ISSN: 2075-6631
EDICIÓN #150
LUIS NÚÑEZ Abogado del Año
Liderazgo Legal Empresarial
CONTENIDO 6 La economía global entrará
18 Seguridad del ecosistema
estable a un 2025 que presenta riesgos
César Addario
8 “Estamos muy interesados en que nuestra relación con el salvador crezca”
de pagos: lecciones de heartland y target
Marta Mena
20 Luis Núñez: Liderazgo
legal y compromiso con la transformación corporativa
Redacción DyN
10 ¿Qué esperar de la nueva ley de ciberseguridad en el salvador? Karla Patricia Alas
12 Protocolos humint para la
24 Ley para la protección de datos personales: el cierre del círculo de la actualización legal tecnológica
Julio César Osegueda
14 Privacidad de datos: una estrategia para impulsar el éxito empresarial Alejandro Solano Meardi
34 En 2024, AFP CONFIA
fortalece su liderazgo con una imagen renovada
36 Inteligencia artificial: El futuro de la banca tradicional
Silvia Córdoba
EDICIÓN #150
26 La disociación y
seudonimización en la ley de protección de datos personales David Blanco
28 Compliance en protección de Laura Nathalie Hernández ISSN: 2075-6631
30 Ética y confidencialidad en el uso de datos e IA
@RevistaDyN
Alfredo Navas Duarte
datos personales
Fernando Argüello
www.derechoynegocios.net
en El Salvador
Rodrigo Benítez
ciberseguridad
Nueva ley de protección de 16 datos: retos y oportunidades
Redacción DyN
32 Ley de protección de datos
LUIS NÚÑEZ Abogado del Año
Liderazgo Legal Empresarial
Eva Galicia
SUSCRÍBASE PARA RECIBIR NUESTRA REVISTA DIGITAL
ESCANEE Y SUSCRÍBASE gerencia@derechoynegocios.net
Derecho y Negocios
Edición #150 ISSSN: 2075 - 6631 Calle el Mirador, Pje. Domingo Santos #600-31 Colonia Escalón, San Salvador, El Salvador
Prohibida la reproducción total o parcial de esta revista sin previa autorización.
CARTA DEL
PRESIDENTE Estimados lectores:
Es un honor para Derecho y Negocios presentarles nuestra edición número 150, un hito que reafirma nuestro compromiso con la excelencia, la actualidad y la relevancia informativa que merecen nuestros lectores. En esta ocasión, nos enorgullece contar con Luis Alonso Núñez Sánchez en nuestra portada, un abogado que representa liderazgo, innovación y dedicación en el ámbito jurídico y corporativo de la región. En línea con nuestra misión de estar siempre a la vanguardia de los temas que más interesan y afectan a nuestra audiencia, dedicamos nuestro especial de esta edición a la protección de datos y ciberseguridad. Este tema adquiere particular relevancia tras la reciente aprobación de leyes sobre esta materia por parte de la Asamblea Legislativa, un paso fundamental para fortalecer la seguridad digital y la protección de la información en El Salvador. La implementación de estas normativas marca un precedente importante para empresas, profesionales del derecho y la sociedad en general, y en nuestras páginas encontrarán análisis, opiniones expertas y los retos que trae este nuevo panorama regulatorio. Asimismo, en esta edición destacamos el artículo “La economía global entrará estable a un 2024 que presenta riesgos”, elaborado por César Addario, VP Regional de Exor Latam para Centroamérica y el Caribe. En este análisis, se abordan las tendencias macroeconómicas actuales y los desafíos que podrían impactar los mercados globales en el próximo año, ofreciendo a nuestros lectores una perspectiva valiosa para entender y anticipar los riesgos que se avecinan. Por último, aprovechamos para invitarlos a ser parte de la cuarta edición de nuestro reconocimiento “45 de 45”, un evento que continúa consolidándose como un espacio para destacar el talento, la trayectoria y el liderazgo de los profesionales más influyentes en diversas áreas del derecho y los negocios. Esperamos contar con su participación en este prestigioso evento que celebra el esfuerzo y la excelencia en nuestra comunidad jurídica. Agradecemos, como siempre, su confianza y fidelidad, y los invitamos a disfrutar de esta edición que hemos preparado con el compromiso y la calidad que nos caracteriza.
PRESIDENTE
Manuel Carranza
Atentamente,
manuelcarranza@derechoynegocios.net
VICEPRESIDENTE
Lisandro Campos
lisandrocampos@derechoynegocios.net
GERENCIA
Linda Alarcón
gerencia@derechoynegocios.net
CONTENIDOS
Equipo DyN DISEÑO EDITORIAL
Enrique Alexander Morán arte@derechoynegocios.net
ManuelCarranza PRESIDENTE
Apply by
February 1, 2025, at 11:59 p.m. (EST) at bit.ly/GBEL2025
FINANZAS 6|DERECHO Y NEGOCIOS
El último informe sobre perspectivas económicas de la OCDE invita a reflexionar sobre los riesgos que enfrenta la economía mundial, que recién está volviendo a un escenario de política monetaria más relajada.
L César Addario Soljancic VP REGIONAL DE EXOR LATAM PARA CENTROAMÉRICA Y EL CARIBE.
a economía global iniciará 2025 preparada para mantener un crecimiento estable, según el último informe de la Organización para la Cooperación y el Desarrollo Económicos (OCDE). Esta entidad internacional, que agrupa a 38 países con economías avanzadas y emergentes, se dedica a promover políticas que mejoren el bienestar económico y social en el mundo. Su más reciente Economic Outlook presenta previsiones optimistas pero con matices de cautela. El informe proyecta que el Producto Interno Bruto (PIB) global crecerá un 3.3 % en 2025, una ligera mejora frente al 3.2 % estimado para 2024. Este crecimiento, aunque modesto, refleja la resiliencia de las economías frente a los desafíos persistentes. Uno de los puntos clave que destaca la OCDE es la disminución progresiva de la inflación. En las economías avanzadas, se espera que este indicador pase del 5.4 % en 2024 al 3.8 % en 2025, llegando al 3 % en 2026. Este descenso estará respaldado por la postura aún restrictiva de las políticas monetarias en la mayoría de los países, junto con una estabilización en los precios de las materias primas. “La reducción de la inflación es una señal alentadora para la estabilidad económica global, pero los bancos centrales enfrentan el desafío de garantizar que las presiones inflacionarias subyacentes estén completamente controladas antes
de relajar sus políticas. Así, ya vemos a un grupo importante de países que han bajado tasas, pero otros casos en las que parece ser que deberán aumentarlas, como sucede con Brasil”, señala César Addario Soljancic, vicepresidente de EXOR Estructuradores Financieros. El informe de la OCDE destaca que casi el 50 % de las economías avanzadas y el 60 % de los mercados emergentes han logrado que la inflación regrese a los objetivos establecidos por sus bancos centrales, lo que refuerza las expectativas de estabilidad, ya que esto permitiría que mantengan una política monetaria relajada, tras años de tasas altas para combatir el incremento de los precios posterior a la pandemia de COVID-19. El desempeño económico para 2025 será dispar entre las distintas regiones:
Estados Unidos: Impulsado por un
mercado laboral sólido y un crecimiento en los ingresos reales, el PIB se expandirá un 2.8 %, aunque se desacelerará al 2.4 % en 2026.
Eurozona:
La recuperación de los ingresos y el alivio en las tasas de interés permitirán un crecimiento moderado del 1.3 % en 2025 y del 1.5 % en 2026.
Japón: Aunque el crecimiento alcanzará
un 1.5 % en 2025, se prevé una marcada desaceleración al 0.6 % en 2026 debido a factores demográficos y estructurales.
FINANZAS DERECHO Y NEGOCIOS|7
China: La segunda economía mundial continuará ralentizándose, con un crecimiento proyectado de 4.7 % en 2025 y 4.4 % en 2026, reflejando los desafíos internos y las restricciones regulatorias.
“La diversidad en las perspectivas regionales revelan la necesidad de soluciones específicas y bien calibradas. Mientras Estados Unidos lidera el crecimiento entre las economías avanzadas, regiones como Europa y Asia enfrentarán retos más complejos relacionados con el envejecimiento poblacional y las tensiones geopolíticas”, destaca Addario Soljancic. A pesar de las proyecciones optimistas, el informe de la OCDE no deja de advertir sobre riesgos significativos. Por una parte, los conflictos en Oriente Medio y las tensiones comerciales podrían interrumpir mercados clave como el de la energía, afectando la confianza global. Los altos niveles de endeudamiento en muchas economías limitan la capacidad de respuesta fiscal ante posibles crisis. “Para hacer frente a sus obligaciones, los países deben ser innovadores y estratégicos en cuanto a sus opciones de financiamiento”, explicó el VP de EXOR. Otro punto a considerar y que tendrá fuerte infuencia en la economía mundial en este 2025 es la falta de trabajadores cualificados, exacerbada por el envejecimiento poblacional,
representa un freno estructural al crecimiento a largo plazo, según advierte la OCDE. “La economía global ha demostrado una resiliencia notable, pero no podemos ignorar los desafíos a largo plazo. La necesidad de reformas estructurales es más urgente que nunca,”, advierte Addario Soljancic. Entre estas reformas, la OCDE enfatiza la importancia de fortalecer los sistemas educativos, fomentar la movilidad laboral y eliminar restricciones excesivas a la inversión empresarial. Para los mercados financieros, 2025 se perfila como un año crucial. La OCDE proyecta que el comercio global crecerá un 3.6 % en 2024, una señal positiva tras años de contracción. Sin embargo, la incertidumbre sigue siendo alta. “La clave estará en la diversificación de las inversiones y en la capacidad de adaptarse rápidamente a un entorno económico cambiante,” explica Addario Soljancic. “Los inversores deberán ser estratégicos, aprovechando oportunidades en mercados emergentes y sectores con alto potencial de crecimiento, como la tecnología y las energías renovables”, indicó. Las perspectivas económicas globales ofrecen un equilibrio entre oportunidades y desafíos. La resiliencia mostrada hasta ahora es alentadora, pero será crucial implementar políticas bien calibradas y reformas estructurales para garantizar un crecimiento sostenible.
Este 2025 será un año para consolidar estrategias y reforzar la conf ianza en los mercados internacionales, siempre manteniendo un enfoque informado y flexible”.
POLÍTICA 8|DERECHO Y NEGOCIOS
“Estamos muy interesados en que nuestra RELACIÓN CON
EL SALVADOR CREZCA”
REDACCIÓN DYN
R
aúl Latorre tiene 41 años y es médico de profesión, pero apasionado por la política. Es conservador y presidente de la Cámara de Diputados de Paraguay y visitó El Salvador para participar de un evento de jóvenes. Se refiere al país centroamericano como “un fenómeno” (por sus logros en seguridad pública) y aplaude al presidente Nayib Bukele. Confeso seguidor del Olimpia de su país (el equipo de fútbol de sus amores), conversó con Derecho y Negocios (DyN). Esta es la entrevista. DyN: Sostuvo una reunión con Ernesto Castro, presidente de la Asamblea Legislativa. ¿Qué conversaron? Raúl Latorre (RL): Hablamos sobre la voluntad de fortalecer la cooperación entre nuestras naciones. Evaluamos la posibilidad de fortalecer el comercio entre nuestros países. Conversamos sobre la carne paraguaya, la carne de mucha calidad reconocida en el mundo entero a un costo muy conveniente. Y también la posibilidad de exportación desde Paraguay de productos lácteos. Hablamos del café salvadoreño, reconocido a nivel mundial; también conversamos sobre la posibilidad de cooperar en términos legislativos en materia de legislación comparada, más está hablar sobre el fenómeno que está ocurriendo aquí en El Salvador en términos de seguridad, que es observado y aplaudido por el mundo entero, un país que venía de ser uno de los más inseguros de la región, que se convierte en uno de los países más seguros de la región, un fenómeno que merece ser estudiado, tanto desde la lógica de la voluntad política de su presidente Nayib Bukele, como de los requerimientos que existieron para el efecto en términos legislativos, en términos de gestión, en términos de infraestructura. DyN/: ¿Ustedes lo ven así, como un fenómeno, desde Paraguay a más de 5,000 kilómetros de distancia? RL: Desde Paraguay, es difícil hablar de El Salvador sin hablar de su presidente Nayib Bukele. En ese sentido hay características que son resaltantes. Primero, la lucha y la posición clara que tuvieron en términos del respeto a su soberanía, que es algo que siempre llama la atención. Discursos paradigmáticos y cuasi pedagógicos, como la explicación que hacía el presidente Bukele con respecto a la casa. Ustedes tienen su palacio, tenemos nuestra casa, que estamos ordenando, que estamos arreglando, pero queremos ordenar a nuestra manera. Por otro lado, un posicionamiento, y en ese sentido lo compartimos absolutamente, a favor de los principios y valores que han caracterizado al mundo occidental y al continente o a los latinoamericanos. Tiene que ver con el respeto a la vida, a su concepción, el respeto a la familia, en base a como fue concebida biológicamente. De hecho, que nosotros, en Paraguay, la Constitución misma garantiza la defensa y la protección de la vida desde la concepción, entiende
al matrimonio como una institución formada por un hombre y una mujer, y a la familia como la primera escuela y el núcleo fundamental de formación de los individuos y en ese sentido también vemos un combate que está haciendo El Salvador en la presión de su presidente contra la ideología de género que tanto daño ha hecho a una serie de sociedades. El tercer componente que creo es lo más resaltante son los tremendos resultados que existen en términos de seguridad, de devolverle las calles a los salvadoreños. DyN: ¿Piensa que en este fenómeno de cambios políticos y sociales tiene que ver con los jóvenes políticos? Es que en El Salvador es un joven quien impulsó los cambios. En Paraguay es un joven el que está impulsando los cambios y tenemos el modelo paraguayo, económicamente muy exitoso
POLÍTICA DERECHO Y NEGOCIOS|9
RL: Yo creo que depende mucho del país, depende mucho del país, de su característica demográfica y su cultura. En nosotros existen países donde es la clase política la que genera un liderazgo importante, genera tranquilidad, donde los presidentes, los principales hombres de gobierno ocupan los espacios de poder, tienden a tener una edad avanzada. Existen otros países, como el caso de Paraguay, donde el presidente tiene 46 años, me toca a mí presidir la Cámara de Diputados y tengo 41 años, pero sí hay que verlo dentro de un contexto demográfico donde Paraguay es un país eminentemente joven, donde tiene una mayoría de la población joven, vivimos un momento en el cual tenemos un bono demográfico que otras cosas que nos están impulsando la economía; de hecho que estamos atravesando un momento de una estabilidad económica, con mano ahora joven, la imposición tributaria más baja la región. Nuestra calificación internacional es muy buena, lo cual genera una tranquilidad en términos de poder importar capital extranjero. DyN: El modelo económico paraguayo (crecimiento de 4.7 % en 2023 y sostenido en la última década) es un tema de discusión y un referente para ver y analizar ¿Qué tiene que aprender El Salvador de Paraguay y Paraguay de El Salvador? RL: Yo no sé si hay algo que El Salvador tenga que aprender del Paraguay. Sí tengo que hablar de la experiencia del Paraguay o lo que nos ha caracterizado. Por un lado, nuestra responsabilidad fiscal, tiene que ver con una cuestión muy sencilla, si uno gasta más de lo que gana por mucho tiempo, las cosas sencillamente no van a terminar bien. Lo segundo, es un modelo de trabajo, un apego al trabajo y la fortaleza de la economía paraguaya respira en el campo, en base a un modelo de desarrollo sostenible que hoy con poco más de 6 millones de paraguayos produce alimentos para más de 100 millones. Paraguay entendió que el trabajo sostenido a través del tiempo combinado con una responsabilidad fiscal y un modelo de baja presión tributaria que le permita en todo tiempo mantenerse competitivo, a pesar de que su condición de mediterránea (el país no tiene salida al mar) ha sido un factor fundamental para su éxito
económico y una situación de la que se empieza a hablar también. Lo que nosotros vemos de El Salvador son estas tres cuestiones fundamentales: una lucha frontal contra el crimen organizado, con decisiones valientes que las situaciones requerían y ameritaban, una defensa sistemática de su soberanía en términos de que en el mundo han sido sistemáticamente agredidos, agredidos a través de un sistema de imposiciones, imposiciones a partir de organismos multilaterales, de doctrina, ideología, enseñanza y modos de vida que muchas veces sencillamente no es nuestro, y esto no pasa por la imposición, vive y deja vivir. Esa es la decisión que otras naciones soberanas quieren asumir. Ese modelo está perfecto, pero déjennos a nosotros asumir las que nuestro pueblo nos pide. DyN: ¿Cuáles son las relaciones entre Paraguay y El Salvador, diplomáticas, comerciales? RL: Hay relaciones, hay una balanza comercial, pero realmente estamos muy interesados en que esto crezca. Nosotros somos exportadores de carne, de productos agrícolas y creo que la carne paraguaya se ha ganado un lugar en el mundo con el reconocimiento por su calidad y a un precio particularmente conveniente, así como productos lácteos y otros productos del campo que creemos, en base a las conversaciones, que puedan darse, estamos esperanzados en la posibilidad de abrir un nuevo mercado aquí en El Salvador y naturalmente también nosotros abiertos a aquellos productos que puedan ser importados de El Salvador, así que un claro reconocimiento por el café salvadoreño entre otros productos de calidad que se producen aquí. DyN: ¿Cuál es el motivo de su visita a El Salvador? RL: Es el Patriot Network, que es una red de jóvenes a nivel global que defiende los valores del conservadurismo, de la soberanía nacional, de la defensa de la vida, de la familia, de respeto a la propiedad privada. Y bueno, yo tuve una disertación en Buenos Aires, en la misma red, y los jóvenes aquí me escucharon y me invitaron para una ponencia aquí. Bueno, aproveché esa oportunidad para conocer este país maravilloso.
