Decreto nº 144. Ley para la Protección de Datos Personales de 12 de noviembre de 2024. (Diario Oficial nº 219, Tomo nº 445 de 15 de noviembre de 2024)

DECRETO N.° 144

LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE EL SALVADOR,

CONSIDERANDO:

I. Que el artículo 1 de la Constitución de la República establece que: «El Salvador reconoce a la persona humana como el origen y el fin de la actividad del Estado»; y que está organizado para la consecución de la justicia y de la seguridad jurídica; asimismo, el artículo 2 establece que toda persona tiene derecho a la integridad física y moral, y a ser protegida en la conservación y defensa de los mismos; y que se debe garantizar el derecho al honor, a la intimidad personal y a la propia imagen.

II. Que el tratamiento de los datos personales de las personas naturales debe realizarse de acuerdo con los principios, métodos y tecnologías que garanticen la confidencialidad y el buen uso de ellos, lo que demanda asegurar la mayor protección posible, así como establecer las sanciones correspondientes cuando éstos sean violentados.

III. Que debido a que las nuevas tecnologías permiten transmitir con gran facilidad los datos de las personas naturales a nivel mundial, resulta necesario establecer las condiciones mínimas y estandarizadas para compartir datos con otros países, salvaguardando la seguridad de la información de acuerdo con los convenios internacionales que El Salvador ha ratificado.

IV. Que, en virtud de lo anterior, resulta necesario se emita un cuerpo normativo que garantice la protección de los datos de carácter personal que se encuentren en posesión de otros distintos de sus titulares, y que además facilite la inversión, especialmente en centros de almacenamiento de datos como requisito ineludible para la generación de empleos en cadenas de alto valor.

POR TANTO,

en uso de sus facultades constitucionales y a iniciativa del presidente de la República, por medio del ministro de Justicia y Seguridad Pública,

DECRETA la siguiente:

LEY PARA LA PROTECCIÓN DE DATOS PERSONALES

TÍTULO I.- DISPOSICIONES GENERALES

CAPÍTULO I.- OBJETO Y ÁMBITO DE APLICACIÓN

Objeto

Artículo 1.- La presente ley tiene por objeto establecer la regulación para la protección de los datos personales, determinando los requisitos esenciales para realizar el tratamiento legítimo e informado de éstos y el marco normativo que debe seguirse en su recolección, uso, procesamiento, almacenamiento y otras actividades relacionadas a ellos; todo en aras de garantizar el derecho a la intimidad y a la autodeterminación informativa de las personas naturales.

Ámbito de aplicación

Artículo 2.- Esta ley se aplicará a toda persona natural o jurídica, de carácter público o privado, que lleve a cabo actividades relativas o conexas al tratamiento de datos personales, ya sea de manera manual, parcial o totalmente automatizado o a través de terceros. Se entenderán incluidos incluso aquellos sujetos que realicen las referidas actividades sin cumplir con los requisitos y limites dispuestos en la presente ley.

Los órganos del Estado, sus dependencias, las instituciones oficiales autónomas, las autoridades municipales y cualquier otra entidad u organismo, independientemente de su forma, naturaleza o situación jurídica, mediante las cuales se administren recursos públicos, bienes del Estado o ejecuten actos de la administración pública en general, así como los servidores públicos y personas que laboren en ellas, dentro o fuera del territorio de la República, estarán sujetos específicamente a las disposiciones que se establecen en el Título III de la presente ley.

Exclusiones

Artículo 3.- Quedan excluidos de la aplicación de la presente ley:

a) El tratamiento de datos de historial crediticios que realicen los sujetos obligados en los supuestos de la Ley de Regulación de los Servicios de Información sobre el Historial de Créditos de las Personas. Sin embargo, esta exclusión no aplicara a los integrantes del Sistema Financiero y demás supervisados por la Superintendencia del Sistema Financiero, sobre aquella información que no sea relativa al historial crediticio de sus usuarios.

b) El tratamiento de datos personales destinados exclusivamente a actividades en el marco de la vida familiar o doméstica, mientras no tengan como propósito una divulgación o utilización comercial.

c) El tratamiento de datos personales u actividades que tengan por objeto la seguridad pública, la defensa, la seguridad del Estado, prevención, investigación, detección y represión del delito, todo en observancia al debido proceso y respeto a los Derechos Humanos.

d) Cualquier tratamiento de los datos personales realizados en los registros públicos, así como, en el registro del estado familiar de las alcaldías, en los procedimientos establecidos en la Ley

Transitoria del Registro del Estado Familiar y de los Regímenes Patrimoniales del Matrimonio. Se excluye además todo tratamiento de datos personales efectuado en aplicación de la Ley Especial Reguladora de la Emisión del Documento Único de Identidad, Ley de Emisión del Documento Único de Identidad en el Exterior, Ley del Nombre de la Persona Natural por el Registro del Estado Familiar de las Personas Naturales.

CAPÍTULO II.- DEFINICIONES Y PRINCIPOS RECTORES

Definiciones

Artículo 4.- Para los efectos de esta ley o disposiciones jurídicas relacionadas se entenderá por:

a) Autodeterminación informativa: facultad de toda persona para ejercer sus derechos y accionar los mecanismos que la presente ley otorga sobre la información personal que le concierne, contenida en registros públicos o privados, especialmente, pero no exclusivamente ni limitado, a los almacenados mediante medios digitales e informáticos. Es decir, es la capacidad del individuo para determinar la divulgación y el uso de sus datos personales, controlar y determinar lo que terceros podrían conocer sobre su vida personal en cada momento.

b) Base de datos o repositorio: conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso.

c) Bloqueo de datos: restricción temporal o permanente de cualquier acceso o tratamiento de los datos almacenados.

d) Consentimiento: manifestación libre, específica, informada, expresa e individualizada de la voluntad del titular de los datos, mediante la cual acepta, ya sea a través de una declaración o una clara acción afirmativa, que se efectúe el tratamiento de éstos en los casos en que no exista otro fundamento legal para ello.

e) Cookie: pequeña información enviada por un sitio web y almacenada en el navegador del usuario, de manera que el sitio web pueda consultar la actividad previa del navegador. Sus principales funciones son recordar accesos y conocer información sobre los hábitos de navegación.

f) Datos personales: información concerniente a una persona natural identificada o identificable.

Se consideran datos personales aquella información en texto, imagen o audio que permita la identificación de una persona, su domicilio, nacionalidad, estado familiar y canales de contacto, entendiéndose estos últimos como su número telefónico, dirección electrónica, o cualquier dato que aporte información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo. No se tratan como datos personales aquellos que no permiten identificar o localizar a una persona.

g) Datos personales sensibles: son los datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, que afectan a la esfera más íntima de su titular y cuya utilización indebida puedan dar origen a discriminación, afectar gravemente el derecho al honor, a la intimidad personal y familiar y a la propia imagen. De manera enunciativa pero no limitativa, generalmente son los que revelan aspectos como creencias y convicciones religiosas, origen étnico, afiliación o ideologías políticas, afiliación sindical, preferencias sexuales, salud física y mental, información biométrica, genética, situación moral y familiar, hábitos personales y otras informaciones íntimas de similar naturaleza.

h) Disociación o Anonimización: procedimiento irreversible mediante el cual los datos personales dejan de asociarse a su titular o de permitir, por su estructura, contenido o grado de desagregación, la identificación de éste.

i) Derechos ARCO-POL: derechos personalísimos e independientes de Acceso, Rectificación, Cancelación, Oposición, Portabilidad, Olvido y Limitación, por medio de los cuales el titular de los datos personales puede ejercer el control sobre el tratamiento de éstos.

j) Encargado del tratamiento (Encargado): persona natural o jurídica, pública o privada, que sola o en conjunto con otros, realice el tratamiento de datos personales por cuenta del responsable del tratamiento.

k) Emisor de datos personales: titular del banco de datos personales, o aquel que resulte encargado de su tratamiento en El Salvador, que realice una transferencia de datos personales a otro país de conformidad a lo dispuesto en la presente ley.

l) Fuentes de acceso público: aquellas bases de datos o repositorios de administración pública o privada cuya consulta puede ser realizada por disposición de ley por cualquier persona o medio, por el abono de una contraprestación o tarifa.

