalidad, afiliación partidaria, convicciones religiosas, espirituales o filosóficas, así como los relativos a la salud, la vida y la orientación sexual, sin observar lo establecido en el capítulo IV del Título II de esta ley o la normativa aplicable para tales efectos.

c) Revelar, difundir o comercializar por cualquier medio los datos personales que ha tenido acceso con ocasión de su cargo, sin observar los requisitos que establece esta ley o la normativa aplicable para tales efectos.

d) Utilizar, transferir, compartir y comercializar a cualquier título y destino la información de las personas que conste en sus bancos de datos, bases de datos, repositorios, sistemas o registros, tanto manuales como informáticos, en contravención a lo dispuesto en la presente ley o la normativa aplicable para tales efectos.

TÍTULO V. CAPÍTULO ÚNICO

DISPOSICIONES TRANSITORIAS Y FINALES

Emisión de disposiciones y aplicación de la Ley

Artículo 60.- La ACE deberá dictar las políticas, medidas, guías y cualquier otra disposición necesaria para la aplicación de la presente ley a más tardar tres meses contados a partir de la vigencia de la misma.

Los sujetos obligados tendrán un plazo de tres meses a partir de la emisión de las referidas disposiciones para adecuar e implementar lo regulado respecto a la protección de datos personales.

De la recopilación y tratamiento de datos personales en poder de los sujetos obligados

Artículo 61.- A partir de la entrada en vigencia de la presente ley, los sujetos obligados deberán adoptar las medidas de protección de datos personales que establezca la ACE para aquellos datos personales obtenidos previo a la entrada en vigencia de la misma.

Asimismo, tendrán un plazo de seis meses contados a partir de la vigencia de la presente ley para establecer mecanismos para que los titulares de los datos personales ejercen sus derechos en el marco de la protección de datos personales.

Ley supletoria

Artículo 62.- En todo lo no previsto en la presente ley se estará a lo dispuesto en la Ley de Procedimientos Administrativos.

Especialidad y derogatoria

Artículo 63.- La presente ley tendrá carácter especial en su aplicación respecto de otras leyes que regulen la materia de protección de datos personales por parte de todos los sujetos obligados, en ese sentido, quedan derogadas expresamente todas las disposiciones contenidas en leyes generales o especiales que la contraríen.

Adicionalmente, se deroga expresamente el literal h) del artículo 3; literales a) y b) del artículo 6, el título III, literal b) del artículo 50, literales i) y j) del artículo 58, literales a) y b) del artículo 83 y cualquier otra mención que haga alusión a los datos personales en la Ley de Acceso a la Información Pública, aprobada por Decreto Legislativo n.º 534, de fecha 2 de diciembre de 2010, publicado en el Diario Oficial n.º 70, Tomo n.º 391, del 8 de abril de 2011.

Vigencia

Artículo 64.- El presente decreto entrará en vigencia ocho días después de su publicación en el Diario Oficial.

DADO EN EL SALÓN AZUL DEL PALACIO LEGISLATIVO: San Salvador, a los doce días del mes de noviembre del año dos mil veinticuatro.

ERNESTO ALFREDO CASTRO ALDANA, Presidente

SUECY BEVERLEY CALLEJAS ESTRADA, Primera Vicepresidenta

KATHERYN ALEXIA RIVAS GONZÁLEZ, Segunda Vicepresidenta

ELISA MARCELA ROSALES RAMÍREZ, Primera Secretaria

REYNALDO ANTONIO LÓPEZ CARDOZA, Segundo Secretario

REINALDO ALCIDES CARBALLO CARBALLO, Tercer Secretario

CASA PRESIDENCIAL: San Salvador, a los catorce días del mes de noviembre de dos mil veinticuatro.

PUBLÍQUESE,

NAYIB ARMANDO BUKELE ORTEZ, Presidente de la República.

HÉCTOR GUSTAVO VILLATORO, Ministro de justicia y Seguridad Pública.

19Ene/25

Decreto nº 143. Ley de Ciberseguridad y Seguridad de la información de 12 de noviembre de 2024

El Salvador, Ley, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Decreto nº 143. Ley de Ciberseguridad y Seguridad de la información de 12 de noviembre de 2024 (Diario Oficial nº 219, Tomo nº 445 de 15 de noviembre de 2024) .

DECRETO N.° 143

LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE EL SALVADOR,

CONSIDERANDO:

I. Que el inciso primero del artículo 1 de la Constitución de la República establece que la persona humana es el origen y el fin de la actividad del Estado, organizando a éste para la consecución de la justicia, de la seguridad jurídica y del bien común.

II. Que el uso de las redes y los sistemas de información por parte de los ciudadanos, los organismos y las instituciones del Estado convierte a la digitalización y la conectividad en elementos esenciales en el desarrollo de las actividades de la sociedad y la economía. Asimismo, la información de los individuos, empresas y gobiernos coexiste con estas tecnologías y el ciberespacio; lo cual hace indispensable crear las condiciones para salvaguardar ésta en aras de proteger los intereses públicos y privados en el área de ciberseguridad y seguridad de la información.