DATOS PERSONALES 10|DERECHO Y NEGOCIOS
¿Qué esperar de la NUEVA LEY
de Ciberseguridad en
EL SALVADOR?
Karla Patricia Alas SOCIA Y MANAGING PARTNER DE ESTUDIO KAPADU TECH AND LAW FIRM.
A partir de ahora, El Salvador cuenta con el mecanismo legal y la institucionalidad, que def inirá líneas de acción, y políticas de protección para estructurar, regular, auditar y f iscalizar las medidas de ciberseguridad en poder de las instituciones estatales que son en primera medida, los organismos obligados a cumplir y velar por lo establecido en la ley”.
E
l pasado mes de noviembre de 2024, fueron aprobadas dos iniciativas de ley, por parte de la Asamblea Legislativa, que, hasta entonces, era una tarea pendiente para El Salvador y me refiero a la Ley de Ciberseguridad y Seguridad de la información, así como la Ley de Protección de Datos Personales, ya ambas publicadas en el Diario Oficial de fecha 15 de Noviembre de este 2024 y por lo tanto ya leyes de la República pues entraron en vigencia, 8 días después de su publicación. En este articulo me referiré a la nueva Ley de Ciberseguridad, con la que se espera alcanzar un hito fundamental, en el esfuerzo que nuestro país estará haciendo para asegurar la infraestructura critica de la información, así como la mejora, la coordinación, prevención y respuesta ante incidentes de ciberseguridad. Hasta antes esto, era frecuente escuchar algunas fallas y brechas de seguridad de la información que están afectando a instituciones del Estado. Cierto o no, ha habido mucha especulación sobre el tema, y con ello aumento de zozobra, incertidumbre, malestar y miedo, ya que por qué no decirlo, son sentimientos latentes ante una población desprotegida hasta entonces, por la falta de regulación, ya que la información hoy por hoy es un intangible demasiado valioso y costoso en recuperar. A partir de ahora, El Salvador cuenta con el mecanismo legal y la institucionalidad, que definirá líneas de acción, y políticas de protección para estructurar, regular, auditar y fiscalizar las medidas de ciberseguridad en poder de las instituciones estatales que son en primera medida, los organismos obligados a cumplir y velar por lo establecido en la ley. Y en efecto, la ley debía definir por lo menos, los principios con los cuales estructurar, regular y coordinar las acciones de ciberseguridad y así prevenir las actividades relacionadas a la ciberdelincuencia.
¿Quiénes son en consecuencia los entes obligados a cumplir con la ley? Son todos los órganos de gobierno, sus dependencias y las instituciones oficiales autónomos las municipales. Pero será obligada cualquier entidad u organismo, independientemente de su forma naturaleza o situación jurídica mediante las cuales se administran recursos públicos, bienes del estado o ejecuten actos de administración pública en general y que posean incidencia en la infraestructura crítica del Estado, incluyendo a todos los servidores públicos dentro o fuera del territorio de la República y las personas que elaboran en entidades ya mencionadas. Importante esta aclaración porque pareciera que lo privado queda totalmente ajeno a esto, sin embargo, es ilógico pensar de esta forma. Y por ello no podemos decir que esta ley no impacta, pues nadie está exento de un incidente informático hoy día, y menos podemos alegar ignorancia de ley, y lo que sí es factible, es que una brecha de seguridad puede llegar por cualquier frente, ya sea desde una broma, una curiosidad, o con premeditación, alevosía y ventaja. La ley considera como recursos públicos para este tópico, aquellos fondos procedentes de convenios o tratados internacionales con otros países u organismos que determinen requisitos en materia de ciberseguridad, y para es necesario implementar normativas, protocolos, lineamientos estándares y criterios técnicos que cuenten con el reconocimiento de la industria, ya sea por sus aportes a la estandarización del rubro en cuestión o que cuenten con experiencia probada a nivel internacional, siempre que esté demostrada la funcionabilidad eficiencia y beneficio de dicho requerimientos o estándares en materia de ciberseguridad y seguridad de la información.
ESPECIAL DERECHO Y NEGOCIOS|11
De ahí que es determinante contar con socios estratégicos, o implementar buenas prácticas que dentro de la industria de la seguridad de la información se han ejecutado y tener alianzas con terceros expertos, siendo ello clave para la consecución del este fin. Si notamos el alcance es gigante, y otros países como por ejemplo Chile, al momento de definir sus políticas y marcos regulatorios se definieron servicios esenciales y operadores de importancia vital públicos y privados, así como se han analizado y considerado otros posibles afectados, para que el riesgo de incumplimiento sea lo menos posible.
¿Quién será la Agencia de Ciberseguridad del Estado? Surge la necesidad de crear al ente regulador, a ser ejercido por la Agencia de Ciberseguridad del Estado, quien tendrá la obligación garantizar la seguridad informática de los ciudadanos. La Agencia de Ciberseguridad del Estado (en adelante ACE), será una dependencia del Estado con diferentes y variadas funciones entre ellas: Elaborar la política de ciberseguridad y seguridad de la información de la Nación que contiene los lineamientos y planes de acción. Emitir normas protocolos lineamientos estándares y criterios técnicos tanto generales como específicos basados en buenas prácticas y marcos de referencia internacional en materia de ciberseguridad Implementar programas de acción para responder ante amenazas o incidentes de seguridad que involucran a los sujetos obligados. Requerir a las entidades obligadas donde estas se hayan visto afectadas en sus sistemas informáticos equipos o infraestructuras por un incidente de ciberseguridad y ejecutará las acciones que sean necesarias para el cumplimiento de sus fines. Surge a partir de este momento la atribución de crear un registro Nacional de amenazas e incidentes, así como calificar mediante resolución fundamentada a los operadores de infraestructuras críticas y someterlo a ratificación del Presidente de la República. La ACE podrá retirar la calificación de los operadores de infraestructuras críticas si no cumplen con sus funciones y someterlo a ratificación del Presidente, así como podrá requerir a las entidades obligadas, que entreguen a los potenciales afectados
o autoridades de investigación, información veraz sobre lo ocurrido y diseñar o implementar planes y campañas de formación ciudadana para fortalecer los pilares de la ciberseguridad. Todo lo anterior en concordancia con la Política de Ciberseguridad y Seguridad de Información de la Nación, por ello deberá elaborar normativas protocolos lineamientos estándares y criterios técnicos tanto generales como específicos en materia de ciberseguridad a más tardar 90 días contados a partir de la vigencia de la ley. Además, la ACE, creará e implementará los programas de acción necesarios para responder ante las amenazas o incidentes de ciberseguridad y seguridad de la información que involucren a los sujetos obligados por la presente ley. De la misma manera, la entidad creará y administrará un Registro Nacional de Amenazas e Incidentes de Ciberseguridad. La ACE puede tomar medidas adicionales y ordenar el infractor que adopte aquellas que fueran necesarias para restablecer la legalidad e incluso puede imponer multas coercitivas. La ACE tendrá un Director General y un Director de Ciberseguridad y Seguridad de la Información y las dependencias o unidades administrativas que establezca su reglamento interno y éste último al ser nombrado, asistirá al Director General en el ejercicio de sus atribuciones y facultades, en cumplimiento de la ley. El patrimonio de la ACE será constituido por recursos que el Estado le dé, las asignaciones que anualmente se establezcan en presupuestos especiales, recursos que reciba en virtud de programas de asistencia de gobiernos u organismos nacionales e internacionales, bienes muebles e inmuebles que adquiera a cualquier título y estará sujeto a la fiscalización de la Corte de Cuentas de la República. La ley no es muy grande, pero define inicialmente, los principios rectores, infracciones y sanciones en caso de incumplimiento, el procedimiento sancionador que se estará promoviendo en estos casos. Vale decir que las sanciones e infracciones definidas en la ley, prescribirán a los 5 años. Contar con una ley no es suficiente y son necesarias muchas iniciativas, pero aplaudo el hecho de que tengamos por fin un primer esfuerzo y de ahí que, los actores inmersos estos temas, debemos apoyar, ya que sumándonos todos, hacemos ciberseguridad.
DATOS PERSONALES 12|DERECHO Y NEGOCIOS
Protocolos HUMINT para la
E
CIBERSEGURIDAD
n los últimos años, la transformación digital ha revolucionado la forma en que entidades públicas y privadas tratan sus datos. Esta modernización también ha expuesto al país a un panorama de riesgos cibernéticos sin precedentes. Los ataques dirigidos contra sistemas gubernamentales y entidades estratégicas han evidenciado la creciente vulnerabilidad de las infraestructuras críticas ante actores maliciosos, algunos con capacidades de ciberinteligencia avanzadas; este riesgo se expande hacia las empresas y el público en general y se concreta en vulneraciones diarias. (Arreola, 2019).
y sistemas, lo que subraya la necesidad de estrategias robustas que combinen tecnología avanzada con inteligencia humana (HUMINT).
Nos enfrentamos a un entorno donde las amenazas incluyen al robo de información, el bloqueo de sistemas mediante ataques DDOS, ransomware, keyloggers, troyanos y campañas más sofisticadas, como el espionaje digital, la alteración de datos estratégicos y el debilitamiento de la confianza pública a través de la diseminación de información manipulada. Estas acciones no son únicamente obra de actores individuales, sino que reflejan la coordinación de redes internacionales con fines económicos, políticos y, en ocasiones, ideológicos. Los ataques recientes han mostrado la existencia de brechas significativas en la protección de datos
Los ataques exitosos no vencen la tecnología, sino que aprovechan las debilidades humanas. Estrategias como el phishing, el spear phishing, la ingeniería social o las técnicas de suplantación de identidad rara vez requieren herramientas sofisticadas; lo que buscan es explotar la confianza, la curiosidad o el desconocimiento del individuo. Un correo malicioso abierto, una contraseña compartida, descuidos en redes sociales o incluso una conversación aparentemente inocente, son suficientes para abrir las puertas a ataques devastadores. (Gian, 2018).
Normalmente, las barreras de seguridad más efectivas suelen estar en el ámbito de la tecnología, ya sea a través de sofisticados firewalls, sistemas de detección de intrusos, inteligencia artificial o herramientas de encriptación avanzada. Sin embargo, esta creencia a menudo pasa por alto una realidad contundente: la capa 8, es decir, el ser humano, sigue siendo el punto más vulnerable y, paradójicamente, el más explotado en el espectro de ciberseguridad. (López, 2024).
Julio César Osegueda DIRECTOR PRAETORIUM.
