La Asamblea Legislativa aprobó en la sesión plenaria de este martes la Ley para la Protección de Datos Personales y la Ley de Ciberseguridad y Seguridad de la Información, que fueron enviadas por el gobierno a través del Ministerio de Justicia y Seguridad Pública.
La nueva Ley de protección de datos aplicará a personas naturales y jurídicas, públicas y privadas que realicen actividades de tratamiento de datos personales y establece que toda persona, por sí mismo o por medio de su representante, tendrá derecho a conocer si sus datos personales están siendo procesados para garantizar la protección de los mismos.
Asimismo, toda persona podrá solicitar la rectificación, cancelación o bloqueo de sus datos; oponerse al tratamiento y a solicitar que se limite su tratamiento en el futuro para usos distintos a los consentidos.
Puede leer: Comisión avala leyes de ciberseguridad y de protección a datos personales
También establece que la persona titular de los datos tendrá derecho a saber quiénes los resguardarán, incluyendo los proveedores de servicios de almacenamiento como el encargado que haya sido contratado para darles tratamiento.
En el caso de datos personales sensibles, el responsable deberá obtener el consentimiento por escrito del titular para su tratamiento, a través de su firma autógrafa o su equivalente.
El decreto incluye algunas exclusiones, como el registro del Estado familiar, regímenes patrimoniales, leyes del documento único de identidad y del nombre. Pero a petición del diputado Caleb Navarro se modificó para agregar que se excluye de la ley el tratamiento de los datos "realizados en los registros públicos".
"Para comenzar, el Registro de la Propiedad debe de ser público y está establecido en la Constitución su publicidad. En segundo lugar, cuando las personas privadas hacen negocio con propiedades, compran, cuando uno como notario, como abogado, va al registro pide información del mismo con referencia a las propiedades y si no se pone como exclusión los registros públicos nos crearía este conflicto", dijo.
Tratamiento de datos
Ninguna persona podrá ser obligada a proporcionar sus datos personales sensibles y solo podrán ser sujetos de tratamiento con el consentimiento expreso del ciudadano titular. Aún así, se contempla que podrán tratarse los datos sensibles cuando sea necesario para salvaguardar la vida de su titular o de otra persona, en el supuesto de que éste se encuentre física o jurídicamente incapacitado para dar su consentimiento.
LEA: Grupo de hackers filtra base de datos de 974,428 cotizantes del ISSS
La excepción serían los datos personales relativos a la salud, cuando su tratamiento resulte necesario para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios. Los establecimientos y profesionales de la salud pueden recolectar y tratar los datos personales relativos a la salud física o mental de sus pacientes respetando el secreto profesional y los derechos de los pacientes.
Vulneraciones a la seguridad
La persona responsable de los datos deberá notificar a la Agencia de Ciberseguridad del Estado (ACE), a la Fiscalía General de la República (FGR) y a los titulares afectados de cualquier vulneración de los datos personales, entendiéndose la vulneración como "cualquier daño, pérdida, alteración, destrucción, acceso ilegítimo y en general, cualquier uso ilícito o no autorizado de los datos personales", aunque sucediera de manera accidental. Para lo que establece un plazo máximo de 72 horas desde que tuvo conocimiento de la vulneración.
Omitir dicha notificación se incluyó como una infracción leve de la ley, así como acceder a un banco de datos, base de datos, repositorio, sistemas o registros, tanto manuales como informáticos sin autorización del responsable.
Ley de Ciberseguridad
También se aprobó la Ley de Ciberseguridad con obligaciones para los órganos del gobierno, sus dependencias, instituciones oficiales autónomas, autoridades municipales o cualquier otra entidad que administre recursos públicos, bienes del Estado, ejecuten actos de la administración pública en general.
Esta es la normativa que crea a la ACE, que será la encargada de elaborar la "Política de Ciberseguridad y Seguridad de la Información de la Nación" con los lineamientos, planes y programas de acción, la cual deberá someter a aprobación de la Presidencia de la República.
La ACE tendrá un Director General y un Director de Ciberseguridad y Seguridad de la Información, nombrados por el presidente de la República para un periodo de tres años.
"Está concentrando todo el poder de decisión sobre cualquier controversia que exista sobre los datos personales en una entidad que no va a tener una conformación más representativa de diferentes sectores de la sociedad", dijo Claudia Ortiz, diputada de Vamos.
Por su parte, Marcela Villatoro de ARENA, recordó que su fracción en periodos anteriores presentó la ley con un ente tripartito entre la Procuraduría para los Derechos Humanos, la Academia y la Procuraduría General de la República.
"La aprobación de esta va a ser buena para los ciudadanos, pero que lastimosamente no se hizo de la mejor manera, pero por lo menos van a tener algo que los va a proteger, ojalá se hubiera permitido de que ingresaran más personas con conocimiento en el tema, nosotros cuando ofrecimos esta ley se hizo un trabajo exhaustivo, se incluyeron diez entidades en una sesión de trabajo", señaló.