III. Que en la actualidad existe la amenaza de ciertos comportamientos que tienen el potencial de afectar a la ciudadanía en general, mediante la realización de cualquier acción que tenga como objetivo perjudicar o comprometer la confidencialidad o integridad de la información, la disponibilidad, resiliencia o integridad de sistemas informáticos, equipos, redes, infraestructuras de los órganos del Estado, sus dependencias, las instituciones autónomas, las autoridades municipales o cualquier otra entidad u organismo que administren recursos públicos, bienes del Estado, ejecuten actos de la administración pública en general o posean incidencia en las infraestructuras críticas del país.

IV. Que las amenazas antes mencionadas son un riesgo creciente en el ámbito nacional e internacional, convirtiéndolas en una preocupación relevante con respecto al bienestar de la ciudadanía y la continuidad de las actividades gubernamentales; lo cual obliga a que las políticas de la nación generen el marco regulatorio necesario para robustecer y desarrollar la seguridad en dichos ámbitos.

V. Que, por lo antes expuesto, se vuelve imprescindible desarrollar el marco regulatorio que permitirá al Estado de El Salvador contar con todas las herramientas necesarias para mantener la continuidad de sus actividades y salvaguardar la seguridad de la información que administra o genera, en aras de garantizar que la ciudadanía conserve los derechos y beneficios que reciben a través de la actividad estatal.

POR TANTO,

en uso de sus facultades constitucionales y a iniciativa del presidente de la República, por medio del ministro de Justicia y Seguridad Pública,

DECRETA la siguiente:

LEY DE CIBERSEGURIDAD Y SEGURIDAD DE LA INFORMACIÓN

CAPÍTULO I.- DISPOSICIONES GENERALES

Objeto

Artículo 1.- La presente ley tiene como objeto establecer los principios, el marco legal, la institucionalidad, los lineamientos, así como las políticas de protección que permitan estructurar, regular, auditar y fiscalizar las medidas de ciberseguridad y seguridad de la información en poder de las instituciones públicas.

Ámbito de aplicación

Artículo 2.- Están obligados al cumplimiento de esta ley los órganos del Gobierno, sus dependencias, las instituciones oficiales autónomas, las autoridades municipales o cualquier otra entidad u organismo, independientemente de su forma, naturaleza o situación jurídica, mediante las cuales se administren recursos públicos, bienes del Estado, ejecuten actos de la administración pública en general o que posean incidencia en las infraestructuras críticas de la nación.

Se incluyen dentro de los recursos públicos aquellos fondos provenientes de Convenios o Tratados que celebre el Estado de El Salvador con otros Estados o con Organismos Internacionales, a menos que el Convenio o Tratado determine requisitos superiores en materia de ciberseguridad o seguridad de la información.

En consecuencia, todos los servidores públicos, dentro o fuera del territorio de la República, y las personas que laboren en las entidades mencionadas en este artículo, están obligados al cumplimiento íntegro de la presente ley.

Principios rectores

Artículo 3.- La presente ley contempla los siguientes principios:

a) Seguridad por diseño: los sujetos establecidos dentro del ámbito de aplicación de la presente ley deberán aplicar un enfoque de seguridad por diseño en el desarrollo, compra, aprovisionamiento, implementación y gestión de sistemas informáticos o equipos tecnológicos y en los procesos de administración de éstos, de manera que la ciberseguridad y seguridad de la información sea el objetivo originario, transversal y permanente durante la operación o utilización de los mismos.

b) Resiliencia, continuidad y disponibilidad: las medidas o acciones que se adopten en atención a la presente ley deben tener como propósito la reducción de los efectos adversos de los incidentes de ciberseguridad o seguridad de la información, la recuperación en el menor plazo posible y la continuidad y el fomento de la resistencia de las actividades críticas que dependen de los sistemas de información comprometidos.

c) Gestión de riesgos: evaluar y gestionar continuamente los riesgos de ciberseguridad o seguridad de la información, identificando las amenazas potenciales y aplicando medidas de mitigación adecuadas.

d) Cooperación: consiste en el deber de apoyar recíprocamente con la autoridad competente a fin de prevenir, detectar y responder a las amenazas o incidentes de ciberseguridad o seguridad de la información. Tal cooperación podrá materializarse mediante la interconexión, interdependencia de los sistemas informáticos u otras medidas adecuadas para ese fin.

e) Control de daños: las medidas o actuaciones frente a amenazas o incidentes de ciberseguridad o seguridad de la información deberán ser adoptadas y realizarse de forma oportuna y diligente, en aras de evitar el incremento de los daños y las vulneraciones a los sistemas, información y servicios, así como la posible afectación de otras áreas u operaciones.

f) Seguridad en el ciberespacio y sus anexos: los sujetos obligados por la presente ley deberán realizar todas las medidas posibles y necesarias para resguardar la seguridad de las redes, equipos y sistemas informáticos que se utilicen para el ejercicio de sus actividades y funciones, así como aquellas en las que almacenen, procesen y administren su información o la de sus usuarios.