ESPECIAL DERECHO Y NEGOCIOS|13
Los ataques exitosos no vencen la tecnología, sino que aprovechan las debilidades humanas. Estrategias como el phishing, el spear phishing, la ingeniería social o las técnicas de suplantación de identidad rara vez requieren herramientas sof isticadas; lo que buscan es explotar la conf ianza, la curiosidad o el desconocimiento del individuo”. Por esta razón, el enfoque en ciberseguridad debe trascender el hardware y el software, poniendo énfasis en el fortalecimiento de la capa 8. Esto implica educar, capacitar y sensibilizar a las personas para que no solo reconozcan las amenazas, sino que también desarrollen habilidades críticas para neutralizarlas.
integral, las organizaciones pueden fortalecer su capacidad para anticipar y mitigar riesgos, convirtiendo al factor humano de una debilidad potencial en un pilar clave de la ciberseguridad.
Implica construir una cultura de ciberseguridad donde cada persona, desde el usuario más básico hasta el ejecutivo más experimentado, comprenda su papel y responsabilidad en la defensa de la información y se conviertan en "activos de seguridad". De este modo, la seguridad deja de ser únicamente una cuestión técnica y se convierte en un esfuerzo colaborativo, con el humano como el primer eslabón en una cadena de protección verdaderamente robusta. Aquí es donde los protocolos HUMINT se convierten en un pilar clave. (Wilson, 2020).
Aunque tradicionalmente estos protocolos han estado más asociados con entidades gubernamentales e inteligencia estatal, las empresas pueden y deben aplicar protocolos HUMINT adaptados a su contexto, especialmente si enfrentan riesgos significativos de ciberseguridad. La adopción por parte de empresas privadas depende de sus necesidades, recursos y del marco ético y legal bajo el cual operen y pueden concentrarse en los siguientes elementos:
Estos protocolos requieren un enfoque sistemático que combine habilidades humanas, procedimientos técnicos y un sólido marco ético; incluyendo un profundo conocimiento cultural y psicológico del entorno. Para comenzar, es esencial definir objetivos claros que alineen la recopilación de inteligencia humana con las necesidades específicas de ciberseguridad, como la prevención de ataques de ingeniería social, la detección de amenazas internas o el rastreo de actores maliciosos en entornos digitales. La selección y capacitación del personal es un paso crítico, ya que el equipo HUMINT debe incluir profesionales capacitados en análisis de comportamiento, negociación y ciberseguridad, además de contar con formación en técnicas avanzadas de recopilación y manejo de información confidencial. La gestión de fuentes humanas es otro pilar fundamental, incluye identificar, evaluar y mantener relaciones con insiders, informantes o colaboradores externos que puedan proporcionar información relevante. Para recopilar datos, los protocolos HUMINT deben apoyarse en entrevistas estructuradas, observación directa, infiltración en comunidades digitales y encuestas internas diseñadas cuidadosamente para no comprometer la privacidad ni generar desconfianza. Asimismo, la integración de HUMINT con herramientas tecnológicas de ciberseguridad, como sistemas de análisis de patrones y alertas automatizadas, permite validar y enriquecer la información obtenida. El análisis y procesamiento de la información recolectada es clave para convertirla en inteligencia accionable; contrastar datos mediante triangulación, identificar patrones sospechosos y generar reportes útiles para la toma de decisiones. Todo el proceso debe desarrollarse dentro de un marco ético y legal, respetando regulaciones como el GDPR y asegurando la confidencialidad de las fuentes. Finalmente, los protocolos deben evaluarse y mejorarse continuamente mediante auditorías y ajustes estratégicos, garantizando que la organización esté preparada para enfrentar amenazas emergentes. Al adoptar este enfoque
Prevención de amenazas internas (Insider Threats): Identificación de empleados descontentos o vulnerables que puedan filtrar información sensible o colaborar con actores externos. Esto incluye la implementación de canales de comunicación confidenciales y entrevistas estratégicas.
Protección contra ataques de ingeniería social: Los atacantes a menudo usan ingeniería social para obtener acceso a sistemas empresariales. Un protocolo HUMINT puede ayudar a las empresas a comprender cómo operan estos actores y a educar a los empleados sobre los riesgos.
Investigación de ciberamenazas externas: Empresas en sectores críticos, como tecnología, finanzas o infraestructura, pueden emplear HUMINT para infiltrarse en foros de la dark web donde se comercian datos robados o se planean ataques específicos.
Evaluación de socios y proveedores: Evaluar riesgos asociados con terceros que manejan datos sensibles o acceden a los sistemas empresariales. Recopilación de inteligencia competitiva ética: Sin cruzar líneas legales o éticas, las empresas pueden utilizar HUMINT para entender tendencias de la industria y anticiparse a movimientos de la competencia. Así, la integración de HUMINT en estrategias de ciberseguridad representa una oportunidad para fortalecer la protección de activos digitales y humanos en un entorno cada vez más vulnerable; pero, implica retos relacionados con la confidencialidad y seguridad de las fuentes humanas, debiendo respetar los principios de transparencia, consentimiento informado y propósito legítimo en el tratamiento de datos.
Bibliografía: Arreola García, A. (2019). Ciberseguridad: ¿Por qué es importante para todos?. Ciudad de México: Siglo XXI Editores. Giant, N. (2018). Ciberseguridad para la i-generación: Usos y riesgos de las redes sociales y sus aplicaciones. Madrid: Narcea Ediciones. Wilson, O. (2020). Intelligence Gathering: Front Line HUMINT Considerations (Hostile Environment Risk Management).
DATOS PERSONALES 14|DERECHO Y NEGOCIOS
PRIVACIDAD DE DATOS:
Una estrategia para IMPULSAR
EL ÉXITO EMPRESARIAL
L
a evolución tecnológica ha transformado profundamente las expectativas de los consumidores al elegir productos y servicios, estableciendo nuevos estándares que las empresas deben atender para mantenerse competitivas. En este contexto, el manejo adecuado de los datos personales no solo es un imperativo ético y legal, sino una oportunidad estratégica para diferenciarse en mercados saturados y ganar la confianza del cliente. Según un estudio reciente de Cisco, el 95% de las compañías que invierten en privacidad de datos personales, también conocida como protección de datos personales, obtienen beneficios que superan los costos, con un retorno promedio de inversión de 1.6 veces. Este hallazgo confirma una realidad incuestionable: la privacidad no solo mitiga riesgos, sino que genera valor tangible.
Alejandro Solano Meardi DOCTOR EN DERECHO ESPECIALIZADO EN DERECHO DIGITAL.
En cuanto al potencial de convertir la privacidad como diferenciador, el ejemplo de Apple es ilustrativo: la compañía no solo cumplió con las normativas legales, sino que fue más allá, convirtiendo la privacidad en un pilar estratégico con iniciativas como “App Tracking Transparency””.
Las empresas que integran la privacidad en su funcionamiento logran atraer nuevos clientes que valoran el manejo responsable de sus datos, fortalecen la lealtad de su clientela actual y optimizan su eficiencia operativa. En un mundo digitalizado, donde los teléfonos inteligentes superan en número a las cuentas bancarias, y tanto gobiernos como empresas dependen de flujos masivos de información, el resguardo de los datos se traduce en una ventaja competitiva medible. En los siguientes párrafos, este artículo propone cómo las empresas en El Salvador, al armonizar estrategias empresariales con la protección de datos personales y ciberseguridad, pueden transformar el cumplimiento legal en un motor de confianza, diferenciación y expansión.
Cumplimiento Legal como Punto de Partida El cumplimiento de leyes en materia de privacidad de datos y ciberseguridad es un punto de partida para construir ventajas competitivas. El marco normativo salvadoreño proporciona directrices importantes, como otorgarles derechos a las personas en El Salvador relativos al acceso, rectificación, cancelación, oposición, portabilidad y limitación sobre sus datos personales (ARCO-POL). Para ponerlo en perspectiva, estos son derechos fundamentales en estándares internacionales como el (i) Reglamento General de Protección de Datos (RGPD) en Europa; y (ii) California Consumer Privacy Rights Act (CCPA) de California, Estados Unidos.
ESPECIAL DERECHO Y NEGOCIOS|15
Una empresa que integre por diseño estos conceptos en su funcionamiento diario, más allá de evitar infracciones por incumplimiento a la normativa pertinente, tendrá la oportunidad de destacar en el mercado actual, fomentando la transparencia y la confianza de sus clientes. La veracidad de esto es evidente al considerar las expectativas del consumidor actual.
Generación de Confianza: El Valor Estratégico de la Privacidad Desde la perspectiva del consumidor, un estudio del año 2023 de la Asociación Internacional de Profesionales en Privacidad (IAPP, por sus siglas en inglés) revela que el 64% de los consumidores confían más en las empresas que proporcionan información clara sobre cómo manejan sus datos personales en las políticas de privacidad. Por el contrario, el 33% pierde confianza en aquellas empresas que usan sus datos de manera no transparente. Más del 80% de los afectados por violaciones de datos dejan de hacer negocios con las empresas involucradas. Estas cifras exhiben que, aunque no existe un manejo perfecto de datos personales ni ciberseguridad impenetrable, las empresas que priorizan la protección de datos y adoptan prácticas preventivas refuerzan la confianza del cliente, consolidando relaciones y asegurando su crecimiento en mercados cada vez más competitivos y regulados.
Privacidad como Diferenciador en Mercados Competitivos Convertir el manejo adecuado de datos personales en un diferenciador rentable es complejo y requiere inversión. Sin embargo, dicha necesidad es inevitable, dado que las empresas que ofrecen productos o servicios comúnmente lo hacen utilizando herramientas digitales, como computadoras y teléfonos inteligentes, para recolectar, procesar, almacenar o analizar información durante sus operaciones diarias. Por ejemplo, esto incluye el manejo de información (texto, audio, o video) que permita la identificación de las personas, su domicilio, nacionalidad, teléfono, dirección electrónica, datos biométricos, creencias religiosas, o salud, entre otros. Por lo anterior, es estratégicamente importante que toda empresa diseñe un sistema eficiente para gestionar esta información. Además de prevenir riesgos, una implementación adecuada puede fortalecer la confianza del cliente y consolidar la reputación empresarial, incluso en momentos difíciles, como un incidente de ciberseguridad. En México, otro estudio de la IAPP muestra cómo el 49% de los consumidores siguen confiando en una empresa tras una violación de datos únicamente si esta demuestra un manejo transparente y responsable del incidente.
En cuanto al potencial de convertir la privacidad como diferenciador, el ejemplo de Apple es ilustrativo: la compañía no solo cumplió con las normativas legales, sino que fue más allá, convirtiendo la privacidad en un pilar estratégico con iniciativas como “App Tracking Transparency.” Ahora su marca es sinónimo de privacidad a nivel mundial y en gran parte ello les permite mantener una clientela leal y rentable en todo el mundo.
La Importancia de Una Estrategia Particularizada y Sostenible Cada compañía es diferente y opera con particularidades que las distinguen y las hacen únicas. Del mismo modo, el tema de privacidad de datos debe analizarse caso por caso, de manera que las soluciones se diseñen acorde con dichas particularidades. Lo ideal es desarrollar medidas acordes al concepto “Privacidad por Diseño,” el cual se centra en incorporar de forma proactiva, integral e indisoluble la protección de datos en los sistemas, aplicaciones, productos y servicios, así como en las prácticas de negocio y procesos de la empresa. Este enfoque promueve una mentalidad proactiva, no reactiva; preventiva, no correctiva, y centrada en el usuario. Según buenas prácticas, entre las medidas básicas a incorporar por las empresas se encuentran políticas de privacidad claras, capacitación del personal y un plan de respuesta a incidentes, entre otras. Sin embargo, es necesario realizar un análisis particularizado para cada empresa, incluso si la operación es pequeña, con el fin de diseñar una gestión de datos integral dentro de las actividades. Para empresas con operaciones más grandes, la complejidad de los elementos a considerar aumenta, y otros subtemas, como los flujos transfronterizos de datos, deberían tomarse en cuenta. Por último, a medida que pasa el tiempo o crece la empresa, es esencial actualizar los procesos y sistemas existentes para mantener su debido funcionamiento. En conclusión, más allá de que la protección de datos es un tema ineludible para las empresas, es de mucho beneficio verlo como una oportunidad para distinguirse y poder catapultar sus operaciones locales a nuevas alturas e incluso competir en mercados internacionales que exigen de un manejo de datos equivalente a su jurisdicción para gestionar datos personales de sus ciudadanos. Desarrollar políticas de Privacidad por Diseño es la manera ideal para que las empresas puedan alinearse con estas exigencias. En cualquier caso, un enfoque proactivo, respaldado por asesoría integral de expertos debidamente calificados, permitirá a empresas en El Salvador convertir la protección de datos en un activo estratégico que impulse la innovación, fomente el desarrollo empresarial y fortalezca las relaciones con los clientes.
DATOS PERSONALES 16|DERECHO Y NEGOCIOS
Nueva ley de PROTECCIÓN DE DATOS: retos y oportunidades
S
e ha aprobado un marco normativo de protección de datos personales que, sin duda, contribuirá a salvaguardar la información de los salvadoreños frente a un uso inadecuado de su información. Publicada en el Diario Oficial del 15 de noviembre, la normativa entró en vigencia el 23 del mismo mes, iniciando los plazos para su implementación, adecuación, adopción de medidas de protección y establecimiento de mecanismos que permitan el ejercicio de los derechos ARCO-POL. La ley establece tres actores principales: la Agencia de Ciberseguridad del Estado, los sujetos obligados como responsables de tratamiento de datos y los titulares de estos. Cada uno de ellos desempeña un papel relevante, debiendo prepararse no solo para enfrentar los retos que implica su implementación, sino también para aprovechar las oportunidades que esta normativa genera. A continuación, desarrollaré los principales retos y oportunidades para cada uno de estos actores.
AGENCIA DE CIBERSEGURIDAD DEL ESTADO “ACE” Es la entidad rectora, encargada de aplicar y supervisar el cumplimiento de la ley. Entre sus principales atribuciones tenemos la supervisión y sanción de las instituciones obligadas, garantizar la protección de datos, promover programas de sensibilización, resolver controversias, dictar políticas de seguridad, crear certificaciones, impartir capacitaciones y asesorar a entidades públicas y privadas.
