UNIVERSIDAD DON BOSCO VICERRECTORÍA ACADÉMICA FACULTAD DE INGENIERÍA TRABAJO DE GRADUACIÓN PARA OPTAR AL GRADO DE Maestro(a) en Seguridad y Gestión de Riesgos Informáticos PROYECTO Marco de trabajo para la implementación de buenas prácticas de privacidad de los datos en e-commerce B2C de las empresas privadas de El Salvador PRESENTADO POR Luis Josué Chávez Vigil Evert Neftaly Juárez Sánchez Jorge Alberto Zelaya Ulloa ASESOR Mg. Leonardo José Castillo Perla Antiguo Cuscatlán, La Libertad, El Salvador, Centro América Julio 2021 Contenido 1 Introducción .......................................................................................................................... 1 2 Planteamiento del problema ................................................................................................ 3 3 Objetivos ............................................................................................................................... 5 3.1 Objetivos General .......................................................................................................... 5 3.2 Objetivos Específicos ..................................................................................................... 5 4 Justificación ........................................................................................................................... 6 5 Antecedentes ........................................................................................................................ 7 5.1 Comercio electrónico a nivel global .............................................................................. 7 5.2 Comercio electrónico en El Salvador ............................................................................. 8 5.3 Marco Legal a nivel global ............................................................................................. 9 5.4 Marco Legal en El Salvador ......................................................................................... 11 5.5 Reglamento General de Protección de Datos (GDPR) en Latinoamérica .................... 14 6 Estado del Arte .................................................................................................................... 16 7 Metodología de la investigación ......................................................................................... 23 7.1 Método de la investigación ......................................................................................... 25 7.2 Definición de la población o muestra ......................................................................... 27 7.2.1 Selección de la muestra....................................................................................... 28 7.2.2 Cálculo del tamaño de la muestra ....................................................................... 29 7.3 Contexto de la investigación ....................................................................................... 30 7.4 Instrumentos de recolección de datos ........................................................................ 31 7.5 Análisis de los datos .................................................................................................... 32 8 Resultados ........................................................................................................................... 33 8.1 Análisis de resultados .................................................................................................. 33 8.2 Presentación de resultados ......................................................................................... 34 8.2.1 Políticas de privacidad recolectadas de los sitios sometidos al estudio ............. 35 8.2.2 Sondeo general sobre privacidad de datos ......................................................... 38 8.2.3 Buenas prácticas de privacidad de datos ............................................................ 42 8.2.4 Políticas de privacidad de datos que cumplen con la legislación nacional y normativas internacionales ................................................................................................. 43 8.2.5 Propuesta de solución ......................................................................................... 53 9 Alcances ............................................................................................................................... 54 10 Limitaciones .................................................................................................................... 54 11 Presupuesto .................................................................................................................... 55 12 Situación Actual ............................................................................................................... 56 13 Planteamiento de la solución .......................................................................................... 58 14 Requerimientos del marco de trabajo ............................................................................ 59 15 Estructura del marco de trabajo ..................................................................................... 60 16 Funciones del marco de trabajo ...................................................................................... 61 17 Recomendaciones para la implementación del marco de trabajo ................................. 62 17.1 Recomendaciones generales ....................................................................................... 62 17.2 Recomendaciones de ejecución .................................................................................. 62 17.3 Recomendaciones de software ................................................................................... 62 18 Leyes sobre privacidad de datos analizadas ................................................................... 64 18.1 Ley de regulación de los servicios de información del historial crediticio. ................. 64 18.2 Ley de telecomunicaciones. ........................................................................................ 64 18.3 Ley de protección al consumidor. ............................................................................... 65 18.4 Ley especial contra delitos informáticos y conexos. ................................................... 65 18.5 Ley de Acceso a la Información Pública. ..................................................................... 66 18.6 Ley integral de protección contra la niñez. ................................................................. 66 18.7 Ley de Comercio Electrónico. ...................................................................................... 66 18.8 Ley de Protección de Datos Personales (Propuesta)................................................... 67 19 Buenas prácticas internacionales de privacidad de datos .............................................. 68 19.1 GDPR ............................................................................................................................ 68 19.2 Análisis GDPR .............................................................................................................. 