g) Racionalidad, responsabilidad y proporcionalidad: las medidas o acciones que se implementen frente a las amenazas o incidentes de ciberseguridad o seguridad de la información deberán aplicarse de forma ecuánime, equitativa y adecuada al nivel de exposición a los riesgos inherentes a éstas, los daños que produzcan o su eventual impacto social y económico.

h) Confidencialidad: implementar las medidas, acciones o herramientas necesarias para garantizar que los sistemas informáticos, redes o información solo sean accesibles a los empleados, funcionarios, autoridades o usuarios autorizados para ello, protegiendo así la privacidad de los ciudadanos.

i) Integridad: acreditar la confiabilidad y exactitud de la información que gestionen o administren los sujetos obligados por la presente ley, evitando cualquier modificación a través del tiempo, alteración, corrupción o eliminación no autorizada.

j) Neutralidad tecnológica: la cual sustenta la no discriminación entre tecnologías, en la medida que ellas consistan en medios seguros y eficientes a través de los cuales sea posible dar cumplimiento a lo establecido en la presente ley.

Definiciones

Artículo 4.- Para los efectos de la presente ley se entenderá por:

a) Amenaza: toda acción, comportamiento o evento, real o potencial, que permita el ataque, invasión, vulneración o inhabilitación sobre los sistemas informáticos, equipos, redes o infraestructuras de los sujetos obligados por la presente ley.

b) Evento: hecho observable derivado de un acontecimiento en un sistema informático, equipo, red o infraestructura, que en caso de materializarse cambiaría un conjunto particular de circunstancias de los mismos.

c) Incidente: toda acción, comportamiento o evento que perjudique o comprometa la confidencialidad o integridad de la información, la disponibilidad, resiliencia o integridad de sistemas informáticos, equipos, redes, infraestructuras o procesos ejecutados o implementados en éstos.

d) Infraestructuras críticas: sistemas informáticos, equipos, redes o infraestructuras o servicios tecnológicos que soportan o asisten en la prestación de los servicios esenciales para la ciudadanía y que en ocasión de fallo podrían tener un impacto en éstos.

e) Ciberespacio: ambiente digital que no tiene límites físicos y/o geográficos y permite la interconexión o comunicación entre sistemas informáticos, equipos o infraestructuras.

f) Riesgo cibernético o informático: medida de la probabilidad de ocurrencia y potenciales resultados negativos, derivados de una falla o vulneración a las medidas de seguridad informática o de la información, que pueden afectar la privacidad, la integridad o la disponibilidad de los datos y/o servicios que se encuentran resguardados en el sistema informático.

g) Servicio esencial: es todo servicio que sea necesario para la seguridad nacional, defensa de la soberanía, economía del país, relaciones exteriores, mantenimiento del orden público, salud, bienestar de la ciudadanía y la realización de actividades sociales cruciales.

h) Sistema Informático: es un elemento o grupo de elementos interconectados o relacionados, pudiendo ser electrónicos, programas informáticos, enlaces de comunicación o la tecnología que en el futuro los reemplace, orientados al tratamiento y administración de datos e información.

i) Vulnerabilidad: cualquier debilidad de un sistema informático, equipo, red o infraestructura o en las medidas o políticas de seguridad que les apliquen a éstas, que pudiera derivar en una amenaza o incidente.

j) Activo de información: cualquier elemento valioso para los sujetos obligados por la presente ley y que tienen incidencia en los procesos o funciones que realizan.

k) Autenticación: propiedad de la información que da cuenta de su origen legítimo.

l) Infraestructura de telecomunicaciones: conjunto de técnicas, equipamiento, sistemas y procesos que permiten la transmisión a distancia de información, ya sea en forma de voz, datos, texto, imágenes o cualquier otra forma entre usuarios.

Del riesgo informático

Artículo 5.- Para efectos de la presente ley, se entenderá que existe riesgo informático cuando los sujetos regulados en el artículo 2 incumplan las normativas, protocolos, lineamientos, estándares y criterios técnicos establecidos por la Agencia de Ciberseguridad del Estado, los cuales se basarán en estándares nacionales o internacionales en materia de ciberseguridad y seguridad de la información.

Las disposiciones referidas en el inciso anterior deberán tener como marco de referencia los requerimientos técnicos o estándares emitidos por organizaciones que cuente con el reconocimiento de la industria en la que se pretenden aplicar, por sus aportes a la estandarización del rubro en cuestión, o que cuenten con experiencia probada a nivel internacional, siempre que esté demostrada la funcionalidad, eficiencia y beneficio de dichos requerimientos o estándares en materia de ciberseguridad y seguridad de la información.