m) Limitación en el tratamiento de datos personales: permite al titular, cuyos datos personales son objeto de tratamiento, solicitar al responsable del tratamiento que aplique medidas sobre sus datos personales para, evitar su modificación o, en su caso, su borrado o supresión.

n) Medidas de Seguridad: políticas, acciones o procedimientos de control o grupo de controles que garanticen la protección de los datos personales contenidos en registros o archivos físicos o electrónicos, de accesos no autorizados garantizando la confidencialidad, integridad y disponibilidad.

o) Receptor de datos personales: toda persona natural o jurídica, pública o privada, que recibe los datos en caso de transferencia internacional, ya sea como titular, encargado de datos personales o tercero.

p) Responsable de tratamiento (Responsable): persona natural o jurídica, pública o privada, administradora de la base de datos y/o repositorio, o quien decida sobre la finalidad y medios del tratamiento de los datos personales que administre o posea.

q) Seudonimización: procedimiento de tratamiento de datos personales a efectos de que éstos ya no pueden asociarse con el titular de éstos, sin utilizar información adicional, siempre y cuando dicha información adicional se encuentre separada, oculta, clasificada y resguardada bajo medidas técnicas y organizativas que garanticen que tales datos personales no pueden ser atribuidos a una persona física identificada o identificable.

r) Sitios de Contingencia: sitio alterno o secundario en el cual se replican de forma continua o discontinua los datos almacenados en servidores informáticos físico o virtuales que residen en un lugar principal.

s) Titular: toda persona natural cuyos datos sean objeto del tratamiento al que se refiere la presente ley.

t) Tratamiento de datos: cualquier operación o conjunto de operaciones efectuadas mediante procedimientos automatizados o manuales y aplicadas a datos personales. Estas se relacionan con la obtención, uso, registro, organización, conservación, difusión, almacenamiento, posesión, acceso, manejo y divulgación de datos personales.

u) Transferencia de datos personales: toda comunicación de datos personales realizada a persona distinta del responsable o encargado del tratamiento, con el consentimiento previo e informado de su titular.

Principios rectores

Artículo 5.- Los principios rectores para la protección de datos son:

a) Principio de la exactitud de los datos: los datos personales deberán mantenerse exactos, completos y actualizados hasta donde sea posible para las finalidades de su tratamiento, de tal manera que no se altere su veracidad. Se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan. Se presumirán exactos y actualizados los datos obtenidos directamente de su titular.

b) Principio de lealtad: el responsable tratará los datos personales en su posesión, privilegiando la protección de los intereses de sus titulares y absteniéndose de tratar o recabar éstos a través de medios fraudulentos, desleales y/o ilícitos.

c) Principio de consentimiento y finalidad: en el tratamiento y recolección de datos personales debe existir un consentimiento libre, especifico, informado, expreso e individualizado del titular, que establezca el fin, propósito y periodo de almacenamiento y tratamiento.

d) Principio de minimización de datos: los datos personales recopilados y utilizados deben ser suficientes, pertinentes y no excesivos en relación con el propósito específico y legítimo.

e) Principio de Transparencia: consiste en informar al titular de los datos personales de todas las características del tratamiento al que serán sometidos sus datos y, asimismo, exige que esa información se facilite en forma concisa, de fácil acceso y con un lenguaje claro y sencillo. Se prohíbe recurrir a textos extensos, terminologías técnicas o legales y/o letra pequeña en la aplicación de este principio.

f) Principio de Seguridad de Datos: se refiere a garantizar la seguridad, integridad, disponibilidad y confidencialidad de los datos personales, a fin de evitar su alteración, pérdida, consulta o tratamiento no autorizado, así como detectar desviaciones de información, intencionales o no, que provengan de la acción humana o de un medio técnico.

g) Principio de Licitud: El tratamiento de datos personales debe realizarse en cumplimiento a lo establecido en la presente ley y la normativa aplicable, para lo cual debe cumplirse al menos una de las siguientes condiciones:

1. El tratamiento de los datos se base en el consentimiento expreso otorgado por el titular para una o varias finalidades.

2. El tratamiento sea necesario para la ejecución de un contrato, del cual forma parte el titular, o para la ejecución de medidas precontractuales.

3. El tratamiento sea necesario para el cumplimiento, por parte del responsable, de alguna obligación legal.

4. El tratamiento sea necesario para garantizar la protección de los intereses vitales del titular u otra persona afectada.

5. El tratamiento sea necesario para el cumplimiento de un fin de interés público o para que el responsable pueda ejercer los poderes públicos que le han sido conferidos.

6. El tratamiento sea necesario para que el responsable pueda satisfacer sus intereses legítimos, siempre y cuando esos intereses no atenten contra los derechos o libertades de los titulares de los datos personales.

h) Principio de temporalidad: la conservación de los datos personales debe limitarse al periodo en el que se lograran los fines que se persiguen para su tratamiento.

i) Principio de responsabilidad demostrada: una entidad que recoge y efectúa el tratamiento de datos personales debe ser responsable del cumplimiento efectivo de las medidas que implementen para proteger la privacidad de sus titulares y de garantizar una efectiva protección de datos personales.

j) Principio de ejercicio progresivo de las facultades: Los derechos y garantías reconocidos a las niñas, niños y adolescentes serán ejercidos de manera progresiva tomando en consideración el desarrollo evolutivo de sus facultades, su condición o situación individual, la dirección y orientación apropiada de sus padres, madres o de quien ejerza la representación legal, y las disposiciones establecidas en la legislación vigente.

CAPÍTULO III.- DERECHOS DE LOS TITULARES DE LOS DATOS PERSONALES Y SU EJERCICIO

SECCIÓN A DERECHOS ARCO-POL

Derecho a la protección de los datos personales

Artículo 6.- Toda persona, por sí mismo o por medio de su representante con facultades especiales, tendrá derecho a conocer si sus datos personales están siendo procesados para garantizar la protección de los mismos, cuando sea procedente podrá solicitar la rectificación, cancelación o bloqueo de éstos; a oponerse al tratamiento de sus datos; y, a solicitar que se limite su tratamiento en el futuro para usos distintos a los consentidos.

Asimismo, tendrán derecho a obtener una reproducción inteligible de sus datos personales y a transferirlos cuando así lo consideren pertinente.

Tratándose de los datos personales de personas fallecidas, le corresponderá a sus herederos o sucesores ejercer los derechos correspondientes, debiendo acreditar con documentación que demuestre su calidad de heredero o sucesor.

Derecho de información frente a la recolección de datos

Artículo 7.- El titular de sus datos personales tendrá derecho a conocer quienes resguardarán éstos.

Este derecho incluye también a los proveedores de servicios de almacenamiento tercerizados, como el encargado del tratamiento de datos personales que fue contratado por el responsable a tales efectos y que utiliza como medio de almacenamiento la nube u otra infraestructura.

La información deberá ser almacenada en forma tal que se garantice plenamente el derecho de acceso por el titular de la misma. Asimismo, cuando se recaben datos personales se deberá informar previamente a sus titulares en forma expresa, precisa e inequívoca, lo siguiente:

a) El propósito o finalidad para la que serán recolectados y tratados, así como quiénes pueden ser sus destinatarios o clase de destinatarios.

b) La existencia de la base de datos o repositorio, así como los respaldos y sitios de contingencia, en el caso que aplique.

c) La identidad, domicilio, correo electrónico, número telefónico y cualquier información que facilite contactar al responsable y al encargado del tratamiento, o a sus respectivos representantes.

d) El contenido de los derechos ARCO-POL y los mecanismos para ejercerlos.

e) Las medidas y mecanismos de protección y seguridad que el responsable ha tomado y mantiene activas para salvaguardar la información.

La información brindada de conformidad a los literales anteriores no tendrá costo alguno, y podrá ser proporcionada mediante la publicación de políticas de privacidad de forma física y/o electrónica, las que deben ser fácilmente accesibles e identificables.

Cuando se proyecte un tratamiento de datos distinto de aquel para el cual se recolectaron, se proporcionará al titular información sobre esta finalidad ulterior y cualquier otra información adicional pertinente. El titular tendrá derecho de revocar la autorización otorgada inicialmente y deberá emitir una nueva autorización para que sus datos sean tratados conforme a la nueva finalidad.

En todo caso, se deberá notificar a las partes, los efectos de proporcionarlos, de la negativa a hacerlo o de su inexactitud.

