La Protección de Datos Personales y su Impacto en las Relaciones Laborales en El Salvador

En un mundo Empresarial altamente digitalizado, en el cual los datos se han convertido en un bien en sí, El Salvador tenía una tarea pendiente de realizar, que era el contar con una regulación que normara el uso de la información personal de todos sus ciudadanos, especialmente, por el hecho de que El Salvador cada vez más está más cerca de lograr el objetivo de convertirse en el Hub de negocios digitales para la región centroamericana.

Esta tarea pendiente fue cumplida con la entrada en vigor de la Ley para la Protección de Datos Personales en noviembre de 2024, lo cual representa un cambio profundo en el panorama jurídico salvadoreño, a partir de dicha fecha, los salvadoreños contamos con una regulación basada en estándares mundiales para el tema de protección de datos personales, así como con un ente regulador, la Agencia de Ciberseguridad del Estado (ACE), quien tiene a su cargo además la creación de políticas para hacer que esta nueva Ley pueda hacerse operativa y que todos tengamos una guía para poder dar cumplimiento a la misma. 

Esta normativa no solo incide en el ámbito tecnológico o digital, sino que altera la estructura misma de las relaciones laborales, al incorporar la protección de datos personales como un nuevo eje de cumplimiento y responsabilidad empresarial.

Las Políticas de Actuación y Manejo de Datos Personales emitidas por la Agencia de Ciberseguridad del Estado (ACE) consolidan esta tendencia, integrando los estándares de la ISO/IEC 27001:2022 en los procesos organizativos, técnicos y físicos que todo patrono debe aplicar, no solo para el tratamiento de datos de sus clientes o usuarios, sino también, para el tratamiento de datos de sus empleados.

La relación laboral en el entorno de tratamiento de datos personales.

La relación laboral implica el tratamiento constante de información personal de los trabajadores que laboran para un patrono, desde la fase de reclutamiento, pasando por la ejecución del contrato, hasta la finalización de la misma.

Los datos de identificación, salud, desempeño, contacto, planilla, seguridad social, videovigilancia y más, configuran un flujo continuo de tratamiento dentro de la organización.

Pensemos en toda la información que típicamente le es solicitada a un aspirante a trabajador, dentro del proceso de reclutamiento y selección de personal como, por ejemplo, dirección, nombre completo, edad, género, respuestas a preguntas contenidas en pruebas de aptitudes y psicológicas, que nos ayudan a realizar un perfil de candidato, lo cual sirve para realizar una selección con quien contratar. Todo lo anterior, es catalogado en la LPDP como “Tratamiento de Datos”.

De este modo, el empleador se constituye en “responsable del tratamiento” (art. 4, lit t. LPDP), y tiene la obligación de garantizar la licitud, finalidad legítima, confidencialidad y seguridad de todos los datos que recolecta y procesa. 

Por su parte, una vez el trabajador comienza a desarrollar sus funciones para las ordenes de un patrono, actúa en una doble condición, como titular de sus propios datos personales, y como tratador o encargado de los datos de terceros (clientes, proveedores, usuarios) en nombre de su empleador. 

Esta dualidad plantea nuevas obligaciones contractuales, éticas y de cumplimiento dentro de las empresas salvadoreñas a las cuales me referiré en el presente artículo.

Obligaciones del empleador bajo la Ley para la protección de datos personales y las Políticas ACE.

Todo Patrono o Empleador debe implementar medidas organizativas, técnicas y físicas que aseguren la protección de los datos personales de sus trabajadores y de los terceros que estos tratan. Entre ellas se incluyen entre otras:

• Nombramiento del Delegado de Protección de Datos (DPDP);
• Adopción de políticas internas de privacidad;
• Implementación de controles de acceso, cifrado y autenticación;
• Registro de actividades de tratamiento y evaluaciones de impacto (EIPD);
• Auditorías periódicas y capacitación continua.

La ACE considera la ISO27001 como el estándar de referencia. Por tanto, el cumplimiento en materia de datos personales debe verse como parte de un Sistema de Gestión de la Seguridad de la Información (SGSI) que el empleador debe mantener, supervisar y documentar.

Por lo tanto las normas que comprenden este SGSI deben de ser aplicadas de manera transversal en todos los procesos de la compañía que impliquen un tratamiendo de datos, como por ejemplo dentro del proceso de selección y contratación de persona. 

Los artículos 26 y 27 de la LPDP, imponen la obligación de contar con consentimiento expreso del titular para cualquier tratamiento, salvo excepciones (art. 28 LPDP), por lo que en la practica, todo empleador debe comunicar a los candidatos a trabajadores al momento de iniciar todo proceso de contratación o preselección:

• Qué datos recopila,
• Donde y como los custodía,
• Con qué propósito,
• Quién tendrá acceso,
• Y durante cuánto tiempo los conservará.

Esto se materializa en el aviso de privacidad laboral, un documento que debe entregarse a todo empleado o candidato, antes de realizar el proceso de recolección de datos, o bien para el caso de los actuales trabajadores de la Empresa, se debería de realizar de manera inmediata, por la entrada en vigencia de la LPDP y de sus politicas desde el mes de septiembre del presente año.