Obligaciones

Artículo 6.- Los sujetos a quienes aplique la presente ley de conformidad con el Artículo 2, tendrán las obligaciones siguientes:

a) Implementar un sistema de gestión de ciberseguridad y seguridad de la información permanente con el fin de determinar y mitigar aquellos riesgos que puedan afectar la seguridad de los sistemas e infraestructuras informáticas, abarcando equipos, redes, infraestructuras de telecomunicaciones o procesos ejecutados o implementados en éstos.

b) Elaborar una estrategia de seguridad informática y de la información apegado a estándares o marcos de referencia nacionales e internacionales.

c) Mantener un registro actualizado de todas las acciones ejecutadas que compongan el sistema de gestión de ciberseguridad y seguridad de la información.

d) Elaborar e implementar planes de continuidad operacional y ciberseguridad, los cuales deberán ser aprobados por la autoridad competente y se someterán a revisiones periódicas de conformidad con los lineamientos aplicables.

e) Realizar continuamente operaciones de revisión, ejercicios, simulacros y análisis de las medidas, sistemas informáticos, equipos, redes, infraestructuras o procesos ejecutados o implementados en éstos; todo, en aras de detectar elementos o riesgos que comprometan la ciberseguridad y la seguridad de la información.

f) Aplicar y cumplir de manera inmediata y eficaz las medidas necesarias para prevenir, reportar y resolver las amenazas de ciberseguridad y seguridad de la información, de conformidad con las disposiciones jurídicas establecidas al respecto.

g) Adoptar de forma oportuna, expedita y eficiente las acciones necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad o seguridad de la información.

h) Remitir en el tiempo, forma y especificidad los informes relacionados con la ciberseguridad y seguridad de la información que le sean exigidos por la autoridad competente.

i) Crear o designar un área o áreas responsables para la implementación, seguimiento, revisión y adecuación de las acciones y medidas relacionadas con la ciberseguridad y seguridad de la información pertinentes, otorgándoles internamente independencia y atribuciones necesarias para ejecutar sus funciones sin obstáculos o trámites previos,  pero en estrecha coordinación con la autoridad competente en materia de ciberseguridad y seguridad de la información.

j) Cumplir con los requerimientos de información o instrucciones que realice la autoridad competente, en el tiempo, forma y especificidades correspondientes.

k) Facilitar las labores de gestión, auditoría e inspección que realice la autoridad competente en materia de ciberseguridad y seguridad de la información.

l) Informar a los potenciales afectados, en la medida que puedan identificarse y cuando así lo determine la Agencia de Ciberseguridad del Estado, sobre la ocurrencia de incidentes que pudieran comprometer o comprometan gravemente su información, así como las posibles medidas que pueden adoptar para mitigar los riesgos ocasionados por los mismos, si las hubiere. Esta obligación de informar deberá cumplirse a través de los medios o mecanismos que determine la referida autoridad.

m) Realizar las planificaciones, gestiones y trámites necesarios para implementar las obligaciones que deriven de la presente ley, así como de las disposiciones que se emitan en atención a esta, de manera oportuna.

n) Las demás que establecieran las disposiciones contenidas en políticas, normativas, protocolos, lineamientos, estándares y criterios técnicos en materia de ciberseguridad y seguridad de la información.

La autoridad competente emitirá las disposiciones pertinentes en materia de ciberseguridad y seguridad de la información de conformidad a lo establecido en la letra b) del artículo 8 de la presente ley, con la finalidad que, los sujetos obligados por la presente ley se mantengan en estricta coordinación con la misma y cumplan con las obligaciones establecidas en este artículo.

CAPÍTULO II.- AGENCIA DE CIBERSEGURIDAD DEL ESTADO

Creación de la Agencia

Artículo 7.- Créase la Agencia de Ciberseguridad del Estado, que en lo sucesivo se denominará «ACE» o la «Agencia», como una dependencia del Estado, de Derecho Público, con carácter técnico, con personalidad jurídica y patrimonio propio, de duración indefinida, con autonomía administrativa y financiera.

La ACE tendrá su domicilio en la capital de la República y estará facultada para establecer oficinas en cualquier lugar del territorio nacional.

Atribuciones

Artículo 8.- La Agencia tendrá las atribuciones siguientes:

a) Elaborar la Política de Ciberseguridad y Seguridad de la Información de la Nación, misma que contendrá los lineamientos, planes y programas de acción que se aplicarán para su cumplimiento, y someterla a aprobación del presidente de la República.

b) Emitir las normativas, protocolos, lineamientos, estándares y criterios técnicos, tanto generales como específicas, basadas en las mejores prácticas y marcos de referencia internacionales en materia de ciberseguridad y seguridad de la información; de acuerdo con lo establecido en el artículo 5 y en concordancia con la Política de Ciberseguridad y Seguridad de la Información de la Nación.

c) Crear e implementar los programas de acción necesarios para responder ante las amenazas o incidentes de ciberseguridad y seguridad de la información que involucren a los sujetos obligados por la presente ley.

d) Requerir a las entidades obligadas por la presente ley que se hayan visto afectados sus sistemas informáticos, equipos, redes o infraestructuras por un incidente de ciberseguridad o seguridad de la información, las acciones que sean necesarias para el cumplimiento de sus fines.

e) Crear y administrar un Registro Nacional de Amenazas e Incidentes de Ciberseguridad.

f) Calificar, mediante resolución fundada, a los operadores de infraestructuras críticas, y someterlo a ratificación del presidente de la República.

g) Retirar la calificación, mediante resolución fundada, a los operadores de infraestructuras críticas, y someterlo a ratificación del presidente de la República.