Derecho de acceso a datos personales

Artículo 8.- El titular de datos personales tendrá derecho a obtener toda la información que sobre sí mismo se encuentre en bases de datos o registros físicos. Este derecho de acceso será ejercido en forma gratuita conforme a lo establecido en la presente ley.

La información personal a la cual se concederá acceso deberá ser suministrada:

a) En forma clara y exenta de codificaciones, la cual deberá ser acompañada de una explicación de los términos que se utilicen, los sujetos que han consultado dicha información y con qué propósito.

b) De manera completa, siempre y cuando la misma no haya sido objeto de seudonimización o disociación, en cuyo caso se dejara constancia de dichas circunstancias. En ningún caso el informe podrá revelar datos pertenecientes a terceros, aun cuando se vinculen con el titular.

Esta información podrá obtenerse mediante la mera consulta de su titular o su representante, previa identificación de su identidad y de los datos que por medio de su visualización pretende conocer, o también se podrá obtener con la indicación de los datos que son objeto de tratamiento por medios electrónicos o por cualquier otro medio que la tecnología permita y cuyo contenido sea legible e inteligible; esto sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos, imágenes o cualquier otro medio usado para dicho propósito.

Adicionalmente, se debe comunicar si se ha realizado un intercambio de su información personal con otras instituciones o entidades.

Derecho de Rectificación

Artículo 9.- El titular tendrá derecho a solicitar al responsable la rectificación o corrección de sus datos personales, cuando éstos sean inexactos, incompletos o no se encuentren actualizados. Además, el titular podrá solicitar la rectificación y actualización de sus datos personales, en el caso de que éstos hayan sido sometidos a tratamiento en inobservancia de las disposiciones de la presente ley.

El titular deberá ofrecer la documentación que acredite que es procedente la rectificación de sus datos personales o podrá informar la ubicación en la cual se encuentra almacenada o registrada la misma.

El responsable del tratamiento deberá cumplir con lo solicitado por el titular o su representante de manera gratuita, y resolver en el sentido que corresponda en el plazo de veinte días hábiles, contados a partir de la recepción de la solicitud. El incumplimiento de esta obligación dentro del plazo determinado habilitará al interesado para presentar la denuncia correspondiente ante la Entidad Rectora a efecto de que se garanticen sus derechos.

Durante el proceso de verificación para rectificar la información de los datos personales, el responsable del banco de datos, base de datos, repositorio o de los sistemas o registros, tanto manuales como informáticos, bloqueará aquellos que se estén analizando para su rectificación, dando a conocer que se encuentra en revisión o actualización, según lo solicitado.

Derecho de cancelación o supresión

Artículo 10.- El titular de los datos personales o sus representantes podrán solicitar al responsable la eliminación de los datos personales que le conciernan sin dilaciones indebidas. Dicha solicitud podrá presentarse cuando concurra al menos uno de los siguientes casos:

a) Los datos personales ya no sean necesarios con relación a los fines para los cuales fueron tratados.

b) El titular retire su consentimiento, siempre y cuando dicho consentimiento haya sido el supuesto que haya legitimado el tratamiento de dichos datos por parte del responsable, y su tratamiento no se base en otro supuesto de licitud establecido en la presente ley.

c) El titular se oponga al tratamiento de éstos, y no prevalezcan otros motivos legítimos para el almacenamiento de los mismos.

d) Los datos personales hayan sido obtenidos o tratados ilícitamente.

e) Los datos personales deban suprimirse para el cumplimiento de una obligación legal aplicable al responsable.

f) Los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados, en el caso de oferta directa a niños.

g) Los datos personales se hayan obtenido en relación con la oferta de servicios de instituciones públicas o privadas.

Sin embargo, no procederá la solicitud de cancelación o supresión en los siguientes casos:

a) Cuando causen perjuicios a derechos o intereses legítimos de terceros, siempre y cuando existiere resolución judicial u orden administrativa de conservar dichos datos.

b) Si contraviene lo establecido por una obligación legal.

c) Cuando sean necesarios para ejercer el derecho a la libertad de expresión, de información y prensa. Los datos utilizados en éstos casos deben cumplir con el principio de exactitud, es decir, no se pueden utilizar o difundir datos personales que sean inexactos, incompletos o desactualizados.

d) Cuando los datos personales hayan sido objeto de disociación.

e) Cuando tengan fines de investigación científica, histórica o estadísticos, siempre y cuando, los datos personales hayan sido seudonimizados o en su caso disociados.

f) Con fines de archivo en interés público; o para la formulación, el ejercicio o la defensa de reclamaciones.

El titular también podrá ejercer el derecho al olvido de sus datos personales, cuando éstos hayan sido publicados en el entorno electrónico, debiendo el responsable informar a otros responsables del tratamiento de dichos datos personales para que éstos sean suprimidos de los enlaces, copias o réplicas que los contengan. Este derecho incluye además el de solicitar que se eliminen de los motores de búsqueda en Internet las listas de resultados que se obtuvieran al realizar una búsqueda a partir de los datos personales del titular de los enlaces publicados que contuvieran información relativa al mismo, cuando éstos sean inadecuados, inexactos, no pertinentes, no actualizados o excesivos o hubieren devenido como tales por el transcurso del tiempo, teniendo en cuenta los fines para los que se recogieron o trataron, el tiempo transcurrido, la naturaleza e interés público de dicha información.

Bloqueo de datos personales

Artículo 11.- El derecho de supresión o cancelación de datos personales podrá dar lugar al bloqueo de dichos datos, conservándose únicamente éstos a disposición de la Administración Pública, Jueces y Tribunales en el ejercicio estricto de sus funciones, para la atención de las posibles responsabilidades nacidas del tratamiento, en los plazos establecidos para el resguardo según las leyes aplicables.

Derecho de oposición

Artículo 12.- Es el derecho del interesado a solicitar el cese en el tratamiento de sus datos personales, incluida la elaboración de perfiles o clasificaciones con fines comerciales o de mercadotecnia directa. No obstante, el derecho de oposición no podrá ejercerse en los siguientes escenarios:

a) Cuando el tratamiento sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de facultades conferidos al responsable.

b) Cuando el tratamiento sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del titular que requiera la protección de sus datos personales, en particular cuando el titular sea un niño o niña.

Derecho a la limitación

Artículo 13. El titular de los datos personales o su representante tendrá derecho a solicitar al responsable la limitación del tratamiento de sus datos cuando se cumpla alguna de las siguientes condiciones:

a) El titular o su representante impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de éstos.

b) El tratamiento sea ilícito y el titular o su representante se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso.

c) El responsable ya no necesite los datos personales para los fines del tratamiento, pero el titular los necesite para la formulación, el ejercicio o la defensa de reclamaciones ante ese responsable o cualquier otro responsable o autoridad pública.

d) El titular o su representante se haya opuesto al tratamiento de los mismos mientras se verifica si los motivos legítimos manifestados por el responsable prevalecen sobre los del titular.

Los efectos de la limitación operaran mientras subsistan las razones que motivaron al titular o su representante para ejercer su derecho.

Derecho a la portabilidad

Artículo 14.- Es el derecho del titular a recibir los datos personales que haya facilitado al responsable, en un formato estructurado, de uso común, de lectura mecánica e interoperable, y el derecho a transmitirlos a otro responsable sí éste así lo desea.

El ejercicio de este derecho exige dos requisitos: que el tratamiento esté fundado en el consentimiento del titular y que dicho tratamiento sea efectuado por medios automatizados. Para facilitar este proceso, es necesario motivar la interoperabilidad entre los servicios.

Es obligación de los responsables realizar con agilidad y sin costo para el titular, todos los trámites para la migración de los datos de éste a otro responsable del tratamiento, en un formato estructurado, de uso común y fácil lectura, cuando así lo solicite legítimamente.

SECCIÓN B.- DEL EJERCICIO DE LOS DERECHOS ARCO-POL

Delegado de protección de datos personales

Artículo 15.- Los sujetos obligados por la presente ley deberán de nombrar un delegado de protección de datos personales, en adelante delegado, quien se encargará de gestionar y tramitar las solicitudes para el ejercicio de los derechos ARCO-POL.