RETOS Financiamiento, recursos humanos y plataforma tecnológica Dado que tanto la Ley de Ciberseguridad y Seguridad de la Información como la Ley para la Protección de Datos Personales son de reciente promulgación, es necesario construir desde cero las
estructuras y mecanismos idóneos para su implementación. Esto requiere dotar a la ACE de recursos suficientes en términos financieros, humanos y tecnológicos, para asegurar su buen funcionamiento y el cumplimiento de sus objetivos. Es crucial contar con personal calificado, capaz de enfrentar las complejidades que demanda un entorno tan amplio y en constante cambio, especialmente en el ámbito digital. Para fortalecer la capacidad operativa de la ACE, es preciso adquirir herramientas para supervisar el cumplimiento normativo, como sistemas de análisis de datos, plataformas de gestión de cumplimiento, supervisión de riesgos cibernéticos y monitoreo. Además, se debe implementar un portal que incluya servicios en línea para la recepción, registro y gestión de denuncias. Elaboración de disposiciones para la aplicación de la Ley La ACE debe emitir, en los tres meses posteriores a la entrada en vigencia de la ley, políticas, medidas y guías que proporcionen a los sujetos obligados claridad y dirección para cumplir con los requisitos legales. Capacitación La autoridad de control debe jugar un rol activo en materia de capacitación. Requiere garantizar que sus propios funcionarios cuenten con los conocimientos técnicos, jurídicos y prácticos necesarios para desempeñar adecuadamente su trabajo, lo que requiere de una formación continua. Por otro lado, debe proporcionar a los sujetos obligados y a los titulares de los datos, herramientas educativas que les permitan profundizar en el conocimiento de la ley. Cooperación interinstitucional Esto implica la coordinación con diversas entidades, tanto nacionales como internacionales, para asegurar la correcta aplicación y cumplimiento de la ley. Además, incluye la colaboración para compartir información, recursos y mejores prácticas.
Fernando Argüello ASOCIADO EN SIGNATURELEX.
Se necesita también un modelo de gestión que no solo cumpla con la ley, sino que se adapte a las necesidades específ icas de la organización. Contar con políticas de protección de datos, protocolos de seguridad y procedimientos de gestión de incidentes, entre otros, es esencial para una correcta implementación y cumplimiento de la normativa".
ESPECIAL DERECHO Y NEGOCIOS|17
OPORTUNIDADES Promoción de un entorno más seguro y confiable en el manejo de datos personales Mediante la implementación de normativas claras, auditorías periódicas, educación y capacitación de las partes involucradas, respuesta rápida a incidentes y creación de programas de certificación. Liderazgo en la protección de datos Posicionar al país como un referente regional en la materia y eventualmente pueda ser considerado como un país con nivel de protección adecuado. Mejorar la confianza pública: Una buena aplicación de la ley incrementa la confianza de los ciudadanos en la entidad rectora y en los sujetos obligados, asegurando que sus datos están debidamente protegidos.
SUJETOS OBLIGADOS
Costos asociados Las necesidades y costos asociados a la implementación de la ley varían significativamente según el sector y tamaño de la empresa, así como el tipo y volumen de tratamiento de información personal que realice.
OPORTUNIDADES Mejora en la imagen corporativa Cumplir con la normativa vigente contribuye a mejorar la reputación de las empresas, demostrando su compromiso con la seguridad y privacidad de los datos y generando confianza entre sus usuarios y clientes. Innovación tecnológica Es beneficioso aprovechar la ley como una oportunidad para innovar, desarrollando nuevos servicios y procesos que integren la protección de datos desde su concepción (Privacy by Design). Reducción de riesgos legales
Es toda persona natural o jurídica, de carácter público o privado, que lleve a cabo actividades relativas o conexas al tratamiento de datos personales, ya sea de manera manual, parcial o totalmente automatizado o a través de terceros.
Una gestión adecuada de la privacidad evita el riesgo de sanciones severas.
El ámbito de aplicación de la ley no establece excepciones; todas las personas que realicen tratamientos de datos, sin importar tamaño, naturaleza o alcance, deberán cumplir con ella.
RETOS
RETOS Adaptación a la normativa: Los sujetos obligados deben garantizar que sus políticas y procedimientos de gestión de datos estén alineados con los nuevos requisitos legales, incluyendo los datos personales obtenidos antes de su vigencia. Adaptarse adecuadamente a la normativa requiere diversas actividades que aseguren su cumplimiento más allá de ajustes superficiales. Es preciso realizar un diagnóstico y evaluación inicial del estado de la empresa en cuanto al tratamiento de datos para detectar áreas críticas, establecer prioridades y planificar mejoras necesarias. Se necesita también un modelo de gestión que no solo cumpla con la ley, sino que se adapte a las necesidades específicas de la organización. Contar con políticas de protección de datos, protocolos de seguridad y procedimientos de gestión de incidentes, entre otros, es esencial para una correcta implementación y cumplimiento de la normativa. Es prudente empezar a elaborar políticas y revisar procesos internos desde ahora, ya que la implementación de modelos de gestión implica inversión de tiempo dentro de las organizaciones. Capacitación constante La formación continua es crucial para cumplir con la ley. Este desafío no solo recae en los equipos de IT, sino también en los departamentos legales y de recursos humanos y dependerá de la alta dirección que toda la organización esté alineada con la normativa Implementación de mecanismos para el ejercicio de derechos ARCO-POL Los sujetos obligados como responsables del tratamiento deben garantizar que los titulares puedan ejercer sus derechos efectivamente, mediante mejoras tecnológicas y operativas que faciliten su cumplimiento de manera eficiente y segura.
TITULARES DE LOS DATOS PERSONALES Conocer sus derechos Para muchas personas, la protección de datos personales parece irrelevante hasta que se ven afectadas. Por eso, es crucial educarse y concienciar sobre la importancia de proteger su información personal y conocer sus derechos. Seguridad en entornos digitales No basta con que exista una ley para proteger los datos personales; las personas deben tomar medidas de seguridad, especialmente en el entorno digital. La combinación de una legislación robusta y la educación sobre prácticas seguras, como el uso de contraseñas fuertes y la actualización de software, ayuda a prevenir vulnerabilidades y ciberataques.
OPORTUNIDADES Mayor control sobre sus datos personales Los titulares tienen ahora un mayor control sobre sus datos, lo que les permite ejercer sus derechos frente a los sujetos obligados. Transparencia en el tratamiento de datos Las personas pueden exigir mayor transparencia a las empresas sobre el procesamiento de sus datos personales, fomentando una cultura de responsabilidad. La Ley para la Protección de Datos Personales es un avance significativo hacia la consolidación de un marco normativo que garantice la privacidad y seguridad de los datos. Su implementación plantea retos importantes para los organismos de control y los sujetos obligados, debiendo adoptar las disposiciones en plazos definidos y con claridad normativa. Es preciso educar y sensibilizar a los titulares de los datos sobre sus derechos, fomentando su rol activo en la gestión de su información personal. El equilibrio entre regulación, cumplimiento y empoderamiento ciudadano será clave para el éxito de esta legislación.
DATOS PERSONALES 18|DERECHO Y NEGOCIOS
SEGURIDAD DEL ECOSISTEMA DE PAGOS: lecciones de Heartland y Target
Marta Mena DIRECTORA DE GESTIÓN LEGAL, RIESGO Y ESTRATEGIA SERFINSA.
E
n un contexto en el que la dependencia de dinero en efectivo se reduce cada vez más y el incremento de los pagos digitales o a través de tarjetas de crédito o débito se vuelve más relevante, resulta importante considerar los riesgos asociados a la seguridad de la información que facilita dichas transacciones. Para hacernos idea de la magnitud de la exposición, aquí dejo un par de cifras:
En los últimos años, Estados Unidos ha experimentado una notable transformación en los métodos de pago en este sentido. Según datos recientes, el efectivo representó el 16% de todas las transacciones en 2022, mientras que las tarjetas de crédito y débito constituyeron el 32% y el 30%, respectivamente. En el ambito de las billeteras digitales, Apple Pay domina el mercado de pagos móviles norteamericano, representando el 92% de las transacciones de débito móvil; mientras Google Pay hace lo suyo en economias emergentes con preferencia por dispositivos android. En LatAm, el uso del efectivo disminuyó del 45% en 2019 al 21% en 2023. Entre 2021 y 2023, el porcentaje de personas que preferían el efectivo como medio de pago se redujo a la mitad, mientras que la proporción que optó por métodos electrónicos, como tarjetas de débito, crédito y pagos móviles, supero la duplicación. Por un lado, es de celebrarse que el ecosistema de pagos se modernice hacia la reducción de uso de efectivo el cual resta velocidad a la movilidad de capitales o la trazabilidad transaccional. Pero con dichos avances surgen nuevos riesgos. Dos casos emblemáticos abonan a esta discusión:
Como agentes de una economía interconectada, todos debemos recordar constantemente que los esfuerzos por prevenir incidentes como estos deben crecer al mismo ritmo que la innovación en medios de pago.".
Entre el 2007 y 2008, Hearland Payment System, una compañía estadounidense procesadora de medios de aceptación de pagos, fue víctima de un ciberataque masivo que comprometió alrededor de 130 millones de números de tarjetas. El ataque le costó a la compañía más US$200 millones de dólares en gastos y una pérdida de hasta el 77% de precio de sus acciones. El ataque fue diagnosticado como una inyección de SQL, lo que consiste en ingresar codigo malicioso en la entrada de una aplicación web para manipular bases de datos o ejecutar comandos en un servidor. Aunque la inyección se desarrolló a lo largo de 2007, la vulnerabilidad existió 8 años antes del ataque, por medio de un código escrito para habilitar un un formulario web. La vulnerabilidad de dicho código permitió a los atacantes ingresar a la red corporativa, en donde pasaron 6 meses intentando acceder a la red de procesamiento. Cuando lograron ingresar a la red de procesamiento, los atacantes instalaron un software de monitoreo y captura de data durante su tráfico (“sniffer”). Dado que en ciertos puntos de la red la información viajaba el texto en claro, los atacantes lograron capturar sufiente data como para crear versiones paralelas de tarjeta que contenian, incluso, la codificada en la banda magnética. Los procesadores de pago, como Heartland, no son los únicos candidatos de ataque cibernpetico. Todo participante de econosistema de pagos puede estar expuesto. En 2013, una de las mayores cadenas de retail estadounidense fue el blanco de uno de los casos de uso más interesantes en la materia: Target. Los atacantes accedieron a la red de la empresa a través de las credenciales comprometidas de un proveedor de servicios de climatización. Una vez dentro, instalaron malware en los terminales de punto de venta (POS) para capturar datos de tarjetas, en el momento de ejecución de la transacción en la misma terminal.. Este ataque comprometió
ESPECIAL DERECHO Y NEGOCIOS|19
la información de aproximadamente 40 millones de tarjetas y los datos personales de 70 millones de clientes.
quienes deben ser tambien condicionados al uso de medidas relevantes de seguridad.
Las investigaciones mostraron que los atacantes, por medio de una simple busqueda en Google, obtuvieron 2 piezas clave de información: 1) los proveedores de Target; 2) un caso de estudio publicado por Microsoft en el que revelaban cómo Target usaba Microsoft System Centre Configuration Manager (SCCM) para gestionar maquinas virtuales y ajustes de seguridad, revelando con un gran nivel de detalle la insfraestructura de Target, incluyendo el sistema de gestión de los POS.
Tambien existen tecnicas que protejen la información, aún cuando el atacante ya se encuentra en casa. Estas tecnicas garantizan que un robo de información resulte inutil para el atacante.
Con esta información, a travez de un ataque de phishing dirigido a un proveedor de target, los atacantes instalaron un malware llamado Citadel, mediante el cual obtuvieron las credenciales para accesar al portal de proveedores de Target. Dicho portal no se encontraba aislado de la red de la compañía, por lo que el mismo sirvió de puente para acceder a la red corporativa en donde se accedia a la base de datos de clientes y a la red en donde funcionaban los POS. Ambos casos dejan lecciones muy importantes, resaltando la relevancia de técnicas, modernas o no, de protección de la información y la necsidad de extenderlas a toda la cadena de suministro de seguridad. Los estandares PCI DSS (Payment Card Industry Data Security Standard) representan la respuesta que la industria ha orquestado para blindarse de este tipo de eventos. Dichos estándares nacieron en 2004 como una iniciativa conjunta de las principales marcas de tarjetas (Visa, Mastercard, American Express, Discover y JCB) con el fin de establecer un marco de seguridad global que protegiera los datos de los titulares de tarjetas durante las transacciones. Este conjunto de normas que ya cuenta con su versión 4.01., coloca la protección de Primary Account Number (PAN) en el corazón de 12 macro-requerimientos enfocados en generar un ambiente de protección integral de los sistemas críticos de una compañía; en particular, aquellos que interactuan con el PAN. Ahora bien, PCI DSS por sí solo no es suficiente. Heartland, de hecho, habia obtenido varias certificacioens PCI antes ocurrido en ataque. Debe existir proactividad en la gestión de riesgos de ciberseguridad, así como disciplinada y consistentemente en el uso de herramientas. Para ambos casos, la primera línea de defensa pudo haber sido la segmentación de red, particularmente aquellas en las que interactuan terceros. Con dicha segmentación, se podría haber logrado aislar su red operativa de manera que esta no abriera puertas a otras redes. De igual manera, no cabe duda que otra gran lección es la gestión estricta de los proveedores de cualquier clase,
La P2PE ("Point-to-Point Encryption"), pudo prevenir la captura de información desde el POS de Target, así como la captura de información en tránsito en las redes internas de Heartland). Esta técnica consiste en convertir datos sensibles (como el PAN) en un formato ilegible mediante un algoritmo criptográfico, que solo puede ser descifrado con una clave específica. Por otro lado, la Tokenización resulta util para reducir el riesgo asociado con el almacenamiento de datos sensibles. Esta herramienta que se usa para incorporación de tarjetas en billeteras digitales como Apple Pay y Google Pay, consiste en reemplazar datos sensibles con un identificador único (token) sin ni guna vinculación matematica entre con el dato original, que no tiene valor fuera de sistema que lo generó. Post-mortem resultan claras las formas de reducir el riesgo de ambos casos abordados. No obstante, lo cierto es que la creciente complejidad del ecosistema de pagos y el aumento de las transacciones digitales abren riesgos que probablemente aún no conocemos. Por suerte, el mundo evoluciona hacia una mayor concientización sobre estos problemas y ningún actor de ecosistema puede ignorar su rol en esta labor. Esta concientización ha permeado tanto en las empresas, gobiernos, como en los mismos certificadores. Como agentes de una economía interconectada, todos debemos recordar constantemente que los esfuerzos por prevenir incidentes como estos deben crecer al mismo ritmo que la innovación en medios de pago. Por mi parte, me doy por satisfecha si la próxima vez que participes de un simulacro de Phishing en tu empresa, recuerdas este artículo y evitas caer en la trampa.