El consentimiento no puede inferirse del contrato de trabajo, ni considerarse tácito por la subordinación jurídica del trabajador.

El Código de Trabajo, en su artículo 17, establece que la subordinación implica obediencia a las órdenes del empleador, pero no elimina los derechos fundamentales, como lo es el derecho a la Protección de sus Datos Personales, tal cual lo define el Art. 6 de la LPDP.

Por ello, todo trabajador debe de otorgar un consentimiento libre, específico e informado, para que el patrono pueda tratar sus datos, sin embargo el otorgamiento de este consentimiento no debe considerarse como un requisito impuesto como condición de empleo, aun que debe de advertirse de manera enfatica al candidato que no podría realizarse el proceso de selección por motivos de falta de autorización del trabajador para poder tratar sus datos y esta situación debe de ser claramente explicada al trabajador.

El tratamiento de los datos personales del trabajador requiere consentimiento informado (arts. 26 y 27 LPDP), salvo las excepciones de ley (obligaciones contractuales o legales).

En la práctica, el consentimiento se materializa mediante:

• Cláusulas específicas en el contrato individual de trabajo,
• Avisos de privacidad laborales, y
• Procedimientos internos que garanticen el ejercicio de los derechos ARCO-POL (acceso, rectificación, cancelación, oposición, portabilidad y limitación).

La subordinación en materia de relaciones obrero patronales, implica obediencia a órdenes legítimas, pero no autoriza un tratamiento ilimitado de información.

El empleador debe, por tanto, equilibrar su poder de dirección con los principios de proporcionalidad, finalidad y transparencia, como se dijo anteriormente.

Por otra parte, el Art. 31 numerales 2º y 4º del Código de trabajo establecen las oblilgaciones de “obediencia a politicas e instrucciones del patrono”, “reserva” y “secreto” de información propiedad del patrono como secreto empresarial, así como de todo tipo de información cuya divulgación pueda acarrear perjuicios para la empresa, lo cual para el caso, seria la imposcisión de algun tipo de sancion o multa que la ACE le imponga al patrono por no sometimiento de parte de un trabajador a las politicas de privacidad y protección de información a las cuales se deba de someter como parte del SGSI que implemente un patrono.

En el caso de tratamiento de datos de terceros que realice un trabajador en nombre de su patrono, se encuentra límitado por la autorización que este tercero ha realizado para tal fin, consecuentemente, es para efectos legales, (tanto administrativos como penales) responsable directo de sus acciones, siempre y cuando el patrono pueda establecer que ha sido debidamente diligente en comunicar al trabajador, sobre los limites para tratamiento de datos e información establecidos por dicho patrono, de ahí la importancia de crear mecanismos en los cuales se deje en evidencia que el Trabajador ha sido informado sobre las politicas de Protección de Datos Personales de la Compañía.

Consecuentemente, con la entrada en vigenia de las Politicas de de actuación y manejo de datos personales publicadas en septiembre de este año por la ACE, se vuelve prioritario el realizar una revisión integral de los diferentes documentos que son utilizados mayormente como el marco legal contractual en materia laboral, todo ello como parte de la Politica General de Protección de datos personales de la compañía, máxime si el estandar a utilizar es la ISO 27001.

Consecuentemente sugerimos revisar y actualizar los siguientes documentos, así como tomar las siguientes acciones: 

El poder de dirección (art. 31 númeral 1 del  Código de Trabajo) otorga al empleador facultades de supervisión, pero la LPDP impone límites de proporcionalidad y finalidad.

Las medidas de vigilancia (cámaras, GPS, monitoreo de correos) deben ser:

• Necesarias para un fin legítimo (seguridad o control de productividad);
• Idóneas, sin invadir la vida privada;
• Proporcionadas, evitando intromisiones excesivas;
• Transparentes, informadas previamente al trabajador.

Estas directrices armonizan la autoridad del empleador con el derecho a la intimidad y dignidad del trabajador.

Las politicas pubicadas por la ACE exigen la realización de auditorías internas periódicas, mecanismos de denuncia y actualización constante de políticas, por tanto, es indispensable contar con un Delegado de Protección de Datos (DPDP), quien deberá de trabajar junto con el Departamento Legal y de Recursos Humanos del Patrono, y ademas liderar este proceso, actuado como enlace ante la ACE.

El incumplimiento a las obigaciones relativas a la Protección de Datos Personales puede acarrear sanciones administrativas, civiles o incluso penales; por ello, el enfoque proactivo de cumplimiento (accountability) se vuelve esencial: las empresas deben demostrar documentalmente que aplican medidas de prevención, formación y control.

Una pieza fundamental de todo sistema normativo interno de una organización, es la capaciadad de esta de lograr que el mismo no quede en letra muerta, sino su cumplimiento pueda ser llevado a cabo a cabalidad, metiante lo que se conoce como Enforcement o capacidad de hacer valer dicha normativa de manera que en caso de incumplimiento, puedan haber sanciones, el desafio esta en como realizar este proceso, sin pasar por sobre los derechos de los trabajadores.