Atribuciones

Artículo 16.- El delegado tendrá las siguientes atribuciones:

a) Recibir, tramitar y resolver las solicitudes para el ejercicio de los derechos ARCOPOL.

b) Auxiliar y orientar al responsable en las actividades que lo requiera con relación al ejercicio del derecho de los titulares de datos personales.

c) Establecer mecanismos para asegurar que los datos personales solo se entreguen a su titular o al representante de éste que se encuentre debidamente acreditado.

d) Proponer procedimientos internos que aseguren y fortalezcan con mayor eficiencia la gestión de las solicitudes para el ejercicio de los derechos ARCO-POL.

e) Asesorar a las áreas en materia de protección de datos personales.

f) Realizar actividades de formación en el personal de la institución relativas a los derechos y obligaciones establecidos en la presente ley.

g) Publicar el aviso de privacidad en el sitio web del responsable o en lugares fisibles dentro de los establecimientos de éste, según se determine en los lineamientos aplicables.

Deber de asistencia

Artículo 17.- Sera obligación de cada dependencia, empleado o proveedor del responsable del tratamiento de datos de asistir y atender a las peticiones canalizadas por el delegado en el ejercicio de sus funciones.

De la Solicitud.

Artículo 18.- El titular o su representante podrán solicitar al responsable del banco de datos, base de datos, repositorio o de los sistemas o registros, tanto manuales como informáticos, en los casos establecidos en la presente ley, el ejercicio de sus derechos ARCO-POL. Los requisitos que deberá contener dicha solicitud son los siguientes:

a) El nombre del titular o su representante, su domicilio y los medios para recibir notificaciones.

b) Los documentos que acrediten la identidad del titular y, en su caso, de la persona que le represente.

c) De ser posible, hacer mención del área del responsable que trata los datos personales.

d) La descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los derechos ARCO-POL, salvo que se trate del derecho de acceso.

e) La descripción del derecho ARCO-POL que se pretende ejercer, o bien, lo que solicita el titular.

f) Cualquier otro elemento o documento que facilite la localización de los datos personales, en su caso.

g) Firma del titular o de la persona que lo representa, o cualquier otro medio equivalente que permite establecer la anuencia de éstos.

La presentación de la solicitud de derechos ARCO-POL deberá realizarse al delegado. Cuando se traté de una solicitud de acceso a datos personales, el titular deberá señalar la modalidad en la que prefiere que éstos se reproduzcan. El delegado deberá atender la solicitud en la modalidad requerida por el titular, salvo que exista una imposibilidad física o jurídica que lo limite a reproducir los datos personales en dicha modalidad, en este caso deberá ofrecer otras modalidades de entrega de los datos personales, fundando y motivando dicha actuación.

En caso de que la solicitud de protección de datos no cumpla con alguno de los requisitos a que se refiere este artículo o se requiera información adicional, el delegado deberá realizar la prevención respectiva por una sola ocasión, para que subsane las omisiones dentro de un plazo de diez días hábiles contados a partir del día siguiente al de la notificación. Si el interesado no realiza la actuación requerida en el plazo previsto o la realiza sin atender a las prevenciones realizadas, se archivará su escrito sin más trámite y quedará a salvo su derecho de presentar una nueva solicitud.

Incompetencia del responsable

Artículo 19.- Si de la verificación de la solicitud de derechos ARCO-POL, el delegado advirtiera que el responsable no es el competente para atenderla o que la solicitud corresponde a un derecho diferente de los previstos en la presente ley, deberá hacerlo del conocimiento del titular y le devolverá la petición dentro de los cinco días hábiles posteriores a su recepción.

Plazos de respuesta

Artículo 20.- El delegado deberá entregar al titular o su representante la respuesta respectiva a la solicitud de derechos ARCO-POL en el plazo de veinte días hábiles, pudiendo prorrogarse este plazo por causas justificadas y sin que dicha prórroga exceda otros veinte días hábiles.

Entrega de la información

Artículo 21.- La obligación de acceso a la información se dará por cumplida cuando se pongan a disposición del titular los datos personales mediante la expedición de copias simples, copias certificadas, consulta directa, documentos electrónicos o cualquier otro medio análogo.

Durante el proceso de rectificación de datos personales, el delegado deberá dejar constancia que dicha información se encuentra sometida a un proceso de rectificación ante el requerimiento de terceros para acceder a la misma.

En el supuesto de comunicación o transferencia de datos personales, el delegado deberá notificar la rectificación, actualización o eliminación de dichos datos a quienes hayan recibido los mismos, dentro de los cinco días hábiles posteriores a la determinación de la procedencia de la solicitud del titular.

Excepciones al ejercicio de los derechos de ARCO-POL

Artículo 22.- El delegado podrá denegar el acceso a los datos personales o a realizar la rectificación, cancelación, portabilidad, olvido o conceder la oposición o limitación al tratamiento de éstos, en los siguientes supuestos:

a) Cuando el solicitante no sea el titular de los datos personales, o el representante no esté debidamente acreditado para ello.

b) Cuando en el banco de datos, base de datos, repositorio, sistemas o registros, tanto manuales como informáticos, no se encuentren los datos personales del solicitante.

c) Cuando se perjudiquen los derechos e intereses legítimos de un tercero.

d) Ante un notorio error del solicitante respecto a la identificación de los datos personales o falsedad de los hechos descritos por el solicitante que supuestamente posibilitarían el ejercicio de los derechos ARCO-POL.

e) Cuando exista un impedimento legal, o la resolución de una autoridad competente, que restrinja el acceso a los datos personales, o no permita la rectificación, supresión u oposición de éstos.

f) Cuando la cancelación u oposición haya sido previamente realizada.

g) Cuando el responsable no sea competente.

h) En los demás casos establecidos en la presente ley y otras leyes aplicables.

La negativa a que se refiere este artículo podrá ser parcial en cuyo caso el responsable efectuará el acceso, rectificación, cancelación o supresión, oposición, portabilidad, olvido o limitación solo de los datos que considero procedente modificar.

En todos los casos anteriores, el delegado deberá notificar a través de una resolución motivada, las razones de su decisión y comunicarla al titular, o en su caso, al representante, en los plazos de tres días hábiles a la adopción de la decisión. La notificación deberá efectuarse por el mismo medio señalado por el titular y deberá acompañarse, en su caso, de las pruebas y cualquier documentación que se tomó en cuenta al momento de emitir el pronunciamiento respectivo.

Costos

Artículo 23.- El ejercicio de los derechos ARCO-POL es gratuito y sólo podrán realizarse cobros de los costos de reproducción, certificación o envío. La reproducción o envío de la información será sufragada por el solicitante, sin embargo, su valor no podrá ser superior al de los materiales utilizados o de los costos de remisión. El responsable deberá publicar y comunicar a los interesados de los costos de reproducción y envío de sus datos personales

En caso de que los datos personales deban entregarse en dispositivos magnéticos o electrónicos, el interesado deberá aportar el medio en que serán almacenados. Para el envío por vía electrónica no tendrá costo alguno, siempre y cuando sea posible realizar a través de dicho mecanismo.

TÍTULO II. DE LAS ACTIVIDADES REALIZADAS SOBRE LOS DATOS PERSONALES

CAPÍTULO I. PRIVACIDAD DE LOS DATOS PERSONALES

Aviso de privacidad

Artículo 24.- El aviso de privacidad es el documento físico, electrónico o digital mediante el cual el responsable, previo al tratamiento y recolección de datos, informa al titular sobre los términos bajo los cuales serán tratados sus datos personales. Este aviso deberá ser consistente con la política de privacidad que deberá elaborar el responsable para tal efecto.

El contenido del aviso de privacidad tendrá, al menos, la siguiente información:

a) El domicilio del responsable.

b) Los datos personales que serán sometidos a tratamiento, identificando aquéllos que son sensibles.

c) El fundamento legal que faculta al responsable para realizar el tratamiento.

d) Las finalidades del tratamiento para las cuales se obtienen los datos personales, distinguiendo aquéllas que requieren el consentimiento del titular.

e) Los mecanismos, medios y procedimientos disponibles para ejercer los derechos ARCO-POL y los mecanismos para revocar el consentimiento.

f) Indicación del nombre del delegado y lugar o medios para presentar la solicitud de derechos ARCO-POL.

g) Los medios a través de los cuales el responsable comunicará a los titulares los cambios al aviso de privacidad.

h) Los datos de contacto de la entidad subcontratada encargada del tratamiento de datos personales, en caso de existir.

i) El uso de cookies.