Luis Núñez Abogado del Año
PORTADA DERECHO Y NEGOCIOS|21
LUIS NÚÑEZ: Liderazgo legal y compromiso con la
TRANSFORMACIÓN CORPORATIVA REDACCIÓN DYN
L
a trayectoria de Luis Alonso Núñez Sánchez es un ejemplo de cómo la pasión por el derecho, combinada con una constante búsqueda de excelencia, puede transformar no solo una carrera, sino también el impacto en comunidades y empresas. Desde sus primeros pasos en la Universidad Dr. José Matías Delgado hasta su rol actual en Productos Alimenticios Diana, su camino está marcado por el aprendizaje continuo, la innovación y el compromiso con el desarrollo sostenible. En esta entrevista, Luis comparte cómo sus estudios en prestigiosas instituciones internacionales como Cornell, Oxford y ESADE moldearon su visión del derecho corporativo y la sostenibilidad. Además, revela cómo estas experiencias lo prepararon para enfrentar los desafíos del sector privado, liderar equipos en mercados multiculturales y ejecutar proyectos que generan un impacto tangible en las comunidades. Uno de sus últimos reconocimientos, “Abogado del Año” en los Premios Derecho y Negocios 2024, no solo celebra su éxito profesional, sino también su dedicación a inspirar y motivar a otros. En sus respuestas, se percibe a un profesional apasionado por seguir creciendo, innovando y contribuyendo al fortalecimiento del ámbito legal y empresarial de la región. Acompáñenos a conocer más sobre la visión y los logros de este destacado abogado.
¿Qué lo motivó a estudiar Derecho y cómo influyeron sus años en la Universidad Dr. José Matías Delgado en su visión profesional? Desde el colegio tuve la inquietud por el derecho. Cuando estaba en el proceso de definir mi carrera profesional, hice un proceso de discernimiento, leí mucho, fue una decisión pensada; y al final me decidí por estudiar derecho motivado por ver como mi abuelo ayudaba a sus clientes.
¿Cómo obtuvo la beca otorgada por la Embajada de Taiwán y qué impacto tuvo en su desarrollo académico y profesional, y qué lo llevó a elegir la maestría en Cornell University? Cuando estaba terminando la licenciatura, decidí que quería estudiar una maestría y sabia que quería hacerla en los Estados Unidos, por lo que comencé a investigar sobre la oportunidad de becas, y participe en un programa de Relaciones Exteriores con la Embajada de Taiwán. El programa otorgaba una beca completa pero requería que yo estuviese aceptado en una de las 10 mejores Universidades del país donde eligiese estudiar, fui ahí donde comencé a investigar sobre los mejores programas de maestría de los Estados Unidos y me gusto mucho el que ofrecía la Universidad de Cornell, no solo por su reconocimiento académico, los profesores, sino por la oferta de materias y la posibilidad que
tenia de elegir las materias que quería estudiar
¿Cómo enriqueció esta experiencia su enfoque hacia el derecho corporativo y la sostenibilidad? El derecho Corporativo es un área del derecho que me interesó mucho durante mis estudios, y es por ello que elegí materias relacionadas en la Universidad de Cornell, pero adicionalmente sabia que es necesario ese enfoque empresarial sostenible, y eso me llevo a complementar mi listado de materias a cursar con temas de sostenibilidad. Adicionalmente la red de profesionales con los que ese tipo de programas permiten trabajar y relacionarte es verdaderamente enriquecedor, ya que hay profesionales de todo el mundo con diferentes perspectivas, experiencias y conocimientos y eso te da una visión más holística.
¿Cómo influyeron sus estudios en instituciones como Oxford, ESADE y Salamanca en su perspectiva del derecho internacional y nuevas tecnologías? La experiencia de Oxford fue una experiencia muy enriquecedora, se trata de una Academia de Asuntos Corporativos. Esta Academia funciona por invitación, y reúne a profesionales de todo el mundo de empresas líderes para discutir y compartir experiencias en temas de sostenibilidad, comunicación corporativa, reputación corporativa, relaciones públicas, propósito corporativo entre otros. En cuanto al tema de nuevas tecnologías es claro que la acelerada evolución digital, y las empresas en plena transformación digital hacen necesario que los abogados estemos en constante actualización en los temas digitales. no todos sabemos que necesitamos mantenernos actualizados, y que la formación continua es una obligación.
INICIOS DE SU CARRERA PROFESIONAL ¿Cuáles fueron los mayores retos y aprendizajes durante sus primeros años como abogado en el sector privado? Inicie mi carrera en un bufete en ese momento el reto más gracias fue poner en la práctica lo qu e nos enseñan en la Universidad, poder obtener experiencia, tuve la oportunidad de tener como jefes/mentores grandes abogados y grandes seres humanos, que me ayudaron a crecer profesionalmente y obtener experiencia. Después de eso el reto más grande fue pasar a una empresa, donde dejas de ser el asesor y te conviertes en responsable del resultado de los proyectos de la empresa. Definitivamente desde
PORTADA 22|DERECHO Y NEGOCIOS
que comencé a trabajar en empresas supe que debes dejar la visión de asesor, y debes hacer tuyos los objetivos del negocio, y tu estrategia debe estar completamente integrada a esos objetivos. Debes conocer las diferentes áreas del negocio, ser parte del equipo de negocios e integrarse completamente.
TRANSICIÓN Y CONSOLIDACIÓN EN EMPRESAS MULTINACIONALES ¿Cómo se dio su paso a Industrias La Constancia y Philip Morris? Para mi ese paso fue muy importante pero también muy retador, y es que ese paso implicó enfocarme en el tema de Asuntos Corporativos, pase a ver temas como Relaciones Públicas, Comunicación Corporativa, Sostenibilidad, en los cuales no tenía experiencia, y por lo tanto tuve que desarrollar, estudiar y aprender de ellos. Adicionalmente eso me llevó a trabajar en diferentes mercados como Panamá, Nicaragua, y el Caribe, lo cual para mí representó una experiencia muy enriquecedora porque te permite ampliar tu red profesional, aprender de diferentes esquemas legales, culturas, políticas entre otros.
¿Qué lo llevó a unirse a Productos Alimenticios Diana y cómo asumió el desafío de liderar los departamentos legales y de asuntos corporativos en toda Centroamérica? Fueron varios factores, primero la empresa y la historia tan rica que tiene, Diana es una empresa que es un orgullo para el país, es una empresa enfocada en la gente, que tiene un impacto muy grande para el país no solo en temas de empleo sino en su compromiso con el desarrollo de las comunidades y del país.
PORTADA DERECHO Y NEGOCIOS|23
Segundo en la visión que tiene el CEO, y el impacto que está teniendo en la empresa, no solo en su crecimiento, sino en su transformación. Esto nos permite a los profesionales que trabajamos para Diana también podamos seguir creciendo y desarrollándonos. Tercero que me ha permitido poder trabajar combinando las dos áreas en las que he trabajado en mi vida, la parte legal y la parte de asuntos corporativos.
LIDERAZGO EN DIANA Y RECONOCIMIENTO PROFESIONAL ¿Cuáles considera que han sido los proyectos más transformadores que ha liderado en Diana en materia de sostenibilidad? Voy a compartirles dos proyectos que me ha gustado mucho trabajar desde Diana: El primero llamado Diana Recicla, es un proyecto que llevamos a cabo con la asesoría de Fundemas y con el apoyo del MARN. Mediante este proyecto trabajamos en limpiar el lago de Ilopango, a través de una alianza con recicladores de base, que son personas que se dedican a recoger botellas y empaque para vender para reciclaje como medio de vida, con voluntarios Diana y con personas de la zona. Mediante esta alianza pudimos dar a los recicladores, capacitación, utensilios, y los contactamos con centro de acopio que compran lo que ellos recogen. Este programa exitoso nos ha permitido recoger y reciclar para 2023, 115 toneladas de plástico, y para el 2024 lo estamos cerrando con 140 toneladas de plástico. El otro proyecto es agrícola, por medio del cual pudimos trabajar con la Cooperativa San Carlos, dándoles capacitación, y apoyándolos para que puedan lograr el nivel de calidad de plátano que requerimos, y poder comprarles plátano. Gracias al trabajo de la cooperativa y del equipo Diana, pudimos lograr la calidad necesaria y eso nos ha permitido comprar plátano a la Cooperativa, pudiendo impactar a 500 personas.
¿Qué representa para usted el reconocimiento como “Abogado del Año” en los Premios Derecho y Negocios 2024? Para mi representa un gran honor, porque hay muchos abogados en El Salvador que merecen muchos reconocimientos y solo estar nominado ya era una gran satisfacción. Por otro lado representa un compromiso para poder seguir trabajando por ser un mejor profesional, comprometido con la excelencia, y con el servicio que debo dar. Quiero aprovechar la oportunidad de agradecer a la revista, no solo por este reconocimiento, sino por todos los premios porque por medio de ellos motivan a nuestra comunidad legal a ser mejores cada dia, y a premiar aquellos que se han esforzado por ser mejores cada dia. Les invito a seguir adelante con esta gran labor
Abogado del Año Liderazgo Legal Empresarial".
REFLEXIÓN Y VISIÓN A FUTURO ¿Cuáles son sus metas profesionales y cómo planea seguir contribuyendo al desarrollo del ámbito legal y empresarial en la región? Estoy comprometido a seguir creciendo como profesional tanto desde la parte legal como de Asuntos Corporativos, pero también como líder, como una persona que apoye para el desarrollo de otros, no solo como un formador, sino facilitando oportunidades, motivando, siendo un agente de cambio para que otros puedan crecer profesional y personalmente.
DATOS PERSONALES 24|DERECHO Y NEGOCIOS
Ley para la PROTECCIÓN DE DATOS PERSONALES:
El cierre del círculo de la actualización legal tecnológica reconocimiento explícito de los derechos de los titulares de los datos personales. Estos derechos, comúnmente conocidos por sus siglas ARSOPOL / ARCOPOL, incluyen: Acceso: Derecho a conocer qué datos personales se están tratando. Rectificación: Derecho a corregir datos incorrectos o incompletos. Cancelación o Supresión: Derecho a solicitar la eliminación de datos personales. Olvido: Derecho a la eliminación de información que ya no sea necesaria.
Rodrigo Benítez
Portabilidad: Derecho a recibir los datos en un formato estructurado y transferible.
ASOCIADO DE GARCÍA & BODÁN. MÁSTER EN PROTECCIÓN DE DATOS PERSONALES POR LA UNIVERSIDAD INTERNACIONAL DE LA RIOJA.
Oposición: Derecho a tratamiento de los datos.
L
A continuación, destacaré tres aspectos fundamentales de esta ley que, a mi juicio, constituyen una actualización legislativa clave y que se han inspirado en los mejores estándares internacionales, específicamente en el Reglamento General de Protección de Datos Personales (RGPD) de la Unión Europea. Derechos de los interesados: ARSOPOL / ARCOPOL primer
punto
relevante
al
Limitación del tratamiento: Derecho a restringir el uso de los datos personales, solo a tratamientos que sean relevantes para el fin para el cual se recolectaron.
a ley se presenta como una herramienta oportuna para garantizar el derecho a la autodeterminación informativa, un derecho reconocido y protegido por la Sala de lo Constitucional mediante jurisprudencia desde hace casi una década. Este derecho otorga a los individuos la facultad de decidir quién, cuándo, dónde y cómo se recopila y trata su información personal.
El
oponerse
es
el
El reconocimiento de estos derechos es una garantía fundamental para los ciudadanos, permitiéndoles un mayor control sobre su información personal. La “Responsabilidad Proactiva” El segundo aspecto clave es el principio de la “Responsabilidad Proactiva” o como lo define la legislación salvadoreña "Responsabilidad Comprobada", que, en términos sencillos, es la obligación de demostrar que los responsables del tratamiento de datos cumplen con la ley. Este principio establece que las personas naturales o jurídicas que recaban y gestionan datos personales deben implementar medidas técnicas y organizativas adecuadas para asegurar la protección de la información.