Fundamento jurídico del poder de enforcement en materia laboral.

El Código de Trabajo otorga al patrono facultades de dirección, organización y disciplina , dentro de estas, se encuentra la facultad reglamentaria, que le permite dictar normas internas para el buen funcionamiento de la empresa.

Esta faculad incluye la capacidad de:

• Emitir reglamentos, políticas y códigos internos;
• Establecer medidas disciplinarias;
• Exigir su cumplimiento bajo sanción (siempre que se ajusten a la ley y sea proporcional).

En ese sentido, las políticas de privacidad, confidencialidad y seguridad de la información forman parte legítima del marco interno de cumplimiento, y su enforcement está plenamente dentro de las facultades del empleador.

Incorporación al Reglamento Interno de Trabajo.

El artículo 303 Codigo de Trabajo dispone que el Reglamento Interno de Trabajo debe contener normas que regulen las condiciones laborales, obligaciones y sanciones aplicables.

Todo Patrono puede y debe incorporar dentro de su reglamento interno de trabajo un Capítulo específico sobre Protección de Datos Personales, que incluya:

• Deber de confidencialidad sobre la información personal de empleados, clientes y terceros.
• Obligación de acatar las políticas y protocolos de seguridad.
• Prohibición de divulgar o usar información fuera del ámbito laboral.
• Procedimiento disciplinario por incumplimiento.

Este reglamento, debidamente aprobado por el Ministerio de Trabajo, se convierte en la base jurídica del enforcement interno.

Sanciones y medidas disciplinarias.

Conforme al artículo 31 numerales 4º y 12º del Código de Trabajo, la infracción a las políticas de protección de datos, una vez estas hayan sido incorporadas dentro del reglamento interno de trabajo,  puede calificarse como falta grave cuando:

• El trabajador divulga o utiliza indebidamente información confidencial;
• Accede a sistemas o bases de datos sin autorización;
• Elimina o manipula registros digitales;
• Desatiende las instrucciones de seguridad impartidas por la empresa.

En estos casos, el empleador puede aplicar sanciones proporcionales, desde amonestaciones escritas hasta la terminación del contrato sin responsabilidad, siempre garantizando el debido proceso interno.

La base jurídica del enforcement es clara, el patrono tiene no solo el derecho, sino la obligación de garantizar la seguridad y confidencialidad de los datos personales tratados dentro de la empresa.

Negligencia o tolerancia ante violaciones de privacidad podrían, incluso, comprometer la responsabilidad del empleador ante la ACE o ante los titulares de datos.

Mecanismos de enforcement complementarios.

Además de las sanciones, las empresas deben implementar mecanismos de cumplimiento preventivo:

• Capacitación obligatoria y evaluaciones anuales sobre protección de datos.
• Firmas de compromisos individuales de confidencialidad.
• Controles tecnológicos (bloqueos de acceso, auditorías de logs, monitoreo de incidentes).
• Reportes disciplinarios al Delegado de Protección de Datos.

Estos mecanismos fortalecen la trazabilidad del cumplimiento y la responsabilidad individual del trabajador.

El equilibrio con los derechos fundamentales.

El enforcement interno no debe convertirse en una herramienta de abuso o vigilancia excesiva.
 Toda sanción o medida de control debe respetar los principios de legalidad, necesidad y proporcionalidad, evitando intromisiones innecesarias en la vida privada del trabajador.

La finalidad es fomentar una cultura de responsabilidad compartida, no de castigo.
 El cumplimiento debe basarse en la educación, la concienciación y la coherencia organizacional, más que en la represión disciplinaria.

El nuevo marco normativo salvadoreño —integrado por la Ley para la Protección de los Datos Personalesm sus politicas y el Código de Trabajo— redefine el equilibrio entre productividad, control empresarial y derechos fundamentales.

La protección de datos personales se convierte en un deber bidireccional: el empleador como garante y el trabajador como custodio.

El enforcement interno de las políticas de privacidad forma parte de las facultades legítimas del empleador, siempre que se ejerza con transparencia, proporcionalidad y respeto al debido proceso.

Así, la empresa no solo cumple la ley, sino que fortalece su cultura ética y su reputación corporativa en una era donde la confianza digital es el nuevo capital reputacional.

Ambos encabezan un equipo interdisciplinario especializado en:

• Derecho Coporativo Laboral,
• Diagnóstico y auditoría de cumplimiento de la LPDP y   sus Políticas;
• Adaptación documental (contratos, reglamentos, políticas internas y cláusulas de confidencialidad);
• Implementación de sistemas ISO 27001;
• Asesoría legal en incidentes de ciberseguridad y gestión de brechas.

¿Cómo puede ECIJA ayudar a su empresa?

El nuevo marco salvadoreño impone obligaciones concretas: toda organización que trate datos de empleados, clientes o proveedores debe contar con políticas internas, registros, protocolos de seguridad y canales ARCO-POL.

Artículo escrito por Carlos Gil, socio del área de Derecho Corporativo de ECIJA El Salvador.