h) Requerir a las entidades obligadas por la presente ley que hayan sufrido un incidente de ciberseguridad o seguridad de la información, que entreguen a los potenciales afectados o autoridades de investigación información veraz, suficiente y oportuna sobre dicha circunstancia, conforme lo dispuesto en el literal l) del artículo 6.

i) Diseñar e implementar planes y campañas de formación ciudadana, capacitación, fortalecimiento, difusión y promoción de la cultura en ciberseguridad y seguridad de la información.

j) Requerir, a los sujetos obligados por la presente ley, el acceso a la información necesaria para prevenir la ocurrencia de incidentes de ciberseguridad o seguridad de la información y gestionar amenazas o incidentes que ya hubieren ocurrido. Cuando la información referida incluya datos personales, éstos deberán ser tratados con el propósito de anonimizar a sus titulares, siempre que ello sea posible, sin entorpecer la gestión de incidentes.

k) Establecer los mecanismos de coordinación y colaboración entre el área o áreas responsables para la implementación, seguimiento, revisión y adecuación de las acciones y medidas relacionadas con la ciberseguridad y seguridad de la información que establezcan los sujetos obligados por la presente ley.

l) Establecer los requisitos técnicos y la forma de llevar a cabo las auditorías y evaluaciones de riesgo sobre ciberseguridad y seguridad de la información que debe realizar para garantizar el cumplimiento de la presente ley y demás disposiciones que se emitan sobre dicho ámbito.

m) Efectuar revisiones de las medidas y acciones de ciberseguridad y seguridad de la información implementadas por los sujetos obligados por la presente ley, a fin de establecer mecanismos de mejora y prevención de riesgos, asegurando la utilización de medidas o herramientas adecuadas y actualizadas, para responder a las amenazas derivadas del uso de nuevas tecnologías.

n) Fomentar la cooperación con organismos internacionales y autoridades extranjeras en temas relacionados con la ciberseguridad y seguridad de la información.

o) Representar al país ante Organismos Internacionales relacionados con las políticas de ciberseguridad y seguridad de la información.

p) Imponer sanciones conforme a la presente ley.

q) Dictar, modificar o anular medidas provisionales según lo dispuesto en la Ley de Procedimientos Administrativos.

r) Estudiar y someter a consideración del Órgano Ejecutivo a través del Ramo de Justicia y Seguridad Pública, propuestas de ley o reformas a disposiciones vigentes en materia de ciberseguridad y seguridad de la información.

s) Aprobar el reglamento interno, así como los manuales y otros instrumentos necesarios para la administración de la Agencia.

t) Proponer los proyectos de presupuesto especial y sistema de salarios de la ACE y remitirlos al Ministerio de Hacienda para su respectiva aprobación en la Asamblea Legislativa.

u) Auxiliar a la Fiscalía General de la República, Órgano Judicial y a otras instituciones públicas que le requieran, en actividades de pericia forense relacionadas con las funciones que realiza.

v) Dar aviso a la Fiscalía General de la República en un plazo máximo de setenta y dos horas, cuando en el ejercicio de sus facultades o con ocasión de ellas, advierta que existen elementos que pudieren configurar algún delito de los contemplados en la Ley Especial contra los Delitos Informáticos y Conexos u otras leyes penales.

w) Definir y coordinar la implementación de programas de capacitación y concienciación relacionados con la materia de ciberseguridad y seguridad de la información; para lo cual podrá apoyarse de otras instituciones públicas o entidades privadas u organismos nacionales o internacionales.

x) Ejercer las demás atribuciones o facultades que legalmente le correspondan o necesarias para el cumplimiento de la presente ley u otras que le apliquen.

Representación legal y organización administrativa

Artículo 9.- La ACE tendrá, como mínimo, la siguiente organización administrativa: un Director General, un Director de Ciberseguridad y Seguridad de la Información y las dependencias o unidades administrativas que establezca su reglamento interno, según las necesidades para garantizar la aplicación de la presente ley y la disponibilidad de recursos del Estado.

El Director General será la máxima autoridad y el representante legal de la Agencia, y ejercerá las atribuciones y facultades que correspondan a la ACE, a excepción de la potestad para imponer sanciones. Dicho funcionario será nombrado por el presidente de la República, y fungirá por un periodo de tres años prorrogables.

De la misma forma será nombrado el Director de Ciberseguridad y Seguridad de la Información, quien asistirá al Director General en el ejercicio de sus atribuciones y facultades, en cumplimiento de la presente ley.

El Director de Ciberseguridad y Seguridad de la Información conocerá de los procedimientos administrativos para imponer las sanciones que establece la presente ley, y podrá delegar la instrucción y sustanciación de estos procedimientos, no así la imposición de la sanción, en un empleado o funcionario de la ACE distinto del Director General.

La Agencia establecerá las dependencias o unidades administrativas de su estructura y el funcionamiento de éstas en un reglamento interno.