Además, deben ser capaces de demostrar que su tratamiento de datos cumple con todos los requisitos legales establecidos. Este principio es esencial porque coloca a los responsables del tratamiento en una posición proactiva, exigiendo no solo que cumplan con la normativa, sino que también puedan evidenciar dicho cumplimiento en todo momento. El Delegado de Protección de Datos (DPO) El último aspecto para destacar es la figura del Delegado de Protección de Datos (DPO), un actor clave en la implementación y vigilancia del cumplimiento normativo. En la ley salvadoreña, esta figura es esencial para garantizar la correcta protección de los datos personales, desempeñando un papel fundamental en la supervisión y en el aseguramiento del cumplimiento de la normativa. Aunque la normativa salvadoreña establece una base sólida para el DPO, El Salvador podría tomar como referencia marcos más avanzados, como el RGPD de la Unión Europea, que otorgan ciertas garantías adicionales para fortalecer la
ESPECIAL DERECHO Y NEGOCIOS|25
autonomía de esta figura. Por ejemplo, en otras legislaciones se establece la estabilidad en el puesto, lo que le permite ejercer sus funciones con independencia y sin riesgo de represalias, además de exigir que reporte directamente a las instancias más altas de la organización, asegurando así que sus decisiones sean tomadas de manera autónoma y sin presiones externas. Este tipo de garantías adicionales podría ser un excelente punto de partida para seguir fortaleciendo el papel del DPO en El Salvador, asegurando un cumplimiento normativo más robusto y una mayor protección de los datos personales de los ciudadanos. Obligaciones de las entidades sujetas a la Ley La nueva Ley para la Protección de Datos Personales establece que se aplicará a todas las personas, ya sean naturales o jurídicas, que realicen el tratamiento de datos personales, ya sea por cuenta propia (como responsables del tratamiento) o en calidad de encargados de tratamiento (tratando datos personales en nombre de un tercero). La acción que genera la obligación de cumplir con esta ley es el "tratamiento" de datos, el cual se define como: "Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción." (Definición del RGPD). En este contexto, la aplicación de la ley abarca a todos los sectores productivos del comercio, dado que todos, en mayor o menor medida, manejan datos personales no solo de sus clientes, sino también de sus empleados. Además, es necesario poner especial énfasis en los centros de asistencia sanitaria, como hospitales y consultorios médicos, ya que los datos tratados en estos lugares son considerados "Datos Especialmente Protegidos" o, como los define la ley salvadoreña, "Datos Sensibles". Estos datos requieren una protección adicional debido a su naturaleza delicada.
Las multas Muy Graves de 26 hasta 40 salarios mínimos. Oportunidades de mejora Como sucede con cualquier legislación reciente, la Ley para la Protección de Datos Personales ofrece varias oportunidades de mejora que, con el tiempo, podrán perfeccionarse mediante resoluciones y la interpretación progresiva de sus disposiciones. A continuación, presentaré dos áreas clave que, aunque inicialmente puedan parecer baladíes, tienen un impacto significativo en su aplicación. El primer punto de mejora es la confusión que existe sobre la Seudonimización y la Anonimización con la Disociación, esto debido a que lo largo de la ley se confunden estos términos, siendo que la información anonimizada es un conjunto de datos que no guarda relación con una persona física identificada o identificable. Mientras que la información seudonimizada es un conjunto de datos que no puede atribuirse a un interesado sin utilizar información adicional, es decir, la Seudonimización y Anonimización son formas de Disociación de Datos. Un ejemplo de esta confusión es el artículo 8 literal b), y artículo 10 literal e). La segunda oportunidad de mejora es desarrollar más bases de licitud del tratamiento, o aclarar y dar más relevancia para su aplicación a las que se contemplan en el Principio de Licitud. En todo el recorrido de la ley se hace ver que la única base licitud de tratamiento válida es el Consentimiento, dejando la duda si se aplicarán las desarrolladas en Principio de Licitud, las cuales son:
Cumplimiento Contractual. Cumplimiento de una obligación Legal. Proteger intereses vitales del interesado. Cumplimiento de un interés público. Interés Legítimo (esta base da para hablar un artículo completo).
Régimen sancionatorio La ley establece infracciones catalogadas como leves, graves y muy graves. Naturalmente al ser temas de cumplimiento administrativo, estas sanciones son pecuniarias para los infractores, tomando como parámetro salarios mínimos mensuales vigentes del sector comercio:
Las multas Leves de 1 hasta 10 salarios mínimos. Las multas Graves de 11 hasta 25 salarios mínimos.
Como sucede con cualquier legislación reciente, la Ley para la Protección de Datos Personales of rece varias oportunidades de mejora que, con el tiempo, podrán perfeccionarse mediante resoluciones y la interpretación progresiva de sus disposiciones. A continuación, presentaré dos áreas clave que, aunque inicialmente puedan parecer baladíes, tienen un impacto signif icativo en su aplicación".
DATOS PERSONALES 26|DERECHO Y NEGOCIOS
LA DISOCIACIÓN Y SEUDONIMIZACIÓN en la
Ley de Protección de Datos Personales Tanto para la disociación como para la seudonimización, los modelajes estadísticos o la tecnología pueden proporcionar mecanismos o técnicas para realizar los referidos procedimientos, en cada caso se deben analizar las garantías que las técnicas a utilizar proporcionan y los riesgos de reidentif icación no autorizados".
E
n la economía digital y en las nuevas formas de hacer negocios los datos se han convertido en un activo esencial y en línea con ello los Estados se han visto en la necesidad de emitir instrumentos normativos que instauren el marco institucional para proteger a sus ciudadanos ante el mal uso o violaciones de sus datos personales, entendidos estos últimos como la información concerniente a una persona natural identificada o identificable, tales como su nombre, domicilio, nacionalidad, estado familiar, canales de contacto, etc. El Salvador no es ajeno a esta realidad, y si bien hasta noviembre del presente año no existía una normativa específica en materia de protección de datos personales, la Sala de lo Constitucional de la Corte Suprema de Justicia hace más de una década ya había reconocido mecanismos de protección ante vulneraciones de los derechos asociados a la autodeterminación informativa, aunado a que, en sus precedentes también reconoció los Derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) como garantías legales que le permiten a los individuos tener control sobre sus datos personales, que en normativa recién entrada en vigor se han ampliado a Derechos ARCO-POL (Acceso, Rectificación, Cancelación, Oposición, Portabilidad, Olvido y Limitación). Si bien los mecanismos de protección resultan eficaces e indispensables cuando ha existido una posible vulneración a los
derechos de una persona, siempre es importante adoptar un enfoque preventivo y no solo reactivo para garantizar una protección temprana de los datos personales, lo que constituye en sí uno de los principales propósitos de la normativa de protección de datos personales. En ese sentido, noviembre del presente año marcó un punto de inflexión para El Salvador en materia de privacidad de datos, cuando fue aprobada por la Asamblea Legislativa, y sancionada por el Presidente de la República, la Ley para la Protección de Datos Personales (LPDP). El país ahora cuenta con un marco normativo, en plena vigencia, que tiene por objeto establecer la regulación para la protección de los datos personales, los requisitos esenciales para el tratamiento legítimo e informado de estos y las obligaciones y parámetros para su recolección, uso, procesamiento, almacenamiento y otras actividades relacionadas al tratamiento de datos personales. Dos aspectos relevantes que considera la LPDP, en lo que concierne al tratamiento de datos, son la Disociación (o Anonimización) y la Seudonimización. La LPDP define la Disociación como el “procedimiento irreversible mediante el cual los datos personales dejan de asociarse a su titular o de permitir, por su estructura, contenido o grado de desagregación, la identificación de éste”, por otra parte, define la Seudonimización como el “procedimiento de tratamiento de datos personales a efectos de que estos ya no puedan asociarse con el titular de
David Blanco ABOGADO ASOCIADO ARIAS.
ESPECIAL DERECHO Y NEGOCIOS|27
estos, sin utilizar información adicional, siempre y cuando dicha información adicional se encuentre separada, oculta, clasificada y resguardada bajo medidas técnicas y organizativas que garanticen que tales datos personales no pueden ser atribuidos a una persona física identificada o identificable”. En términos prácticos, la Disociación y Seudonimización son procedimientos por los cuales se desvinculan los datos respecto de una persona y permiten garantizar la privacidad, pues al ya no estar asociados los datos a un individuo, se dificulta o imposibilita que una persona sea identificada. Si bien ambos procedimientos podrían tener una misma finalidad, existen diferencias entre ellos con implicaciones prácticas y jurídicas. En primer lugar, como se advierte de las definiciones que proporciona la ley, la Disociación tiene la característica de ser irreversible, es decir que se realiza un procedimiento de desvinculación de datos que elimina por completo cualquier información que permita identificar a una persona, generando un nuevo conjunto de datos. Una de las implicaciones jurídicas de la Disociación, es que, al tener un nuevo conjunto de datos, por los cuales resulta imposible identificar a una persona, el tratamiento de estos no requiere un consentimiento previo (al respecto, ver el artículo 28 de la LPDP). Debe tomarse en cuenta que un proceso de anonimización por su característica de irreversibilidad, debe ser un procedimiento técnico y sólido, por el cual se elimine cualquier riesgo de reidentificación. Por otra parte, el procedimiento de Seudonimización, se caracteriza por ser reversible y generar dos conjuntos de datos: los datos seudonimizados y la información adicional con la cual se podría revertir la seudonimización. Como lo indica la ley, el segundo conjunto de datos debe mantenerse separado, oculto y bajo resguardo. Tanto para la disociación como para la seudonimización, los modelajes estadísticos o la tecnología pueden proporcionar mecanismos o técnicas para realizar los referidos procedimientos, en cada caso se deben analizar las garantías que las técnicas a utilizar proporcionan y los riesgos de reidentificación no autorizados. Por otra parte, no se puede dejar de mencionar que, tanto el procedimiento de disociación y seudonimización son actividades
de tratamiento de datos personales, por ende, para realizarlos es requerido contar con el consentimiento previo de conformidad con los requisitos establecidos por la LPDP, es decir debe ser un consentimiento libre, específico, informado, expreso e individualizado de parte de los titulares de los datos personales que se someterán a dichos procedimientos. Adicionalmente, de conformidad con la LPDP, para revertir la Seudonimización también es necesario contar con el consentimiento de los titulares de los datos personales. No contar con el consentimiento previo, y de forma apropiada, para el tratamiento de datos personales, puede dar lugar a incurrir en una infracción muy grave a la ley. Dichas infracciones son sancionadas con multa de hasta cuarenta salarios mínimos mensuales vigentes del sector comercio, considerando el salario mínimo vigente, dicha multa equivale a US$ 14,600.00. Además de las multas pecuniarias, la LPDP establece que se podrá ordenar al infractor que adopte las medidas que fueren necesarias para restablecer la legalidad alterada por la infracción o que permita la corrección de los derechos o las situaciones vulneradas. En conclusión, en la economía digital y los nuevos modelos de negocios, los datos personales y el tratamiento de los mismos tienen un rol indispensable, en ese contexto, los procedimientos de Disociación y Seudonimización se vuelven herramientas importantes para proteger los datos personales. Según las necesidades que puedan tener las compañías para el tratamiento de datos personales, resultará más adecuado realizar un procedimiento de Disociación o Seudonimización. Por ejemplo, la Seudonimización, por sus características, puede ser recomendada para el tratamiento interno de datos por distintas áreas de una misma compañía; y la Disociación puede ser preferible cuando los datos serán tratados con fines de inteligencia de negocios, pruebas de aplicaciones o software o tratamiento de datos mediante herramientas de Inteligencia Artificial. Finalmente, se debe estar atento a la creación de Agencia de Ciberseguridad del Estado (ACE), pues, de conformidad con la LPDP, esta entidad tendrá dentro de sus atribuciones dictar las guías de implementación de la ley, con base en lo cual podría emitir lineamientos o guías relacionadas con los procedimientos y mejores prácticas de Disociación y Seudonimización.
DATOS PERSONALES 28|DERECHO Y NEGOCIOS
COMPLIANCE en PROTECCIÓN de datos personales
L
a ley de protección de datos personales de El Salvador, en adelante LPDP, ha entrado en vigor. Ha fijado un plazo de 6 meses para cumplir con las medidas de cumplimiento en protección de datos personales, es decir, para prepararnos para cumplir con las medidas legales que ésta ordena.
Laura Nathalie Hernández ABOGADA ESPECIALISTA EN TECNOLOGÍAS Y PROTECCIÓN DE DATOS.
Medidas de cumplimiento legal o “compliance” En materia de protección de datos personales, las medidas de compliance son las estrategias, procedimientos y controles implementados para garantizar que las organizaciones cumplan con las normativas legales en torno a la privacidad y seguridad de los datos personales. Estas medidas tienen el objetivo de garantizar la integridad y confidencialidad de los datos personales. ¿Cuáles son algunos ejemplos de estas medidas? Medidas para facilitar el ejercicio de derechos ARCO-POL de los titulares (acceso, rectificación, cancelación, oposición, portabilidad, olvido y limitación); normas o procedimientos internos para las transferencias internacionales de datos mediante mecanismos legales
adecuados; planes de prevención o de contingencia para responder ante emergencias por brechas de seguridad y brechas de datos; programas para la notificación a la autoridad encargada de la supervisión y cumplimiento de la ley sobre la implementación de medidas preventivas y correctivas en materia de protección de datos personales; nombramiento de un encargado de supervisar el cumplimiento de la normativa y actuar como punto de contacto con las autoridades y los titulares de datos (DPO, por sus siglas en inglés), entre otras. ¿Las medidas de cumplimiento contempladas en la LPDP son voluntarias u obligatorias? La ley aplica a "toda persona natural o jurídica, de carácter público o privado que lleve a cabo actividades relativas o conexas al tratamiento de datos personales", por lo que son obligatorias para todos los sujetos obligados la ley. Medidas de compliance aplicables a las empresas La norma incluye mecanismos de compliance diseñados para fortalecer el respeto y la aplicación de la normativa a cargo de la Agencia de Ciberseguridad Estatal (ACE). Nombramiento de Delegados de Datos Personales. La ley ordena que todos los sujetos obligados por esta tienen la obligación de nombrar un oficial de protección de datos personales (DPO) para gestionar y tramitar las solicitudes para el ejercicio de los derechos ARCO-POL. Es decir, deberá nombrar oficial de protección de datos toda persona natural o jurídica, tenga o no empleados, realice o no operaciones de tratamiento a gran escala que requieran de una observación sistemática, lleve a cabo o no tratamiento de categorías especiales de datos personales a gran escala, independientemente de sus ingresos mensuales o anuales, realice tratamiento de datos personales manualmente, parcial o totalmente automatizado, o incluso a través de terceros.