El aviso de privacidad podrá ser difundido por los medios físicos o electrónicos al titular de los datos personales, debiendo ser redactado y estructurado de manera clara y sencilla. En ningún caso el responsable podrá eximirse de la obligación de comunicarlo por escrito al titular al momento de que este otorgue su consentimiento informado para que sus datos puedan ser tratados.

Notificación de vulneraciones a la seguridad de los datos personales

Artículo 25.- Cuando el responsable tenga conocimiento de una vulneración de seguridad de datos personales ocurrida en cualquier fase del tratamiento, entendiéndose ésta como cualquier daño, pérdida, alteración, destrucción, acceso ilegitimo, y en general, cualquier uso ilícito o no autorizado de los datos personales aun cuando ocurriera de manera accidental, notificará a la Agencia de Ciberseguridad del Estado, a la Fiscalía General de la República y a los titulares afectados dicho acontecimiento, para lo cual se establece un plazo máximo de setenta y dos horas desde que se tuvo conocimiento de la vulneración de seguridad.

Dentro de este mismo plazo, el responsable deberá iniciar un proceso de revisión exhaustiva para determinar la magnitud de la afectación, y las medidas correctivas y preventivas que correspondan, así como la actualización de las políticas de seguridad del responsable de la base de datos para evitar nuevas vulneraciones

La notificación que realice el responsable a la Entidad Rectora estará redactada en un lenguaje claro y sencillo y contendrá, al menos, la siguiente información:

a) La naturaleza del incidente.

b) Los datos personales comprometidos.

c) Las acciones correctivas generales realizadas de forma inmediata.

d) Las recomendaciones al titular sobre las medidas que éste pueda adoptar para proteger sus intereses.

e) Los medios disponibles al titular para obtener mayor información al respecto.

La notificación dirigida a los titulares afectados únicamente deberá contener lo establecido en los literales a), b), d) y e).

Asimismo, el responsable documentará toda vulneración ocurrida en cualquier fase del tratamiento que ocasione un riesgo en la seguridad de los datos personales, identificando de manera enunciativa más no limitativa, la fecha en que ocurrió, el motivo de la vulneración, los hechos relacionados con ella, sus efectos o implicaciones y las medidas correctivas implementadas de forma inmediata y definitiva, la cual estará a disposición de la autoridad encargada de la materia.

CAPÍTULO II. DEL PREVIO CONSENTIMIENTO INFORMADO

Formas del consentimiento

Artículo 26.- El consentimiento deberá ser expreso, y se podrá manifestar de manera verbal, por escrito o a través de signos inequívocos, siempre y cuando conste por medios físicos, electrónicos o cualquier otro medio tecnológico.

En el caso del consentimiento de los niños, niñas y adolescentes para proporcionar sus datos personales se tomará en cuenta el Principio de Ejercicio Progresivo de las Facultades, en lo pertinente y adecuado para la aplicación de la presente ley.

Cuando se trate de datos personales de personas declaradas incapaces se estará a lo dispuesto por el derecho común.

Tratándose de datos personales sensibles, el responsable deberá obtener el consentimiento por escrito del titular para su tratamiento, a través de su firma autógrafa o su equivalente.

Requisitos del consentimiento

Artículo 27.- Para el tratamiento de los datos personales, y en especial de los datos personales sensibles, será necesaria la obtención del consentimiento del titular o en su caso de su representante, debiendo ser dicho consentimiento:

a) Libre: no debe mediar error, mala fe, dolo, violencia física, psicológica o cualquier otra forma de violencia, que puedan afectar la manifestación de voluntad del titular.

b) Específico: referido a una o varias finalidades determinadas y definidas que justifiquen el tratamiento.

c) Informado: que el titular tenga conocimiento previo al tratamiento, a qué serán sometidos sus datos personales y las consecuencias de otorgar su consentimiento.

d) Expreso: debe ser inequívoco, de forma tal que pueda demostrarse su otorgamiento. El consentimiento puede ser obtenido por medios físicos o electrónicos.

e) Individualizado: debe existir al menos un otorgamiento del consentimiento por parte de cada titular de los datos personales.

Excepciones del Consentimiento

Artículo 28.- No será necesario el previo consentimiento para el tratamiento de los datos personales en los casos siguientes:

a) Cuando los datos personales figuren en fuentes de acceso público, siempre y cuando no constituyan datos personales sensibles.

b) Cuando el titular de los datos personales no esté en condiciones de otorgar el consentimiento y este sea necesario para efectuar un tratamiento para la prevención, diagnóstico, la prestación de asistencia sanitaria, tratamientos médicos o la gestión de servicios sanitarios, en los términos que establece las disposiciones jurídicas aplicables, y que dicho tratamiento de datos personales se realice por una persona sujeta al secreto profesional u obligación equivalente.

c) Cuando exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes o tenga por finalidad proteger un interés vital del titular o de otra persona física que no esté capacitada para dar su consentimiento o no pueda darlo en ese momento.

d) Cuando los datos personales se sometan a un procedimiento previo de disociación.

e) Cuando el titular de los datos personales sea una persona reportada como desaparecida en los términos de la ley aplicable para tales efectos.

f) Cuando deriven de una relación contractual, científica o profesional del titular de los datos personales, y sean necesarios para su desarrollo o cumplimiento.

g) Cuando se trate de datos personales que el titular ha hecho ya manifiestamente públicos.

h) Cuando formen parte de archivos históricos, se recaben para fines de investigación científica o histórica o fines estadísticos siempre y cuando sea probable que los derechos citados anteriormente imposibiliten u obstaculicen gravemente el logro de los fines científicos y cuanto esas excepciones sean necesarias para alcanzar esos fines.

De la revocación del consentimiento

Artículo 29.- En cualquier momento, el titular podrá revocar de forma expresa su consentimiento para el tratamiento de sus datos personales, sin efecto retroactivo, para lo cual el responsable deberá establecer mecanismos expeditos, sencillos y gratuitos, que permitan al titular realizar dicha revocación.

Esta revocación no afectará la licitud del tratamiento posterior que realice el responsable, si este es ejecutado sobre la base de otras de las causales establecidas en la presente ley que lo justifiquen.

Trámite de la revocación

Artículo 30.- El delegado, ante la presentación de la solicitud de revocación del consentimiento, contará con un plazo de cinco días hábiles a partir de su recepción para proceder conforme a la revocación. Sí estos datos personales también son tratados por un encargado del tratamiento, el delegado deberá informarle de la resolución de revocación en el plazo de cinco días hábiles a partir de la fecha de emisión de esta, para que la ejecute inmediatamente.

Negativa a la revocación

Artículo 31.- En caso de negativa por parte del responsable a tramitar la revocación del consentimiento, el titular, sin perjuicio de otras acciones que conforme al ordenamiento jurídico pudiera ejercer, podrá presentar su denuncia ante la Entidad Rectora de la presente ley.

CAPÍTULO III. DEL TRATAMIENTO DE DATOS PERSONALES

Tratamiento de datos personales

Artículo 32.- El tratamiento de datos personales por parte de todos los responsables sólo podrá efectuarse respecto de los fines previamente informados y con sujeción a las normas aplicables. En el caso de las instituciones o empresa privada, únicamente deberá realizar el tratamiento de los datos personales que tengan relación directa con la naturaleza de los servicios que prestarán o prestaron al titular, en ningún caso podrán transferir o tratar datos personales de terceros para ofrecer otro tipo de servicios o cualquier finalidad diferente a la que éstos fueron recabados, sin previa autorización del titular.

Procedimientos para el ejercicio de los derechos ARCO-POL

Artículo 33.- El responsable establecerá y documentará procedimientos para el ejercicio de los derechos ARCO-POL sobre los datos personales objetos de tratamiento, con base en las políticas de actuación emitidas por la Entidad Rectora y las medidas de seguridad mínimas necesarias.

En los casos en el que el responsable subcontrate servicios en los cuales se conceda acceso a los datos personales, estos proveedores deberán someterse a la presente ley y a los lineamientos que el responsable y la Entidad Rectora establezca para garantizar el adecuado tratamiento de los datos personales.

Obligaciones para el tratamiento de datos personales

Artículo 34.- El responsable, y en su caso el encargado del tratamiento de datos, además del cumplimiento de los principios establecidos en la presente ley, tendrá las obligaciones siguientes:

a) Limitar el tratamiento de los datos personales de conformidad a la finalidad para la que se emitió el consentimiento por parte del titular.

b) Implementar las medidas de seguridad y cumplir con las políticas de actuación conforme a la presente ley.

c) Guardar confidencialidad en el tratamiento de los datos personales.

d) Cualquier otra obligación que le atribuya la presente ley.