Requisitos

Artículo 10.- Para ser Director General de la ACE se requiere:

a) Ser mayor de treinta y cinco años de edad.

b) Tener un grado universitario, nacional o extranjero, de preferencia en informática, ciencias de la computación, ingeniería en sistemas, telecomunicaciones u otras áreas relacionadas.

c) Acreditar experiencia profesional y laboral en materia de ciberseguridad o seguridad de la información.

d) Ser de reconocida honorabilidad y probidad.

e) Haberse desempeñado en forma destacada en asuntos profesionales, de servicio público o académico.

El Director de Ciberseguridad y Seguridad de la Información deberá cumplir con los requisitos establecidos en el presente artículo, con excepción de lo establecido en el literal a).

Impedimentos e incompatibilidades

Artículo 11.- No podrán ser nombrados en el cargo de director general o director de Ciberseguridad y Seguridad de la Información, las personas siguientes:

a) El cónyuge o parientes dentro del cuarto grado de consanguinidad o segundo de afinidad del presidente o vicepresidente de la República.

b) El cónyuge o parientes dentro del cuarto grado de consanguinidad o segundo de afinidad de los ministros o viceministros de Estado.

c) El cónyuge o parientes dentro del cuarto grado de consanguinidad o segundo de afinidad de cualquiera de los titulares o miembros de los órganos de dirección de los sujetos obligados por la presente ley.

d) Los que desempeñen cargos en los órganos de dirección de partidos políticos, asociaciones empresariales, sindicales o de consumidores.

e) Los directores o administradores de sociedades mercantiles.

El desempeño de ambos cargos será de dedicación exclusiva y es incompatible con el ejercicio de cualquier cargo público, actividad profesional o mercantil, tanto nacional como internacional, a excepción de la docencia universitaria, siempre y cuando ésta no vaya en menoscabo del desarrollo de sus funciones.

Cesación del cargo

Artículo 12.- El Director General o Director de Ciberseguridad y Seguridad de la Información cesarán en el ejercicio del cargo por renuncia o remoción que haga el Presidente de la República, cuando:

a) Se compruebe incumplimiento grave de sus obligaciones.

b) Se compruebe omisión dolosa de sus obligaciones.

c) Incapacidad sobreviniente física o mental que imposibilite el ejercicio de las mismas.

d) Condena firme por delito doloso.

e) Por conducta privada o profesional notoriamente inmoral.

f) Por prevalerse del cargo para ejercer influencias indebidas.

Sustitución temporal

Artículo 13.- En los casos de incapacidad física o mental de carácter temporal, renuncia o destitución del Director General, el Director de Ciberseguridad y Seguridad de la Información sustituirá al mismo hasta que el Presidente de la República nombre a otra persona para el ejercicio del cargo.

Presupuesto

Artículo 14.- La ACE tendrá un presupuesto especial y su propio sistema de salarios. Los proyectos respectivos serán preparados de conformidad con lo establecido en la ley Orgánica de Administración Financiera del Estado y serán sometidos a aprobación de la Asamblea Legislativa.

Patrimonio

Artículo 15.- El patrimonio de la Agencia estará constituido por:

a) Los recursos que el Estado le confiera inicialmente.

b) Las asignaciones que anualmente se establezcan con cargo a su presupuesto especial.

c) Los recursos que reciba en virtud de programas de asistencia de gobiernos u organismos nacionales e internacionales.

d) Los bienes muebles e inmuebles, valores o derechos que adquiera a cualquier título.

La ACE estará sujeta a la fiscalización de la Corte de Cuentas de la República; adicionalmente deberá contratar anualmente los servicios de una firma especializada para que realice auditoría externa de sus actuaciones.

Confidencialidad

Artículo 16.- Los funcionarios y empleados de la Agencia tendrán la obligación de guardar el secreto y estricta confidencialidad de la información que tuvieren acceso en virtud de las funciones y actividades laborales que realicen, esta obligación se mantendrá aún después de haber cesado en el cargo por un periodo mínimo de cinco años.

Se prohíbe a las autoridades, funcionarios, empleados, delegados, peritos, agentes o personas que presten servicios a la Agencia, a cualquier título, ya sea de carácter temporal o permanente, revelar cualquier información que hayan obtenido en el desempeño de su cargo o aprovecharse de tal información para fines personales o de terceros.

En el caso de los servidores públicos que presten sus servicios a la Agencia, el incumplimiento de lo establecido en el presente artículo constituirá causal de despido o destitución sin responsabilidad para la referida autoridad, sin perjuicio de la responsabilidad civil, penal o de cualquier otra naturaleza a que hubiere lugar.

CAPÍTULO III.- INFRACCIONES, SANCIONES, PROCEDIMIENTOS Y RECURSOS

Principios de legalidad, culpabilidad y proporcionalidad

Artículo 17.- Las infracciones a las disposiciones de la presente ley serán sancionadas administrativamente, en los casos y en la forma regulada en los artículos de este título, sin perjuicio de las responsabilidades civiles, penales o de otro orden en que puedan incurrir.

Los sujetos obligados por la presente ley serán responsables por las infracciones administrativas establecidas en este capítulo, por acción u omisión, a título de dolo, culpa o cualquier otro título que determine el ordenamiento jurídico.