70 19.3 LGPD (Brasil) ................................................................................................................ 78 19.4 Análisis LGPD ............................................................................................................... 80 19.5 Generalidades de Normativas Internacionales ........................................................... 84 20 Conclusiones.................................................................................................................... 85 21 Referencias Bibliográficas ............................................................................................... 87 22 Glosario ........................................................................................................................... 91 23 Anexos ............................................................................................................................. 92 23.1 Empresas sometidas al estudio ................................................................................... 92 23.2 Lista de buenas prácticas privacidad de los datos de las empresas sometidas a estudio ................................................................................................................................... 126 23.3 Normativas sometidas a estudio ............................................................................... 129 23.3.1 Normativa GDPR ................................................................................................ 129 23.3.2 Normativa LGPD ................................................................................................ 139 23.3.3 Comparativa GDPR con la legislación nacional vigente .................................... 144 23.3.4 Comparativa GDPR con la legislación nacional en estudio ............................... 156 Lista de Ilustraciones Ilustración 1 Desarrollos legislativos recientes ........................................................................... 17 Ilustración 2 Ilustración 1 Marco de referencia del GDPR, Recuperado de: https://www.anda.cl/wp-content/uploads/2019/12/ANDA_Mayo2019-2.pdf ......................... 17 Ilustración 3 Proceso cualitativo, tomado de Metodología de la Investigación, p. 7, Hernández Sampieri, Fernández y Baptista (2014) ....................................................................................... 24 Ilustración 4 Cálculo para el tamaño de la muestra, extraído de https://www.urural.edu.gt/wp- content/uploads/2010/09/Calculo_muestra_cualitativa.pdf ..................................................... 29 Ilustración 5 Empresas que especifican uso de cookies.............................................................. 39 Ilustración 6 Empresas que solicitan consentimiento expreso ................................................... 40 Ilustración 7 Empresas que permiten rectificación de datos personales ................................... 40 Lista de Tablas Tabla 1 Clasificación de empresas según BCR, extraído de https://www.bcr.gob.sv/bcrsite/uploaded/content/category/980618906.pdf ......................... 28 Tabla 2 Cuadro resumen políticas de privacidad Super Selectos ................................................ 36 Tabla 3 Cuadro resumen políticas de privacidad ADOC .............................................................. 37 Tabla 4 Cuadro resumen de las empresas sometidas a estudio ................................................. 39 Tabla 5 Cuadro resumen de las preguntas generadas ................................................................ 41 Tabla 6 Cuadro resumen de buenas prácticas de privacidad de datos ....................................... 43 Tabla 7 Síntesis GDPR .................................................................................................................. 44 Tabla 8 Síntesis LGPD .................................................................................................................. 45 Tabla 9 Generalidades de normativas internacio ................................................................... nales ..................................................................................................................................................... 46 Tabla 10 Cuadro comparativo de leyes nacionales vigentes sobre protección de datos y normativas sometidas a estudio ................................................................................................. 48 Tabla 11 Cuadro comparativo de leyes en estudio sobre protección de datos y normativas internacionales ............................................................................................................................ 52 Tabla 12 Presupuesto .................................................................................................................. 55 Tabla 13 Análisis GDPR ................................................................................................................ 77 Tabla 14 Análisis LGPD ................................................................................................................ 83 Tabla 15 Generalidades de normativas internacionales ............................................................. 84 Tabla 16 Grupo Callejas S.A. de C.V. ........................................................................................... 93 Tabla 17 La Constancia, LTDA. de C.V. ...................................................................................... 100 Tabla 18 Boquitas Diana ............................................................................................................ 102 Tabla 19 Almacenes Siman S.A. de C.V. .................................................................................... 103 Tabla 20 Inversiones Vida, S.A. de C.V. ..................................................................................... 104 Tabla 21 Empresas ADOC, S.A. de C.V. ...................................................................................... 105 Tabla 22 Almacenes Vidrí, S.A. de C.V. ...................................................................................... 106 Tabla 23 Pollo Campero S.A. ..................................................................................................... 111 Tabla 24 Alimentos y Turismo S.A. de C.V. ................................................................................ 113 Tabla 25 CTE, S.A. de C.V. .......................................................................................................... 116 Tabla 26 Telemovil de El Salvador, S.A. de C.V. ........................................................................ 119 Tabla 27 Omnisport S.A. de C.V. ............................................................................................... 120 Tabla 28 LifeMiles LTD............................................................................................................... 125 Tabla 29 Lista de buenas prácticas ............................................................................................ 128 Tabla 30 Normativa GDPR ......................................................................................................... 