De las políticas de actuación y manejo de datos personales

Artículo 35.- La Entidad Rectora dictará las políticas de actuación y manejo de datos personales, las cuales serán imperativas a los sujetos obligados por la presente ley.

De las medidas de seguridad en el tratamiento de datos personales

Artículo 36.- El responsable deberá acatar y mantener las medidas de seguridad establecidas por la Entidad Rectora para el resguardo y el tratamiento de los datos personales y que garanticen el cumplimiento de las características mínimas de seguridad de la información, tales como integridad, disponibilidad y confidencialidad.

El responsable deberá aplicar los mecanismos tecnológicos, regulatorios y procedimentales que garanticen el cumplimiento de las características de seguridad de información. Lo dispuesto en este artículo también será de obligatorio cumplimiento para el encargado del tratamiento de datos personales.

CAPÍTULO IV. DEL TRATAMIENTO DE DATOS SENSIBLES

Datos sensibles

Artículo 37.- Ninguna persona puede ser obligada a proporcionar sus datos personales sensibles. Éstos sólo podrán ser objeto de tratamiento con el consentimiento expreso e inequívoco del titular de conformidad con lo establecido en la presente ley, advirtiendo en todo caso al titular de dichos datos sobre su derecho a no prestarlo.

Excepcionalmente podrán ser objeto de tratamiento los datos a que se refiere el párrafo anterior cuando sea necesario para salvaguardar la vida del titular de los mismos o de otra persona, en el supuesto de que éste se encuentre física o jurídicamente incapacitado para dar su consentimiento.

No obstante lo dispuesto en el inciso primero de este artículo, podrán ser objeto de tratamiento los datos personales relativos a la salud, cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta a una obligación equivalente al secreto, garantizándose así la confidencialidad de los datos y que ellos no puedan ser utilizados para propósitos diferentes.

De la recolección de datos sensibles

Artículo 38.- Los datos personales sensibles sólo pueden ser recolectados y ser objeto de tratamiento en los casos establecidos por la presente ley, cuando medien razones de interés general autorizadas por otras disposiciones legales aplicables o cuando el responsable tenga un mandato legal para hacerlo.

También podrán ser tratados con finalidades estadísticas o científicas cuando se disocien de sus titulares.

Datos relativos a la salud

Artículo 39.- Los establecimientos de salud y los profesionales vinculados a las ciencias de la salud podrán recolectar y tratar los datos personales relativos a la salud física o mental de los pacientes que acudan a los mismos o que estén o hubieren estado bajo tratamiento de aquéllos, respetando el secreto profesional, los derechos de los pacientes establecidos en la Ley de Deberes y Derechos de los Pacientes y Prestadores de Servicios de Salud, la normativa específica aplicable y lo establecido en la presente ley.

CAPÍTULO V. DE LA TRANSFERENCIA DE DATOS

Transferencia de datos

Artículo 40.- Los datos personales objeto de tratamiento sólo pueden ser transferidos para el cumplimiento de los fines directamente relacionados con el interés legítimo del titular de los mismos o del responsable de la base de datos, y con el previo consentimiento del primero de éstos, a quien se deberá informar sobre la finalidad de la transferencia e identificar al cesionario o los elementos que permitan hacerlo. El consentimiento otorgado podrá revocarse cuando el titular de la información así lo decidiere.

Contrato para la transferencia de datos

Artículo 41.- El responsable de la transferencia de datos personales deberá suscribir un contrato con el responsable receptor, en el cual se prevean como mínimo las mismas obligaciones a las que se encuentra sujeto el responsable de la transferencia de dichos datos.

Interés superior de las niñas, niños y adolescentes

Artículo 42.- En cualquier tipo de tratamiento de datos personales se garantizará el interés superior de las niñas, niños y adolescentes, de conformidad con lo dispuesto en las leyes vigentes o tratados internacionales aplicables a dicha materia.

El ejercicio de los derechos de los niñas, niños y adolescentes implica previamente informarles tanto a éstos, como a sus progenitores o tutores legales, sobre su contenido y como ejercerlos. La información a los niñas, niños y adolescentes deberá ser presentada en un lenguaje claro, sencillo y adaptado a su edad y capacidad de comprensión, debiendo estar la información y los datos accesibles en todo momento, todo de acuerdo al Principio del Ejercicio Progresivo de las Facultades.

Otras garantías

Artículo 43.- En cualquier tipo de tratamiento de datos se deberán observar los preceptos establecidos en las leyes vigentes y tratados internacionales en materias relativas a los derechos de grupos específicos y que por su condición se encuentran en situación de desventaja, tales como personas con discapacidad, adultos mayores, población indígena, entre otros.

Transferencia internacional de datos personales

Artículo 44.- La transferencia de datos personales de cualquier tipo con países u organismos internacionales será permitida solamente cuando el país receptor o importador de datos personales cumpla como mínimo con los principios de protección de datos personales definidos en la presente ley o por los estándares internacionales en la materia. De ninguna manera, las garantías ofrecidas deberán ser menores a las exigidas por el ordenamiento jurídico vigente en El Salvador.

En caso de que el país receptor o importador de datos personales no cuente con un nivel de protección adecuado, el país emisor deberá garantizar que el tratamiento de los datos personales se efectué conforme a lo dispuesto por la presente ley.

Sin perjuicio de las transferencias de datos personales que se realicen a países que tienen un nivel adecuado de protección, los responsables, en virtud del principio de responsabilidad demostrada, deberán de implementar las medidas apropiadas y efectivas a fin de garantizar el adecuado tratamiento de los datos personales que transfieren al país receptor y la seguridad a los registros al momento de efectuar dicha transferencia.

Queda exceptuado el caso de los tratados de Integración Económica Centroamericana, ya que por la naturaleza comercial en la región se podrá optar a la transferencia de datos conforme a lo adoptado y acordado legalmente entre los países miembros del mismo tratado.

En todo caso deberá mediar el consentimiento previo del titular de los datos personales, salvo se establezcan excepciones en los instrumentos internacionales pertinentes y estas operen recíprocamente entre los países que los suscriban.

Participación de la Entidad Rectora

Artículo 45.- Los responsables de los bancos de datos, bases de datos, repositorios o de los sistemas o registros, tanto manuales como informáticos, podrán solicitar la opinión del Entidad Rectora, respecto a si el flujo transfronterizo de datos personales que realiza o realizará cumple con lo dispuesto por la presente ley.

En cualquier caso, el flujo transfronterizo de datos personales se pondrá en conocimiento de dicho organismo, incluyendo la información que se requiere para la transferencia de datos personales y el registro de banco de datos.

TÍTULO III. CAPÍTULO UNICO

ENTIDADES PÚBLICAS Y RELACIONADAS

Tratamiento de datos del sector público

Artículo 46.- Los sujetos mencionados en el inciso segundo del artículo 2 de la presente ley podrán recopilar y realizar el tratamiento de los datos personales a los que tuvieran acceso en atención al ejercicio de sus competencias o facultades legales, aun sin el consentimiento expreso de los titulares de éstos.

Sin embargo, los titulares o sus representantes podrán ejercer respecto de dichos datos, en los casos que fuera aplicable, los siguientes derechos:

a) Derecho de acceso a datos personales, según se dispone en el artículo 8 de la presente ley.

b) Derecho de rectificación, según se dispone en el artículo 9 de la presente ley.

c) Derecho de cancelación o supresión, solo en el supuesto del literal e), inciso primero del artículo 10 de la presente ley.

d) Derecho de oposición, según lo dispone el artículo 12 de la presente ley.

e) Derecho a la limitación, solo en el supuesto del literal a), c) y d) del artículo 13 de la presente ley.

Ejercicio de derechos

Artículo 47.- Para el ejercicio de los derechos contemplados en el artículo anterior, se deberá cumplir con lo dispuesto en la Sección B, Capítulo III del Título I de la presente ley. Para tales efectos, el nombramiento del delegado podrá recaer en el Oficial de Información de la institución pertinente.

Obligación de informar

Artículo 48.- Los sujetos mencionados en el inciso segundo del artículo 2 deberán informar a sus usuarios de la posibilidad de que sus datos personales sean recopilados y sometidos a tratamientos, así como la información de contacto del delegado y los medios para ejercer sus derechos.