ESPECIAL DERECHO Y NEGOCIOS|29
Prohibición de creación de bases de datos sensibles y uso indebido de datos. La ley prohíbe crear bases de datos con información personal sensible o divulgar, transferir, o comercializar datos personales obtenidos en el ejercicio de un cargo, salvo autorización explícita. Esta medida aplica especialmente a empresas que manejen datos sensibles de clientes, empleados o proveedores. Derecho de los titulares de los datos. Los ciudadanos salvadoreños tienen derecho a ejercer sus derechos ARCO-POL cuando consideren que no están siendo tratados adecuadamente, por lo que será necesario implementar procedimientos para gestionar las solicitudes en ejercicio de los derechos ARCO-POL de conformidad y en el plazo que la ley exige. Notificación de vulneraciones de seguridad. En caso de brecha de seguridad se deberá contar con protocolos de gestión de este tipo de incidentes y procedimientos de notificación a la Agencia de Ciberseguridad del Estado (ACE), a la Fiscalía General de la República y a los titulares afectados dentro de las 72 horas posteriores al conocimiento del incidente. Esta medida también implica, por ejemplo, la documentación de incidentes y la identificar de causas. Implementación y actualización de políticas. Se deberán implementar políticas de privacidad y seguridad claras, llevar registros de actividades de tratamiento, identificar los tipos de tratamiento o las transferencias internacionales de datos personales, adoptar controles internos, y capacitar al personal. Esta medida podría exigirse sobre todo a aquellas empresas que manejan grandes volúmenes de datos, sin embargo, dado que la ley no hace distinciones, aplica a todos los sujetos obligados. Medidas correctivas y preventivas. Las empresas deben establecer procedimientos internos para prevenir nuevas brechas de seguridad tras cualquier incidente de seguridad. La medida implicará un monitoreo constante de sistemas utilizados en el negocio, y la adopción de diversas medidas tecnológicas o no. De no cumplir con estas y otras medidas de cumplimiento legal, la ACE podrá imponer multas administrativas por infracciones a la ley. Las infracciones están divididas en leves, graves o muy graves; las multas correspondientes a las infracciones leves son entre 1 y 10 salarios mínimos mensuales vigentes en el sector comercio, es decir, equivalentes a $365 a $3,650; las multas correspondientes a las infracciones graves son entre 11 y 25 salarios mínimos mensuales del sector comercio, es decir, equivalentes a $4,015 a $9,125; las multas correspondientes a las infracciones muy graves son entre 26 y 40 salarios mínimos mensuales del sector comercio, es decir, equivalentes a $9,490 a $14,600. Adicionalmente, se deberá notificar a la Fiscalía General de República en caso de delitos graves como, por ejemplo, los relativos al uso indebido o
revelación de datos personales, contemplados en la ley de delitos informáticos y conexos. Finalmente, podría aplicarse la suspensión de actividades o servicios de la empresa si no se corrigen las deficiencias detectadas. Para cumplir con las medidas de protección de datos personales exigidas por la ley, una empresa debe implementar un enfoque integral que incluya diversas acciones estratégicas y operativas. El primer paso implica realizar un diagnóstico inicial para identificar posibles brechas en el tratamiento de datos personales, que incluye el mapeo de los flujos de información desde su recolección hasta su eliminación. Designar un delegado de protección de datos personales que comprenda sobre aspectos técnicos y legales en materia de protección de datos personales, es una estrategia fundamental para asegurar el cumplimiento de las normativas relacionadas con la privacidad y la gestión de datos, sobre todo considerando el corto plazo de implementación de las medidas contempladas por la ley. El delegado tiene la responsabilidad de supervisar y orientar en el manejo adecuado de la información personal, estableciendo políticas efectivas que garanticen que la organización opere dentro del marco legal. Su función resulta indispensable para evitar sanciones y multas por posibles infracciones, fomentando una cultura de protección de datos y reduciendo los riesgos que puedan afectar la reputación y la estabilidad económica de la empresa. Además, debe establecerse políticas de privacidad transparentes, desarrollar procedimientos para gestionar las solicitudes de los titulares de los datos y adoptar medidas de seguridad tanto técnicas como organizativas, como el cifrado, el control de accesos y la actualización constante de los sistemas. Simultáneamente, es necesario capacitar al personal en la correcta gestión de datos y fomentar una cultura interna de privacidad y seguridad. Es fundamental evaluar y gestionar a los proveedores y socios comerciales, verificando su cumplimiento con los estándares legales y estableciendo cláusulas específicas en los contratos. La empresa debe documentar todas las actividades de tratamiento de datos, realizar evaluaciones de impacto en la privacidad y en la protección de los datos (PIA, DPIA, por sus siglas en inglés) cuando sea pertinente y mantener registros actualizados. Asimismo, debe implementar un plan de respuesta ante incidentes, que incluya la notificación a las autoridades y a los afectados, asegurando que los titulares comprendan el uso de su información y obteniendo su consentimiento según corresponda. Es esencial llevar a cabo auditorías periódicas, supervisar el cumplimiento continuo y ajustar las políticas y procedimientos frente a cambios legales o tecnológicos. Estas medidas no solo garantizan el cumplimiento normativo, sino que también protegen la reputación de la organización y fortalecen la confianza de sus clientes y socios comerciales.
Es fundamental evaluar y gestionar a los proveedores y socios comerciales, verif icando su cumplimiento con los estándares legales y estableciendo cláusulas específ icas en los contratos".
DATOS PERSONALES 30|DERECHO Y NEGOCIOS
ÉTICA Y CONFIDENCIALIDAD en el uso de datos e IA
El dilema de los datos personales en la era de la inteligencia artificial
E
n una era dominada por el uso de tecnologías de inteligencia artificial (IA), los datos personales han dejado de ser simples registros para convertirse en activos de alto valor. Esto plantea un reto ético significativo: ¿cómo equilibrar la innovación tecnológica con la protección de derechos fundamentales como la privacidad? En El Salvador, la reciente aprobación de la Ley de Protección de Datos Personales y la Ley de Ciberseguridad ofrece un marco jurídico claro para abordar este desafío, pero la implementación requiere un compromiso tanto normativo como empresarial.
Eva Galicia LEGAL OPS DIRECTOR, LEGALÍTIKA.
Las empresas que desarrollan o implementan tecnologías basadas en IA deben actuar como guardianes de la confidencialidad, respetando los principios legales y éticos que protegen a los titulares de datos. Sin embargo, ¿están realmente preparadas para asumir esta responsabilidad? La base del cumplimiento se encuentra en los principios esenciales para el manejo ético de datos, ya que los datos personales son el combustible que impulsa los sistemas de IA, pero su uso debe respetar principios fundamentales que garanticen la protección de los derechos de las personas. La interacción de los principios establecidos en la Ley de Protección de Datos Personales y la Ley de Ciberseguridad en El Salvador refleja un
marco normativo robusto que aborda la protección de datos desde su recolección hasta su gestión en entornos digitales, priorizando la seguridad y los derechos de los titulares. La Ley de Protección de Datos Personales enfatiza principios clave como la exactitud y la minimización de datos, exigiendo que los datos sean actualizados, suficientes y pertinentes para los fines específicos declarados. Estos principios se alinean con el de transparencia, que obliga a informar al titular sobre las características del tratamiento, asegurando que las finalidades y el período de almacenamiento sean claros y accesibles. Por otro lado, la Ley de Ciberseguridad complementa estas disposiciones al exigir medidas de seguridad por diseño, promoviendo que los sistemas informáticos prioricen la ciberseguridad desde su concepción, y gestión de riesgos, para identificar amenazas potenciales y mitigarlas oportunamente. El principio de licitud exige que el tratamiento de datos se base en consentimiento informado o en una finalidad legítima establecida en la ley, mientras que la ciberseguridad refuerza la confidencialidad e integridad de la información, garantizando que sólo accedan usuarios autorizados y evitando alteraciones o pérdidas no autorizadas. Ambos marcos también destacan la temporalidad y la proporcionalidad, limitando el tiempo de conservación de datos y ajustando las medidas de seguridad según el riesgo inherente.
ESPECIAL DERECHO Y NEGOCIOS|31
En conjunto, estas normativas no solo protegen los derechos fundamentales de los ciudadanos y usuarios, sino que también ofrecen directrices claras a las empresas e instituciones, incentivando una cultura de responsabilidad y prevención en el manejo de la información. Este enfoque integral asegura un equilibrio entre innovación tecnológica y respeto por la privacidad.
El rol de las empresas: de usuarios a custodios responsables de datos.
En el ecosistema empresarial, las organizaciones que desarrollan tecnología basada en IA no solo son usuarias de datos personales, sino también custodios responsables de su manejo. Este rol va más allá del cumplimiento normativo; implica adoptar una postura ética frente a los derechos de las personas. Un punto crítico es el diseño de algoritmos de IA. Desde su concepción, estos sistemas deben integrar medidas de privacidad, siguiendo el concepto de “privacidad desde el diseño” (privacy by design). Esto incluye limitar la recopilación de datos a lo estrictamente necesario, anonimizar o pseudonimizar la información sensible y garantizar que los procesos sean auditables.
Además, las empresas deben establecer políticas de gobernanza que incluyan: Capacitación interna: Formar a los equipos en temas de privacidad y ética en el manejo de datos es esencial para evitar prácticas inadecuadas. Auditorías regulares: Verificar el cumplimiento de las políticas internas y garantizar que los algoritmos operen sin sesgos discriminatorios o errores sistemáticos. Evaluaciones de impacto: Antes de implementar sistemas de IA, es necesario realizar análisis que identifique posibles riesgos para la privacidad y los derechos de los usuarios.
El reto de la transparencia en la inteligencia artificial Uno de los mayores desafíos que enfrentan las empresas que utilizan IA es explicar cómo funcionan sus sistemas de forma comprensible para los usuarios. La transparencia algorítmica no solo es una obligación ética, sino también un requisito para cumplir con los principios de transparencia establecidos en la ley. Esto se vuelve especialmente relevante en decisiones automatizadas que afectan significativamente a las personas, como la aprobación de un crédito, la selección de personal o la clasificación de riesgos. En estos casos, las empresas deben ser capaces de responder preguntas fundamentales:
¿Qué datos se utilizaron para entrenar el modelo?
¿Existen mecanismos para que el usuario pueda impugnar o cuestionar los resultados?
Confidencialidad e integridad: pilares de la seguridad en IA En el ámbito de la Ley de Ciberseguridad, las empresas tienen la obligación de garantizar la confidencialidad e integridad de los datos personales utilizados en sus sistemas de IA. Esto implica para las empresas que usan IA, implementar medidas robustas de seguridad, como: Encriptación de extremo a extremo para proteger la información durante su transferencia y almacenamiento. Autenticación multifactorial para limitar el acceso a datos sensibles. Notificación de incidentes permitiendo una respuesta rápida a posibles brechas de seguridad. La confidencialidad no solo protege a las empresas de sanciones legales, sino que también fortalece su reputación, generando confianza entre los usuarios y los socios comerciales.
Los beneficios de un enfoque ético en la IA Adoptar un enfoque ético en el manejo de datos personales no es solo una obligación legal, sino también una ventaja competitiva. Las empresas que priorizan la transparencia y la protección de datos construyen relaciones más sólidas con sus clientes, fortalecen su reputación y minimizan riesgos operativos y legales. Además, al alinearse con estándares internacionales como el Reglamento General de Protección de Datos (GDPR), las organizaciones salvadoreñas pueden posicionarse como líderes en mercados globales, demostrando que cumplen con las exigencias más estrictas en protección de datos. En conclusión , la implementación de tecnologías de inteligencia artificial en las empresas requiere un compromiso activo con el uso ético de los datos personales y la confidencialidad. En El Salvador, la Ley de Protección de Datos Personales y la Ley de Ciberseguridad establecen un marco normativo que, si bien plantea desafíos en su aplicación, ofrece una base sólida para garantizar la transparencia, la integridad y la confianza en el entorno digital. En última instancia, el éxito de estas normativas dependerá de la capacidad de las empresas para asumir un rol activo en la protección de los derechos de los titulares de datos, adoptando prácticas de gobernanza que equilibren la innovación tecnológica con el respeto por la privacidad. Este enfoque no solo protege a los ciudadanos, sino que también fortalece la posición de El Salvador como un referente regional en la regulación de la tecnología y la inteligencia artificial.
¿Qué criterios se aplicaron para tomar la decisión?
Adoptar un enfoque ético en el manejo de datos personales no es solo una obligación legal, sino también una ventaja competitiva. Las empresas que priorizan la transparencia y la protección de datos construyen relaciones más sólidas con sus clientes, fortalecen su reputación y minimizan riesgos operativos y legales".
DATOS PERSONALES 32|DERECHO Y NEGOCIOS
Ley de Protección de Datos en
EL SALVADOR
E
l avance de las tecnologías digitales ha transformado la forma en que se gestionan y procesan los datos personales a nivel mundial, exigiendo un marco normativo sólido que garantice su protección. En este contexto, la República de El Salvador ha promulgado una nueva Ley de Protección de Datos Personales, inspirada en estándares internacionales como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea. Este artículo analiza los aspectos clave de la ley salvadoreña, evaluando su alineación con el GDPR, con un enfoque en los principios generales, derechos reconocidos, mecanismos de aplicación, roles definidos, y el régimen sancionador. Asimismo, se identifican los desafíos y oportunidades que surgen con su implementación en un marco jurídico y social particular.
Alfredo Navas Duarte SOCIO ECIJA EL SALVADOR.
Principios Generales La Ley de Protección de Datos Personales de El Salvador adopta un conjunto de principios rectores que reflejan los estándares del GDPR, adaptándolos a su contexto. Estos principios subyacen a todas las disposiciones de la ley y aseguran que el tratamiento de datos personales se realice de manera ética, segura y en beneficio del titular de los datos. El principio de licitud, lealtad y transparencia establece que el tratamiento de datos debe basarse en el consentimiento informado del titular, asegurando que este conozca el propósito y alcance del uso de sus datos. Este principio promueve la confianza entre los responsables y los titulares, reduciendo los riesgos de uso indebido. Asimismo, los principios de limitación de finalidad y minimización de datos subrayan la importancia de recolectar y tratar solo los datos necesarios para fines específicos y legítimos. Esto evita el almacenamiento excesivo de datos y reduce los riesgos de violaciones de seguridad. Otro principio clave es el de integridad y confidencialidad, que impone medidas estrictas de seguridad para prevenir accesos no autorizados o la manipulación
indebida de los datos. La ley también enfatiza la responsabilidad proactiva, requiriendo a los responsables que demuestren su cumplimiento con las disposiciones legales, en línea con el principio de accountability del GDPR.
