El derecho a la protección de datos personales en El Salvador encuentra su fundamento en el artículo 2, párrafo primero, parte final de la Constitución. Este derecho fundamental permite que el titular de los datos personales pueda controlar quién, cómo, dónde y para qué el encargado o responsable de un fichero o tratamiento de información tiene sus datos. Y es que, “el poder de disposición sobre los datos personales propios se vuelve ilusorio si el titular de los mismos desconoce cuáles son los que poseen terceros, quiénes los poseen y con qué fin”.
En la sentencia emitida por la Sala de la Constitucional en el Amparo 934-2007, se expuso que la faceta instrumental de este derecho no supone en principio solo una barrera al legislador, sino que también implica una “colaboración legislativa”. Y ello, porque dicho derecho fundamental no queda satisfecho con la mera abstención por parte de los poderes públicos, sino que implica principalmente pretensiones de control y seguridad en el manejo de los datos personales
En un informe elaborado por la Relatora Especial de Naciones Unidas sobre el Derecho a la Privacidad en enero de 2022 (“La privacidad y la protección de datos personales en Iberoamérica: ¿un paso hacia la globalización?”), expresaba que “la pandemia, no solo ha acelerado los procesos de digitalización, sino que también ha llevado a volcar las vidas de las personas hacia una mayor integración con las tecnologías; y esto, a la vez que denota grandes ventajas, trae aparejados riesgos graves, en especial en lo que concierne a la seguridad de la información, la privacidad y el manejo de datos personales”.
En ese sentido, también expresó que “proteger la privacidad y los datos personales de los individuos es, además, atender a su dignidad, su igualdad y su libertad, y es también trabajar en pos de una sociedad más igualitaria en la que la intimidad no sea un privilegio de unos pocos”. Y concluía su informe haciendo alusión a que “durante los primeros tres lustros del siglo XXI, la tendencia de los países iberoamericanos ha ido hacia la promulgación de leyes que se basan en el sistema europeo de protección de datos personales, complementándose así las disposiciones programáticas de las respectivas constituciones de los países de Iberoamérica”.
Sin embargo, en El Salvador no contamos con una ley de protección de datos personales. Y esto porque a pesar de que sí se promulgó una ley en este sentido, el presidente de la República la vetó en mayo de 2021 por considerarla “inconveniente”, a su juicio, por tres motivos: a) por la falta de armonía con el marco legal salvadoreño e inadecuado diseño de mecanismos jurisdiccionales y no jurisdiccionales para la protección de datos personales; b) por la falta de idoneidad y experticia técnica en la conformación de la autoridad nacional de protección de datos personales; y c) la falta de planificación presupuestaria para la implementación de la ley.
Con lo que se cuenta actualmente en el país es con normativa segregada. Así, por ejemplo, se cuenta con la Ley de Regulación de los Servicios de Información sobre el Historial de Crédito de las Personas; la Ley de Acceso a la Información Pública y su respectivo Reglamento; el Reglamento de la Ley Penitenciaria; la Ley de Deberes y Derechos de los Pacientes y Prestadores de Servicios de Salud; los Lineamentos de Expedientes Clínicos emitidos por el Instituto de Acceso a la Información Pública (IAIP), y las Directrices para el Cumplimiento de Obligaciones de Transparencia y Protección de Datos Personales durante la Emergencia Sanitaria, de la misma entidad, entre otros.
En la referida Ley de Acceso a la Información Pública, hay nueve disposiciones (artículos 31-39) que aluden al derecho a la protección de datos personales y a la posibilidad de acceder a dicha información en manos de los entes obligados (instituciones a las que a se refiere dicha normativa). En tal sentido, conforme a dicha ley, es atribución del IAIP garantizar el debido ejercicio del mencionado derecho; asimismo, conocer y resolver del procedimiento sancionatorio y dictar las sanciones administrativas por la comisión de conductas constitutivas de infracción según lo ahí previsto. Esta atribución es la que ejerció el IAIP el 26 de febrero de 2020 —en una conformación diferente de comisionados— y afirmó que “los funcionarios no pueden hacer un uso indebido de las redes sociales y de la información confidencial a la que tienen acceso por motivo de su cargo y que obra en poder de las instituciones públicas y es entregada a estas por las personas, con una finalidad determinada”.
Pero ya no existe un IAIP que cumpla sus atribuciones en defensa del ciudadano, tampoco una Sala de lo Constitucional independiente e imparcial. A esto le sumamos el no contar a la fecha con una ley de protección de datos personales. A pesar de que en la Agenda Digital 2020-2030, la Secretaría de Innovación de la Presidencia establece como un compromiso la existencia de una legislación especial, es notorio que la prioridad es el lanzamiento de plataformas en las que el ciudadano salvadoreño tenga una “identidad digital”; pero ello sin contar con una ley que regule, entre otros aspectos, cuáles son los instrumentos jurídicos para hacer valer los derechos en juego. Las desafortunadas experiencias con la billetera digital y las suplantaciones de identidad reportadas en 2021 son un reflejo de lo vulnerables que somos los ciudadanos ante el uso de nuestra información personal cuando no hay controles adecuados y, peor aún, cuando no hay intención alguna de proteger los derechos.
Ya la historia ha demostrado que la violación sistemática a los derechos fundamentales también ha tenido lugar en manos del Estado cuando ha usado la información para fines distintos para los que fue recolectada; por ejemplo, el caso del Censo de 1939, cuya información permitió crear el registro judío en Alemania.
El riesgo de que la información de los ciudadanos sea utilizada para fines desconocidos por las personas, o para fines diferentes a los que originalmente fue recogida, implica un peligro y una puerta abierta a la vulneración no solo del derecho a la protección de datos personales, sino también a la de otros.
*Sandra Santos es abogada salvadoreña. Catedrática de Derecho Constitucional y Procesal Constitucional de la Universidad Centroamericana José Simeón Cañas (UCA).
Opina