Esta información deberá comunicarse a través de avisos en sus sitios web, plataformas digitales, sus formularios o por cualquier otro medio adecuado para tal fin.

Transferencias y difusión

Artículo 49.- Los sujetos obligados por el presente capítulo no podrán transferir, difundir, distribuir o comercializar los datos personales obtenidos en el ejercicio de sus competencias o facultades legales, salvo que haya mediado el consentimiento expreso y libre, por escrito o por un medio equivalente, de sus titulares.

Se podrá transferir o difundir los datos personales, aún sin el consentimiento del titular, únicamente en los siguientes casos:

a) Cuando fuere necesario por razones estadísticas, científicas o de interés general, siempre que los mismos sean disociados o seudonimizados.

b) Cuando se transmitan entre instituciones públicas u órganos del Estado, siempre y cuando se destinen al ejercicio de sus facultades legales.

c) Cuando se trate de la investigación de delitos e infracciones administrativas, en cuyo caso se seguirán los procedimientos previstos en las leyes pertinentes.

d) Cuando exista orden judicial.

e) Cuando contraten o recurran a terceros para la prestación de un servicio que demande el tratamiento de datos personales.

En el caso contemplado en el literal e), los terceros deberán suscribir un acuerdo de confidencialidad con la entidad pública involucrada y estarán sujetos a todas las obligaciones para la protección de datos personales contempladas en la presente ley.

TÍTULO IV. DE LA ENTIDAD RECTORA Y EL REGIMEN SANCIONADOR

CAPÍTULO I. ENTIDAD RECTORA

Entidad Rectora y sus atribuciones

Artículo 50.- La aplicación y supervisión de la presente ley corresponderá a la Agencia de Ciberseguridad del Estado, en adelante «ACE» o la «Agencia», para lo cual ejercerá las siguientes atribuciones:

a) Controlar, inspeccionar y supervisar a las instituciones obligadas en el marco de aplicación de la presente ley.

b) Ejercer la potestad sancionadora en materia de protección de datos personales y en los términos fijados por la presente ley.

c) Dictar, modificar o anular medidas provisionales según lo dispuesto en la Ley de Procedimientos Administrativos.

d) Garantizar la efectiva protección de datos personales de acuerdo con las facultades que le otorga la presente ley.

e) Promover programas de divulgación de esta ley dirigidos a los sujetos obligados al cumplimiento de la misma y a la población en general, con énfasis en la sensibilización del público y comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento de datos personales, con especial énfasis en la niñez, adolescencia y adultos mayores.

f) Resolver las controversias que se susciten entre los titulares, los responsables y los encargados del tratamiento, con relación a la clasificación y desclasificación de datos personales sensibles.

g) Proporcionar cuando sea requerido apoyo técnico a los responsables del tratamiento, en la elaboración y ejecución de sus programas de protección de datos personales.

h) Cooperar, en particular compartiendo información, siempre que no se trate de datos personales o datos personales sensibles, con otras autoridades de control en el ejercicio de sus funciones y prestar asistencia mutua con el fin de garantizar la coherencia en la aplicación y ejecución de la presente ley.

i) Dictar las políticas de actuación sobre el manejo y mantenimiento de los datos personales, así como las medidas de seguridad y protección de los mismos, procurando la implementación, en lo que fuera aplicable, de las buenas prácticas a nivel internacional.

j) Crear mecanismos de certificación de la protección de datos y de sellos y marcas para los mismos efectos, así como aprobar que terceros emitan certificaciones sobre dicha materia.

k) Realizar una revisión periódica de las certificaciones expedidas a que se refiere el literal anterior, siempre que fuera procedente.

l) Realizar auditorías anuales de las certificaciones expedidas.

m) Impartir capacitaciones a los instituciones públicas y privadas, así como a sus miembros, en materia de protección de datos personales y su administración.

n) Dictar las guías de implementación de la presente ley, las cuales deberán ser publicadas en su página web, redes sociales y cualquier otro medio que considere pertinente.

o) Asesorar y cooperar con los entes obligados en el cumplimiento de esta ley.

p) Recomendar cláusulas contractuales que garanticen la protección de los datos personales de acuerdo con la presente ley.

q) Elaborar los modelos de formularios para la realización de solicitudes de los derechos ARCO-POL y la revocación del consentimiento de los titulares de los datos personales.

r) Realizar o apoyar las investigaciones científicas o académicas sobre la aplicación de la presente ley.

s) Asistir y asesorar a los ciudadanos que lo requieran sobre los alcances de la presente ley y de los medios legales de que disponen para la defensa de los derechos que ésta garantiza.

t) Solicitar a las entidades públicas y privadas la información referida a los antecedentes, documentos, programas u otros elementos relativos al tratamiento de los datos personales, garantizando la integridad, seguridad y confidencialidad de la información y elementos suministrados.

u) Asesorar en la forma pertinente al órgano Ejecutivo en la consideración de los proyectos de ley que se refieran total o parcialmente a protección de datos personales.

v) Las demás que le confiera esta ley, reglamentos u otras disposiciones legales aplicables.

En el ejercicio de sus atribuciones, la Agencia podrá emplear procedimientos automatizados de acuerdo con las herramientas tecnológicas a su alcance.

Ejercicio de potestades

Artículo 51.- El Director General de la ACE ejercerá las atribuciones y facultades que le correspondan según lo dispuesto en la presente ley, a excepción de la potestad para imponer sanciones.

Para asistir al Director General en el ejercicio de sus funciones, será nombrado un Director de Protección de Datos Personales. Este funcionario también conocerá de los procedimientos administrativos para imponer las sanciones que establece la presente ley, y podrá delegar la instrucción y sustanciación de estos procedimientos, no así la imposición de la sanción, en un empleado o funcionario de la ACE distinto del Director General.

La Agencia establecerá las dependencias o unidades administrativas necesarias para realizar todas las actividades necesarias en materia de protección de datos personales.

Requisitos

Artículo 52.- Para ser Director de Protección de Datos Personales se requiere:

a) Tener un grado universitario, nacional o extranjero, de preferencia en ciencias jurídicas, informática, ciencias de la computación, ingeniería en sistemas, telecomunicaciones u otras áreas relacionadas.

b) Acreditar experiencia profesional y laboral en materia de protección de datos personales o seguridad de la información.

c) Ser de reconocida honorabilidad y probidad.

d) Haberse desempeñado en forma destacada en asuntos profesionales, de servicio público o académico.

Con relación a lo relativo a los impedimentos, incompatibilidades y cesación del cargo del Director de Protección de Datos Personales, se aplicará lo dispuesto en la Ley de Ciberseguridad y Seguridad de la Información.

CAPÍTULO II. DEL PROCEDIMIENTO SANCIONADOR

Procedimiento sancionador

Artículo 53.- Para el ejercicio de potestad sancionadora, el desarrollo del procedimiento y las reglas de prescripción de las infracciones y sanciones contemplada en la presente ley se aplicará lo dispuesto en la Ley de Ciberseguridad y Seguridad de la Información.

Carga de la prueba

Artículo 54.- Para efectos de demostrar la obtención del consentimiento o la comunicación de la política o del aviso de privacidad, la carga de la prueba recaerá específicamente en el responsable, conforme a las formas que se establecen en la presente Ley. Esto sin perjuicio de la facultad de aportar prueba a los otros intervinientes de los procedimientos administrativos sancionadores, según previstos por esta ley y otras disposiciones jurídicas aplicables a dichos procedimientos.

Tratándose de transferencias internacionales de datos personales, la carga de la prueba recaerá en el responsable de la transferencia, el cual deberá demostrar que el tratamiento o la transferencia fue realizado conforme a la presente ley o de acuerdo con los estándares internacionales en la materia.

Publicidad de las resoluciones

Artículo 55.- Todas las resoluciones emitidas por la ACE respecto a la imposición de sanciones de conformidad con la presente ley serán difundidas públicamente en su sitio web, en versiones públicas, siempre y cuando los datos personales sean disociados o anonimizados.