A las infracciones y sanciones que se impongan en virtud de la presente ley le serán aplicables los principios de la potestad sancionadora previstos en la Ley de Procedimientos Administrativos; especialmente el de proporcionalidad, en virtud del cual será necesario guardar la debida adecuación entre la gravedad del hecho constitutivo de infracción y la sanción aplicada.

Clasificación de las infracciones

Artículo 18.- Las infracciones a las que se refiere esta ley se clasifican en: leves, graves o muy graves.

Infracciones leves

Artículo 19.- Se considerarán infracciones leves las siguientes:

a) Remitir, fuera del plazo, los informes o la información relacionados con la ciberseguridad y seguridad de la información que le sean exigidos por la Agencia, siempre y cuando tal información no se relacione con algún incidente o sea necesaria para la gestión de éste.

b) Presentar, sin las especificaciones requeridas, los informes o la información relacionados con la ciberseguridad y seguridad de la información que le sean exigidos por la ACE, siempre y cuando tal información no se relacione con algún incidente o sea necesaria para la gestión de éste.

c) Incumplir las disposiciones contenidas en las políticas, normativas técnicas, lineamientos e instructivos en materia de ciberseguridad y seguridad de la información, cuando éstas no tengan incidencia en la implementación del sistema de gestión de ciberseguridad y seguridad de la información o la gestión de incidentes.

También incurrirán en responsabilidad los titulares, la alta dirección y cualquier otro funcionario o empleado por las infracciones anteriores cuando éstas se materialicen en virtud de la orden, instrucción, negligencia u omisión de éstos.

Infracciones graves

Artículo 20.- Se considerarán infracciones graves las siguientes:

a) No contar con un registro actualizado de todas las acciones ejecutadas que compongan el sistema de gestión de ciberseguridad y seguridad de la información.

b) No elaborar y remitir, en tiempo y forma, los planes de continuidad operacional y ciberseguridad para la aprobación de la Agencia.

c) No implementar los planes de continuidad operacional y ciberseguridad aprobados por la ACE.

d) No realizar continuamente las operaciones de revisión, ejercicios, simulacros y análisis de las medidas, sistemas informáticos, equipos, redes, infraestructuras o procesos ejecutados o implementados en éstos.

e) Incumplir las disposiciones contenidas en las políticas, normativas técnicas, lineamientos e instructivos en materia de ciberseguridad y seguridad de la información, cuando éstas se relacionen con la implementación del sistema de gestión de ciberseguridad y seguridad de la información o la gestión de incidentes.

f) Obstaculizar o impedir las labores del área o áreas responsables para la implementación, seguimiento, revisión y adecuación de las acciones y medidas relacionadas con la ciberseguridad y seguridad de la información.

g) Presentar a la ACE información incompleta, errónea o inexacta.

También incurrirán en responsabilidad los titulares, la alta dirección y cualquier otro funcionario o empleado por las infracciones anteriores cuando éstas se materialicen en virtud de la orden, instrucción, negligencia u omisión de éstos.

Infracciones muy graves

Artículo 21.- Se considerarán infracciones muy graves las siguientes:

a) Remitir, fuera del plazo, los informes o la información relacionados con la ciberseguridad y seguridad de la información que le sean exigidos por la autoridad competente, cuando tal información se relacione con algún incidente o sea necesaria para la gestión de éste.

b) Presentar, sin las especificaciones requeridas, los informes o la información relacionados con la ciberseguridad y seguridad de la información que le sean exigidos por la autoridad competente, cuando tal información se relacione con algún incidente o sea necesaria para la gestión de éste.

c) No implementar un sistema de gestión de ciberseguridad y seguridad de la información permanente, sin causa justificada, de acuerdo con lo establecido por la Agencia.

d) Incumplir con las medidas necesarias para prevenir, reportar y resolver las amenazas de ciberseguridad y seguridad de la información, de manera inmediata y eficaz.

e) No adoptar, de forma oportuna, expedita y eficiente, las acciones necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad o seguridad de la información.

f) No crear o designar un área o áreas responsables para la implementación, seguimiento, revisión y adecuación de las acciones y medidas relacionadas con la ciberseguridad y seguridad de la información.

g) Obstaculizar o impedir las labores de gestión, auditoria e inspección que realice la Agencia en materia de ciberseguridad y seguridad de la información.

h) No informar a los potenciales afectados, en la medida que puedan identificarse y cuando así lo determine la ACE, sobre la ocurrencia de incidentes que pudieran comprometer o comprometan gravemente su información, así como las posibles medidas que pueden adoptar para mitigar los riesgos ocasionados por los mismos, si las hubiere.

i) Incumplir con las órdenes de prohibición de utilizar los sistemas informáticos o cualquiera de sus partes, en el tiempo y la forma en que sea comunicada por la Agencia.

También incurrirán en responsabilidad los titulares, la alta dirección y cualquier otro funcionario o empleado por las infracciones anteriores cuando éstas se materialicen en virtud de la orden, instrucción, negligencia u omisión de éstos.

