Por Karla Alas Managing Partner KapaduStudio
El pasado mes de noviembre de 2024, fueron aprobadas por la Asamblea Legislativa de El Salvador con 57 votos, dos leyes que estaban haciendo falta y me refiero a la Ley de Ciberseguridad y la ley de Datos Personales marcando un hecho histórico, ya que desde el año 2020 y antes inclusive, la regulación y sobre todo el hecho de estandarización y transformación que ha tenido el país, en lo que es intangibles digitales, modernización del Estado, uso de cripto monedas como moneda de curso legal, el crecimiento exponencial que los mercados digitales y la manufactura de activos digitales, así como la habilitación de nuevos escenarios jurídicos para la legalización de la tecnología, y sus derivados, han hecho que muchas personas vean al Pulgarcito de América, como un espacio propicio para nuevos mercados y donde creemos que puede favorecer a la economía.
La Ley De Datos Personales reconoce por primera vez en la historia de El Salvador, nuevos derechos que solamente se conocían o se escuchaban cómo estaban surgiendo en otros países y que si bien, se han reconocido en jurisprudencia, o también, en algunas leyes secundarias, sin la profundidad o ligeramente, como se definen los criterios de la mayoría de los países, donde si existe una ley de privacidad de datos y protección de la data personal, pero también se les esta dando un valor asociado, al gran derecho universal de la información, al derecho de la integridad que como personas tenemos, el derecho a la imagen y al honor, y cómo estos derechos interactúan entre sí, de tal suerte que no solo El Salvador, si no el mundo entero ha dado importancia al tema, y reconociendo la prioridad de lo que son los derechos digitales, pero principalmente sobre como los datos personales se recogen, cuál es el tratamiento que debe ejecutarse, cómo debe ser legalmente su almacenamiento, cómo debe ser la conservación de la información, y con muchísima importancia, la extrema necesidad de contar con la autorización, que las personas brinden de sus datos personales y las acciones legales a ser ejercidas contra aquellos que utilicen la información de forma indebida.
Por su parte, la Ley de Ciberseguridad no se queda atrás, ahora contará con el mecanismo legal y la institucionalidad, que definirá líneas de acción, y políticas de protección para estructurar, regular, auditar y fiscalizar las medidas de ciberseguridad en poder de las instituciones estatales que son en primera medida, los organismos obligados a cumplir y velar por lo establecido en la ley.
Y es a partir de esta ley que se han definido los principios con los cuales estructurar, regular y coordinar las acciones de ciberseguridad y así prevenir las actividades relacionadas a la ciberdelincuencia.
De ahí que existe a razón, respecto de cómo estas dos leyes, que regulan dos necesidades urgentes para la seguridad de la información y la ciberseguridad per se, y cómo debía contemplar diferentes aspectos, y regular aquellos vacíos que se habían dejado en otras leyes y que sin una claridad, orientación y normativas que atendieran estos aspectos como prioridad, podríamos con ello, empezar a definir las mejores estrategias y ámbito de protección para caminar en un ambiente ciber seguro, pero también, porque es a partir de esto que podemos empezar a concebir como El Salvador comienza a blindar y definir caminos hacia una ciberdefensa propiamente pura.
Con lo anterior, El Salvador se va a posicionar no solamente como un país cuyo interés es proteger la seguridad de sus ciudadanos en lo que corresponde a datos personales, si no en un campo más amplio, como lo son entornos ciberseguros y donde la exposición de la información sobre todo la que maneja el Estado se encuentre debidamente protegida y que viene a ser una ayuda en una conjunción de nuevas leyes que han surgido y que no tenían la estructura legal para la protección de la data, tanto la estatal como la de las personas.
Ya en diferentes cuerpos normativos había una pre existencia del reconocimiento y la necesidad de proteger la data, pero también han existido ya criterios y aplicación de norma técnica internacional, así como buenas practicas que se han implementado en las empresas, pero cabe la pregunta, y en materia de datos que es lo que se debe prever y no improvisar?
Si bien las necesidades de proteger son urgentes, debe existir desde ya, los criterios y estándares internacionales para poder manejar los mismos o por lo menos los mas cercanos criterios en el tratamiento que se le dé a la información.
De ahí que por ejemplo necesitamos no solo el reglamento que estará surgiendo para la aplicación de las leyes. Necesitamos por ejemplo muchas manos, ya que la protección de la información tanto de la data personal, como la que se maneja en el Estado o en si en el ámbito privado requieren ser protegidos desde muchas aristas.
Hoy surge con la Ley de Ciberseguridad crear al ente regulador, a ser ejercido por la Agencia de Ciberseguridad del Estado, quien tendrá la obligación garantizar la seguridad informática de los ciudadanos, con diferentes y variadas funciones entre ellas:
- Elaborar la política de ciberseguridad y seguridad de la información de la Nación que contiene los lineamientos y planes de acción.
- Emitir normas protocolos lineamientos estándares y criterios técnicos tanto generales como específicos basados en buenas prácticas y marcos de referencia internacional en materia de ciberseguridad
- Implementar programas de acción para responder ante amenazas o incidentes de seguridad que involucran a los sujetos obligados.
- Requerir a las entidades obligadas donde estas se hayan visto afectadas en sus sistemas informáticos equipos o infraestructuras por un incidente de ciberseguridad y ejecutará las acciones que sean necesarias para el cumplimiento de sus fines.
Surge a partir de este momento la atribución de crear un registro Nacional de amenazas e incidentes, así como calificar mediante resolución fundamentada a los operadores de infraestructuras críticas y someterlo a ratificación del Presidente de la República.
Pero además la misma ley de datos regulará como mecanismo de protección la necesidad de que las empresas deben contar con Delegado de Protección de Datos, generar políticas, avisos de privacidad y los procesos para notificar las vulnerabilidades a datos de las personas.
De ahí que ha surgido dudas a quienes le va a aplicar la ley. Y aunque la Ley de Ciberseguridad solo limita a que los entes obligados son todos los órganos de gobierno, sus dependencias y las instituciones oficiales autónomos las municipales, pero será obligada cualquier entidad u organismo, independientemente de su forma naturaleza o situación jurídica mediante las cuales se administran recursos públicos, bienes del estado o ejecuten actos de administración pública en general y que posean incidencia en la infraestructura crítica del Estado, incluyendo a todos los servidores públicos dentro o fuera del territorio de la República y las personas que elaboran en entidades ya mencionadas.
Importante esta aclaración porque pareciera que lo privado queda totalmente ajeno a esto, sin embargo, es ilógico pensar de esta forma. Y por ello no podemos decir que esta ley no impacta, pues nadie está exento de un incidente informático hoy día, y menos podemos alegar ignorancia de ley, y lo que sí es factible, es que una brecha de seguridad puede llegar por cualquier frente, ya sea desde una broma, una curiosidad, o con premeditación, alevosía y ventaja.
El camino ya quedo definido en el trazo legal, pero en el recorrido es determinante asfaltar, poner alertas de seguridad, activación de botones de pánico y actuación. Necesitamos protocolos para como saber actuar y con que debemos actuar en lo mínimo.
Los ciber ataques están a la orden del día, pero no quiere decir que no es algo que no se pueda prever, medir riesgos, actuar y como dice el slogan de aquella famosa marca de whisky, debemos pensar, que, con ciberseguridad y data protegida, sin duda podremos continuar caminando o como es conocido en ambientes ciber seguros, podremos decir “keep walking”.
El Salvador se transforma y hacia allá vamos!