Derechos Reconocidos La ley salvadoreña reconoce un conjunto de derechos fundamentales para los titulares de los datos, conocidos como derechos ARCO-POL, que son equivalentes a los derechos del GDPR. Estos derechos fortalecen la autonomía del individuo frente a los responsables del tratamiento de datos, permitiéndoles ejercer control sobre la información personal que los identifica. El derecho de acceso permite a los titulares conocer qué datos personales están siendo tratados y con qué finalidad, mientras que el derecho de rectificación les otorga la facultad de corregir datos inexactos o desactualizados. En casos donde los datos ya no sean necesarios o se hayan tratado ilegalmente, el titular puede ejercer el derecho de cancelación para solicitar su eliminación. Por otro lado, el derecho de oposición y el derecho a la limitación ofrecen mecanismos adicionales para restringir o detener el tratamiento de datos en circunstancias específicas. Asimismo, la ley introduce el derecho de portabilidad, que permite a los titulares transferir sus datos a otro responsable de manera sencilla, promoviendo la interoperabilidad de los sistemas. El derecho al olvido, destacado en entornos digitales, permite a los titulares solicitar la eliminación de información publicada en internet que pueda ser perjudicial o irrelevante con el paso del tiempo.
Procesos y Mecanismos para el Ejercicio de Derechos La Ley establece un marco claro para que los titulares puedan ejercer sus derechos, asignando un rol fundamental al Delegado de Protección de Datos Personales. Este delegado actúa como intermediario entre los titulares y los responsables del
ESPECIAL DERECHO Y NEGOCIOS|33
tratamiento, gestionando y resolviendo las solicitudes de manera eficiente y dentro de plazos establecidos. Los responsables tienen la obligación de implementar procedimientos documentados que permitan la gestión adecuada de estas solicitudes, además de garantizar que el acceso, rectificación o eliminación de datos se realice de forma gratuita y transparente. La ley también prevé medidas para asegurar que los datos sean entregados únicamente al titular o a sus representantes legales debidamente acreditados.
Sanciones y Multas El régimen sancionador de la Ley clasifica las infracciones en leves, graves y muy graves, con multas que oscilan entre uno y cuarenta salarios mínimos del sector comercio. Las sanciones tienen como objetivo garantizar el cumplimiento de las disposiciones legales y prevenir prácticas que puedan comprometer la privacidad de los titulares.
Además de las multas, la Agencia de Ciberseguridad del Estado, encargada de supervisar la aplicación de la ley, puede imponer medidas adicionales para corregir las infracciones y restablecer la legalidad. Este enfoque sancionador está alineado con las mejores prácticas internacionales y busca fomentar una cultura de cumplimiento entre los responsables del tratamiento de datos. La Ley de Protección de Datos Personales de El Salvador representa un paso significativo hacia la armonización de las normativas locales con los estándares internacionales. Su implementación efectiva dependerá de la capacidad de los responsables para adoptar medidas proactivas y de la vigilancia por parte de las autoridades competentes. A través de esta ley, El Salvador se posiciona como un país comprometido con la protección de la privacidad y la seguridad de los datos personales, generando confianza en sus ciudadanos y en el ámbito internacional.
La Ley de Protección de Datos Personales de El Salvador representa un paso signif icativo hacia la armonización de las normativas locales con los estándares internacionales. Su implementación efectiva dependerá de la capacidad de los responsables para adoptar medidas proactivas y de la vigilancia por parte de las autoridades competentes".
EMPRESARIAL 34|DERECHO Y NEGOCIOS
En 2024, AFP CONFIA fortalece su liderazgo con una
IMAGEN RENOVADA
E
l año 2024 ha sido trascendental para AFP CONFIA, pues fue el escenario de su evolución. Su imagen corporativa renovada reafirmó su liderazgo, su compromiso con la excelencia y su enfoque en brindar soluciones innovadoras a sus clientes. Bajo el lema “CONFIA siempre en tu futuro”, la compañía consolidó su posición como líder en el sector previsional salvadoreño. “Esta transformación refleja nuestro firme compromiso con la excelencia y el servicio. Como parte del Grupo Financiero Atlántida, con una plataforma tecnológica renovada y el respaldo de un equipo altamente capacitado, reafirmamos la convicción y dedicación de cuidar el presente, mientras construimos, junto a nuestros afiliados, un futuro sólido y seguro. Este será nuestro principal enfoque en 2025”, aseguró René Hernández, Director de Comunicaciones y Mercadeo de AFP CONFIA.
Una imagen renovada para un futuro sólido Este año, AFP CONFIA dio un paso importante al presentar su renovada imagen corporativa, un cambio visual que refleja su compromiso con la evolución, la excelencia y la innovación. Basada en tres pilares fundamentales: confianza, cercanía y compromiso, la Administradora modernizó su presencia en el mercado, y consiguió resaltar la adaptabilidad y visión de futuro de la empresa. Además, con este cambio, CONFIA reafirmó su liderazgo en el sector previsional y su dedicación a construir un futuro sólido para sus afiliados, manteniendo siempre un enfoque centrado en la calidad del servicio y la satisfacción del cliente.
EMPRESARIAL DERECHO Y NEGOCIOS|35
1. Confianza: respaldo por 26 años de liderazgo Con una trayectoria de más de 26 años en el sector previsional, la empresa ha sido un referente en El Salvador y la región, gestionando el mayor fondo de pensiones de Centroamérica y el Caribe. Esta confianza se fortalece aún más con su pertenencia al Grupo Financiero Atlántida, una organización financiera con más de 111 años de experiencia y un sólido liderazgo. El compromiso de CONFIA de cuidar el futuro de sus más de 1.8 millones de afiliados queda reflejado en cada aspecto de la renovación de su marca.
2. Cercanía: con un enfoque cada vez más cercano al cliente
servicio excepcional. La renovación de la imagen también refleja el enfoque de la empresa en la capacitación continua de su personal, asegurando que los colaboradores estén a la vanguardia en temas de inversión y gestión de fondos de pensiones. El ambiente laboral positivo y colaborativo fomenta la innovación y el desarrollo profesional, lo que se traduce en un servicio de alta calidad y soluciones personalizadas para los clientes. CONFIA reafirma su propósito de seguir construyendo un futuro sólido y seguro para sus afiliados, garantizando un servicio de excelencia y manteniendo su liderazgo en el sector previsional.
El segundo pilar es la cercanía, un valor esencial que impulsa la conexión directa y personal con los afiliados y pensionados. La nueva imagen refleja este esfuerzo por brindar un servicio más cercano, basado en la atención personalizada y la proximidad en las relaciones. CONFIA ha transformado la manera en que interactúa con sus clientes mediante la adopción de soluciones digitales, permitiendo a los afiliados realizar trámites
de manera ágil, segura y desde cualquier lugar, a través de canales como la AFP CONFIA APP, mensajería instantánea y un renovado sitio web.
3. Compromiso: con un equipo altamente capacitado y una visión de futuro El tercer pilar es el compromiso, que se manifiesta en el equipo profesional de CONFIA, siempre preparado para ofrecer un
Para conocer más sobre CONFIA, visita www.confia.com o búscalos en sus redes sociales como AFP CONFIA. Conoce más sobre Grupo Financiero Atlántida en www.grupofinancieroatlantida.com
TECNOLOGÍA 36|DERECHO Y NEGOCIOS
INTELIGENCIA ARTIFICIAL:
El futuro de la banca tradicional REDACCIÓN SILVIA CÓRDOBA, GERENTE DE CUENTAS PREMIUM DE VERTIV EN MÉXICO, COLOMBIA Y ECUADOR.
Silvia Córdoba GERENTE DE CUENTAS PREMIUM DE VERTIV EN MÉXICO, COLOMBIA Y ECUADOR.
E
n los últimos años, el uso de la inteligencia artificial (IA) en la banca ha hecho posible una transformación de la industria tradicional, gracias a un procesamiento de datos más rápido y bots de IA entrenados para la asistencia virtual, por nombrar solo algunos. Esta modernización ha permitido a empresas y consumidores comprobar que estas tecnologías han personalizado y agilizado las transacciones bancarias y comerciales. Con estos cambios, los usuarios se han beneficiado de la combinación de experiencias digitales como los pagos sin contacto, las carteras y tarjetas digitales, y las aplicaciones bancarias para pagos QR. Esto ha promovido la integración del ecosistema financiero y una hiperpersonalización de los servicios recibidos. Por ejemplo, en América Latina, las tarjetas de crédito eran el principal método de pago en 2023 (con una cuota del 48%), según datos de McKinsey & Company. Este porcentaje está disminuyendo lentamente en favor de nuevos métodos de pago alternativos, como las transferencias, los sistemas de pago "compre ahora y pague después" y los monederos digitales. Esto ha permitido a los bancos mejorar significativamente la experiencia del cliente, adaptando los servicios a sus necesidades individuales.
En este contexto de transformación digital, los bancos se esfuerzan por seguir siendo competitivos adoptando estas tecnologías y operando en la nube para optimizar las operaciones y mejorar la experiencia del cliente. Sin embargo, según estudios recientes, el sector bancario y financiero sigue enfrentando retos, como los siguientes: Regulación: los países necesitan implementar normas y regulaciones para promover la seguridad y la confianza en la banca digital. En algunos países de Latinoamérica, los mandatos legales no permiten actualmente que toda la información de los clientes se envíe a servidores en la nube. Ciberseguridad: la protección de los datos financieros es fundamental, ya que hemos visto que la industria financiera es un objetivo constante de los ciberataques. Calidad de servicio y experiencia de usuario: los clientes exigen una experiencia de usuario fluida y un servicio de alta calidad en todas las plataformas. Sistemas heredados: la migración de datos de sistemas heredados a plataformas digitales o tecnologías más avanzadas requiere una mayor capacidad en los centros de datos. Además, estos sistemas e infraestructuras casi obsoletos también deben mejorar el consumo energético.
TECNOLOGÍA DERECHO Y NEGOCIOS|37
Infraestructura digital crítica: el avance de la transformación digital en la banca y la adopción de la informática de alta capacidad, incluida la inteligencia artificial, requieren infraestructuras de alimentación y refrigeración que puedan soportar las aplicaciones digitales modernas. Las instalaciones nuevas y modernizadas necesitan soluciones eficientes, escalables y flexibles. Para respaldar los avances en la transformación digital en la banca, las organizaciones deben disponer de alimentación ininterrumpida y refrigeración eficiente, ambos elementos fundamentales para mantener un servicio continuo, ya que repercuten directamente en las áreas clave mencionadas anteriormente, como la ciberseguridad, la calidad del servicio y la experiencia de clientes y usuarios. Al desplegar una infraestructura digital crítica sólida y eficiente, los bancos pueden integrar nuevas tecnologías para mejorar su capacidad de ofrecer servicios diferenciados y mantener una ventaja competitiva.
La transformación digital de la banca tradicional La transformación digital en la banca ha sido un cambio necesario que no solo ha hecho a los bancos más ágiles y digitales, sino que también ha diversificado los servicios que ofrecen a los clientes. En un mundo en el que las necesidades de los clientes cambian, estos avances son cruciales. Los neobancos, el blockchain y las soluciones fintech están sacudiendo los cimientos del sector con su enfoque centrado en el cliente, desafiando el statu quo y estableciendo nuevas expectativas. Una de las novedades más relevantes es la revolución que la inteligencia artificial está suponiendo para el sector de la banca, especialmente mediante el uso de interfaces de programación de aplicaciones (API) de IA. Imagine un servicio de atención al cliente gestionado por chatbots inteligentes y asistentes virtuales capaces de resolver problemas complejos con rapidez y eficacia. Además, las API de IA pueden automatizar tareas tediosas y rutinarias como la introducción de datos, lo que agiliza la gestión de backoffice y mejora la eficiencia operativa. Pero esta transformación no se detiene aquí. Adoptar nuevas tecnologías y enfoques innovadores es imprescindible para cualquier banco que quiera liderar esta nueva era. En Vertiv, hemos identificado cómo los bancos que están por delante de la curva pueden mejorar la eficiencia operativa de sus centros de datos y estar preparados para el futuro de las innovaciones de IA que pueden establecer nuevos estándares en la experiencia del cliente. La integración de soluciones de IA, blockchain y fintech, combinada con una infraestructura digital crítica robusta y segura que incluya soluciones de energía y refrigeración, que puedan soportar aplicaciones digitales modernas, puede ayudar a permitir que las instituciones financieras enfrenten los desafíos futuros y capitalicen las oportunidades emergentes. Sin embargo, en todo este proceso, no debemos olvidar la importancia de permitir la continuidad de los servicios y la seguridad de las operaciones bancarias. Esto requiere tener en cuenta la eficiencia energética, implementar sistemas de refrigeración que admitan IA y cargas tradicionales, y utilizar SAI fiables para la calidad y continuidad de la energía.
La transformación digital de la banca ha sido impulsada por el uso de inteligencia artif icial, mejorando la ef iciencia y personalización de los servicios. Esta modernización no solo ha cambiado la forma de interactuar con los bancos, sino que también ha generado un ecosistema f inanciero más integrado. Silvia Córdoba, gerente de cuentas premium de Vertiv en México, Colombia y Ecuador.
w w w. c a n a l 1 2. c o m. sv @ C a na lDoc eSV
@ C an al Do c eSV
@ C an al _ 1 2
Carretera Panamericana, 12 Urbanización Industrial, Santa Elena, San Salvador / 2560-1216
Polarizado líquido
transparente ULTRA IR FILMS Visibilidar mayor al 70% Ahorro de energía del 20% - 40% Bloquea el calor en más del 90% Temperatura se reduce en 21° C Bloquea los rayos UV en más del 90%
KMCAcorp
kmcaelsalvador@gmail.com
(503) 2221-1885
Calle El Mirador, pje. Domingo Santos, #600-31, Colonia Escalón, San Salvador, El Salvador
SOMOS PARTE DE LA
TRANSFORMACIÓN DE LA REGIÓN
www.exorlatamca.com
EXOR LATAM C.A
Exor Latam CA
@exorlatamca
@exorlatamca_
Exor Latam CA
Av. La Revolución y Calle Circunvalación, Presidente Plaza, Nivel 08, Oficina 02, Colonia San Benito, San Salvador.
+(503) 2245 7080