CAPÍTULO III. DE LAS INFRACCIONES Y SANCIONES

Infracciones

Artículo 56.- Las infracciones se clasificarán en leves, graves y muy graves:

a) Son consideradas infracciones leves, las siguientes:

1. No informar al titular de los datos personales acerca de sus derechos antes de ser recolectados.

2. No publicar los datos de contacto del encargado del tratamiento.

3. Omitir notificar respecto de las vulneraciones a la seguridad de los datos personales acaecidas a los sujetos pertinentes, de conformidad con lo dispuesto en el artículo 25 de la presente ley.

4. Acceder a un banco de datos, base de datos, repositorio, sistemas o registros, tanto manuales como informáticos, sin autorización del responsable de éstos.

5. Dar un tratamiento a los datos personales de forma inexacta o falsa.

6. Modificar los datos suministrados en el documento que autoriza el tratamiento de datos personales.

7. Exigir pago para atender las solicitudes que en la presente ley se establecen como gratuitas.

8. Incumplir con el Derecho de Información frente a la Recolección de Datos contenido en el artículo 7 o la obligación de informar del artículo 48, ambos de la presente ley.

9. No atender las solicitudes realizadas por parte de la ACE en materia de protección de datos personales.

b) Son consideradas infracciones graves, las siguientes:

1. Proporcionar de forma incompleta o inexacta la información relativa a los datos personales que del titular se traten, ya sean recolectados o inferidos, cuando este ejerza su derecho de acceso.

2. No atender las solicitudes de derechos ARCO-POL, en el tiempo y forma establecidos por la presente ley.

3. Procesar, recopilar o destinar datos personales con finalidad diferente para la que se otorgó el consentimiento o se habilito su tratamiento.

4. Obstaculizar el desarrollo de las auditorías o inspecciones que realice la ACE.

5. No implementar las medidas, controles técnicos o lineamientos que establezca la ACE en materia de protección de datos.

6. Incurrir en las prohibiciones establecidas en el artículo 59 de la presente ley.

7. No cumplir con las medidas de seguridad establecida en las políticas de actuación emitidas por la Agencia.

c) Son consideradas infracciones muy graves, las siguientes:

1. Tratar datos personales sin el consentimiento previo, de conformidad con lo establecido en el artículo 26 de la presente ley.

2. Denegar las solicitudes realizadas para el ejercicio de los derechos ARCO-POL en contravención a lo establecido en esta ley.

3. El uso de los datos personales de niños, niñas y adolescentes sin el previo consentimiento de sus padres, representantes o tutores, de conformidad con las leyes vigentes o tratados internacionales debidamente suscritos y ratificados por El Salvador.

4. Tratar datos personales de personas declaradas incapaces sin el consentimiento de su titular o su representante.

5. Realizar transferencia internacional de datos personales a países que no cumplan como mínimo con el nivel de protección exigido por la presente ley.

6. Realizar transferencia de datos personales sin el consentimiento de su titular o su representante, o en contravención de las excepciones que establezca la ley.

7. Comercializar datos personales a cualquier título sin el consentimiento de su titular.

8. Revertir la seudonimización de los datos personales sin el consentimiento del titular.

9. Tratar datos personales a pesar de la revocación del consentimiento otorgado por el titular.

10. No hacer efectiva la revocación del consentimiento ante la solicitud del titular cuando ésta proceda.

Multas

Artículo 57.- Sin perjuicio de las responsabilidades penales a que diere lugar, las infracciones determinadas en la presente ley serán sancionadas con las siguientes multas:

a) Las infracciones leves se sancionarán con multa de uno hasta un máximo de diez salarios mínimos mensuales vigentes del sector comercio.

b) Las infracciones graves se sancionarán con multa de once hasta un máximo de veinticinco salarios mínimos mensuales vigentes del sector comercio.

c) Las infracciones muy graves se sancionarán con multa de veintiséis hasta un máximo de cuarenta salarios mínimos mensuales vigentes del sector comercio.

Medidas adicionales

Artículo 58.- Determinada la procedencia de la sanción, la Agencia podrá ordenar al infractor o el sujeto obligado relacionado que adopte las medidas que fueren necesarias para restablecer la legalidad alterada por la infracción o que permita la corrección de los derechos o las situaciones vulneradas.

Todas las sanciones determinadas en la presente ley no eximen al infractor de las responsabilidades civiles o penales derivadas de las investigaciones correspondientes a que dieren lugar.

Prohibiciones

Artículo 59.- Queda prohibido a los sujetos obligados por la presente ley lo siguiente:

a) Crear bases de datos que contengan datos personales sensibles, en contravención a lo dispuesto en la presente ley o la normativa aplicable para tales efectos.

b) El tratamiento de datos personales que revelen el origen racial o étnico, nacionalidad, afiliación partidaria, convicciones religiosas, espirituales o filosóficas, así como los relativos a la salud, la vida y la orientación sexual, sin observar lo establecido en el capítulo IV del Título II de esta ley o la normativa aplicable para tales efectos.

c) Revelar, difundir o comercializar por cualquier medio los datos personales que ha tenido acceso con ocasión de su cargo, sin observar los requisitos que establece esta ley o la normativa aplicable para tales efectos.

d) Utilizar, transferir, compartir y comercializar a cualquier título y destino la información de las personas que conste en sus bancos de datos, bases de datos, repositorios, sistemas o registros, tanto manuales como informáticos, en contravención a lo dispuesto en la presente ley o la normativa aplicable para tales efectos.

TÍTULO V. CAPÍTULO ÚNICO

DISPOSICIONES TRANSITORIAS Y FINALES

Emisión de disposiciones y aplicación de la Ley

Artículo 60.- La ACE deberá dictar las políticas, medidas, guías y cualquier otra disposición necesaria para la aplicación de la presente ley a más tardar tres meses contados a partir de la vigencia de la misma.

Los sujetos obligados tendrán un plazo de tres meses a partir de la emisión de las referidas disposiciones para adecuar e implementar lo regulado respecto a la protección de datos personales.

De la recopilación y tratamiento de datos personales en poder de los sujetos obligados

Artículo 61.- A partir de la entrada en vigencia de la presente ley, los sujetos obligados deberán adoptar las medidas de protección de datos personales que establezca la ACE para aquellos datos personales obtenidos previo a la entrada en vigencia de la misma.

Asimismo, tendrán un plazo de seis meses contados a partir de la vigencia de la presente ley para establecer mecanismos para que los titulares de los datos personales ejercen sus derechos en el marco de la protección de datos personales.

Ley supletoria

Artículo 62.- En todo lo no previsto en la presente ley se estará a lo dispuesto en la Ley de Procedimientos Administrativos.

Especialidad y derogatoria

Artículo 63.- La presente ley tendrá carácter especial en su aplicación respecto de otras leyes que regulen la materia de protección de datos personales por parte de todos los sujetos obligados, en ese sentido, quedan derogadas expresamente todas las disposiciones contenidas en leyes generales o especiales que la contraríen.

Adicionalmente, se deroga expresamente el literal h) del artículo 3; literales a) y b) del artículo 6, el título III, literal b) del artículo 50, literales i) y j) del artículo 58, literales a) y b) del artículo 83 y cualquier otra mención que haga alusión a los datos personales en la Ley de Acceso a la Información Pública, aprobada por Decreto Legislativo n.º 534, de fecha 2 de diciembre de 2010, publicado en el Diario Oficial n.º 70, Tomo n.º 391, del 8 de abril de 2011.

Vigencia

Artículo 64.- El presente decreto entrará en vigencia ocho días después de su publicación en el Diario Oficial.

DADO EN EL SALÓN AZUL DEL PALACIO LEGISLATIVO: San Salvador, a los doce días del mes de noviembre del año dos mil veinticuatro.

ERNESTO ALFREDO CASTRO ALDANA, Presidente

SUECY BEVERLEY CALLEJAS ESTRADA, Primera Vicepresidenta

KATHERYN ALEXIA RIVAS GONZÁLEZ, Segunda Vicepresidenta

ELISA MARCELA ROSALES RAMÍREZ, Primera Secretaria

REYNALDO ANTONIO LÓPEZ CARDOZA, Segundo Secretario

REINALDO ALCIDES CARBALLO CARBALLO, Tercer Secretario

CASA PRESIDENCIAL: San Salvador, a los catorce días del mes de noviembre de dos mil veinticuatro.

PUBLÍQUESE,

NAYIB ARMANDO BUKELE ORTEZ, Presidente de la República.

HÉCTOR GUSTAVO VILLATORO, Ministro de justicia y Seguridad Pública.