Sanción para infracciones leves

Artículo 22.- Las infracciones leves se sancionarán con amonestación escrita o una multa de entre uno a diez salarios mínimos mensuales del sector comercio, según corresponda al sujeto obligado.

El funcionario o empleado que reciba tres o más amonestaciones escritas en un plazo menor a un año será desvinculado de su empleo o cargo sin responsabilidad para la Administración Pública.

Sanción para infracciones graves

Artículo 23.- Las infracciones graves se sancionarán con despido o destitución del cargo sin responsabilidad para la Administración Pública y una multa de entre once a cincuenta salarios mínimos mensuales del sector comercio cuando el infractor se encuentre vinculado con el sector público.

En el caso de que el infractor sea del sector privado, la sanción será una multa de entre once a cincuenta salarios mínimos mensuales del sector comercio.

Sanción para infracciones muy graves

Artículo 24.- Las infracciones graves se sancionarán con despido o destitución del cargo sin responsabilidad para la Administración Pública y una multa de entre cincuenta y un a cien salarios mínimos mensuales del sector comercio cuando el infractor se encuentre vinculado con el sector público.

En el caso de que el infractor sea del sector privado, la sanción será una multa de entre cincuenta y un a cien salarios mínimos mensuales del sector comercio.

Imposibilidad de pertenecer al sector público

Artículo 25.- El funcionario o empleado que sea despedido o destituido de su cargo por la comisión de algunas de las infracciones contempladas por la presente ley, no podrá laborar para la administración pública por un periodo de diez años posteriores a la imposición de la sanción respectiva.

Medidas adicionales

Artículo 26.- Determinada la procedencia de la sanción, la Agencia podrá ordenar al infractor o el sujeto obligado relacionado que adopte las medidas que fueren necesarias para restablecer la legalidad alterada por la infracción o que permita la corrección de los derechos o las situaciones vulneradas.

Todas las sanciones determinadas en la presente ley no eximen al infractor de las responsabilidades civiles o penales derivadas de las investigaciones correspondientes a que dieren lugar.

Multa coercitiva

Artículo 27.- Con el fin de lograr la ejecución de sus actos, la Agencia podrá imponer multas coercitivas de entre uno a diez salarios mínimos del sector comercio por cada día hábil que transcurra sin que se cumpla con lo ordenado.

Esta sanción será independiente y compatible con las demás sanciones que contempla esta ley.

Procedimiento sancionador

Artículo 28.- El procedimiento para la determinación de las infracciones y sanciones que establece la presente ley deberá realizarse de conformidad con el procedimiento simplificado contemplado en la Ley de Procedimientos Administrativos.

El procedimiento podrá iniciarse de oficio, por aviso, por denuncia o por cualquier otro medio. Cuando la información sobre la presunta comisión de la infracción se recibiera de forma verbal o de tal manera que no hubiera un respaldo escrito de la misma, la Agencia levantará un acta con todos los datos pertinentes para la tramitación del procedimiento.

Prescripción

Artículo 29.- Las infracciones y sanciones contempladas en la presente ley prescribirán a los cinco años.

CAPÍTULO IV.- DISPOSICIONES FINALES

Especialidad y supletoriedad

Artículo 30.- La presente ley, por su carácter especial, prevalecerá sobre toda otra disposición legal que la contraríe, incluyendo aquellas que regulen la relación laboral entre empleados, servidores y funcionarios públicos; sin embargo, siempre deberán respetarse las garantías constitucionales de estos mismos. En todo lo no previsto, se aplicará supletoriamente lo dispuesto en la Ley de Procedimientos Administrativos.

Emisión de normativas y disposiciones aplicables

Artículo 31.- La ACE deberá elaborar las normativas, protocolos, lineamientos, estándares y criterios técnicos, tanto generales como específicos, en materia de ciberseguridad y seguridad de la información, en concordancia con lo establecido en el artículo 5, a más tardar noventa días contados a partir de la vigencia de la presente ley.

Vigencia

Artículo 32.- La presente ley entrará en vigencia ocho días después de su publicación en el Diario Oficial.

DADO EN EL SALÓN AZUL DEL PALACIO LEGISLATIVO: San Salvador, a los doce días del mes de noviembre del año dos mil veinticuatro.

ERNESTO ALFREDO CASTRO ALDANA, PRESIDENTE.

SUECY BEVERLEY CALLEJAS ESTRADA, KATHERYN ALEXIA RIVAS GONZÁLEZ, PRIMERA VICEPRESIDENTA. SEGUNDA VICEPRESIDENTA.

ELISA MARCELA ROSALES RAMÍREZ, REYNALDO ANTONIO LÓPEZ CARDOZA, PRIMERA SECRETARIA. SEGUNDO SECRETARIO.

REINALDO ALCIDES CARBALLO CARBALLO, TERCER SECRETARIO.

CASA PRESIDENCIAL: San Salvador, a los catorce días del mes de noviembre de dos mil veinticuatro.

PUBLÍQUESE,

NAYIB ARMANDO BUKELE ORTEZ, Presidente de la República.

HÉCTOR GUSTAVO VILLATORO, Ministro de Justicia y Seguridad Pública.