138 Tabla 31 Normativa LGPD ......................................................................................................... 144 Tabla 32 Comparativa GDPR con Legislación Vigente ............................................................... 155 Tabla 33 Comparativa GDPR con Legislación en Estudio .......................................................... 168 Dedicatorias Sobre todo, agradezco a Dios, por haberme permitido finalizar mis estudios de especialización, por darme la salud y un trabajo que fue fundamental para alcanzar un objetivo más de vida. Gracias a mi padre que desde el cielo siempre ha estado acompañándome de forma incondicional, a mi madre y familia que siempre tiene un espacio en la oración para pedir por mi bienestar. A mis colegas, que durante estos dos años han formado parte de este selecto grupo como grandes profesionales a quienes admiro, de quienes he aprendido a crecer académicamente y como persona. A cada docente que ha compartido su experiencia laboral y conocimientos académicos para formar profesionales que brinden un apoyo a la sociedad y sobre todo con principios morales que aporten un cambio para las nuevas generaciones. Evert Neftaly Juárez Sánchez Primero ante todo permitirme darle gracias a Dios, por ser el inspirador y darme fuerza para continuar en este proceso, para obtener uno de los anhelos más deseados, posibilitarme llegar hasta este momento tan importante de mi formación profesional. Le agradezco a los docentes, quienes se han tomado el arduo trabajo de transmitir sus diversos conocimientos, especialmente del campo y de los temas que corresponden a mi profesión a lo largo de la maestría. A todas las personas que me han apoyado y han hecho que el trabajo se realice con éxito, en especial a aquellos que me abrieron las puertas y compartieron sus conocimientos y experiencias conmigo. Jorge Alberto Zelaya Ulloa Le agradezco a Dios, por ser mi fortaleza, mi inteligencia, mi sabiduría, lo cual cambio rotundamente mis decisiones y mi vida en general, por su presencia en cada momento, y por colocar a las personas correctas en mi camino, las cuales, han sido mi soporte y compañía durante todo el periodo de estudio. A mi familia, de manera muy especial a mis padres, Luis Enrique Chávez González y Ana Olivia Vigil de Chávez, gracias a su esfuerzo y apoyo incondicional, me han impulsado todos estos años, por sus buenos consejos, apoyo, confianza y cariño. A mis hermanos, gracias por su apoyo incondicional, por compartir momentos de felicidad y tristezas, por sus consejos que me han sido muy útiles para salir adelante. A mi esposa, Marcela Catalán, por todo su apoyo incondicional, por estar siempre en los momentos de felicidad y tristeza, por su cariño y comprensión que me han animado a culminar mi carrera. A mis hijas, Marcela Sofía y Alicia Lucía, por llenar mi vida de felicidad, alegría y amor, y por ser una fuente de inspiración para siempre cumplir con mis metas personales y profesionales. A mis colegas de trabajo de grado, Evert Juárez y Jorge Zelaya, gracias por su amistad, paciencia, tolerancia e inteligencia para saber llevar las cosas, admiro su trabajo y su dedicación. A nuestro asesor, Mg. Leonardo Castillo, por su paciencia, disponibilidad, generosidad para compartir sus experiencias y amplios conocimientos y por su constante motivación durante el desarrollo del trabajo de investigación. A los docentes, por haber participado en mi desarrollo académico, haber transmitido sus conocimientos y formar parte esencial del desarrollo profesional. Luis Josué Chávez Vigil 1 1 Introducción Los datos personales están compuestos por cualquier información relativa a una persona determinada, éstos, pueden estar organizados según su nacionalidad, domicilio, dirección electrónica, número telefónico, número de identificación personal, número de identificación tributaria, entre otros, de igual manera, existen datos de carácter sensibles que conllevan información referente al origen racial y étnico, orientación política, orientación sexual, entre otros. Con lo descrito anteriormente, las empresas deben considerar la importancia del tratamiento adecuado de la información personal de los usuarios, es decir, dicha manipulación de datos debe cumplir con los parámetros legales, al mismo tiempo que se permita a los titulares mantener el control de estos. Un detonante que influyó directamente en el incremento de la demanda del comercio en línea fue la expansión de la pandemia del covid-19, razón por la que un gran número de empresas automatizaron sus modelos de negocios, tomando como base las transacciones business to consumer, de modo que el consumidor realice sus compras sin necesidad de salir de casa y exponerse al virus. En ese sentido, las soluciones informáticas contribuyeron notablemente en la actividad comercial, facilitando tareas a los actores involucrados, optimizando los recursos y apoyando fuertemente el logro de los objetivos corporativos. De ahí que la temática principal de la presente investigación sea la privacidad de los datos personales, con mayor atención en las prácticas que las organizaciones deben implementar para el resguardo y tratamiento de la información personal. El primer capítulo se define la problemática actual respecto a la protección de datos, las justificaciones para la elaboración de un marco de trabajo que permita la implementación de buenas prácticas de privacidad, los objetivos específicos, alcances, los factores que limitaron la investigación y una descripción general de la ley vigente sobre la privacidad de datos en El Salvador. En el segundo capítulo se detalla la metodología de investigación y la clasificación los e- commerce sometidos a estudio, tomando como base las políticas de privacidad y el uso de cookies, además, se presentan los resultados obtenidos. 2 En el tercer capítulo se enumeran los requerimientos necesarios para la ejecución del marco de trabajo de buenas prácticas de privacidad aplicables a toda empresa privada que trabaje bajo la modalidad e-commerce B2C. De modo que, en el cuarto capítulo se presentan las buenas prácticas de privacidad identificadas en los sitios sometidos a estudio como los pilares para la construcción del marco de trabajo. Es de mencionar, que dichas prácticas se dispusieron a la legislación nacional y las recomendaciones de reglamentos internacionales como el Reglamento General de Protección de Datos (GDPR), Ley General de Protección de Datos (LGPD), entre otros. Finalmente, el último capítulo presenta los resultados obtenidos de la investigación acorde a los elementos descritos en los capítulos anteriores para dar paso así a las conclusiones generales. Cabe mencionar, que para el desarrollo de la investigación se tomaron en cuenta diferentes fuentes bibliográficas, con el propósito de fundamentar la temática principal, al mismo tiempo, se aplicaron estudios a diferentes empresas del sector comercial salvadoreño catalogadas como grandes que utilizan el comercio electrónico para sus transacciones con los usuarios. 3 2 Planteamiento del problema Actualmente, muchas empresas transnacionales hacen uso del comercio electrónico, pero carecen de un marco de trabajo orientado al cumplimiento de la reglamentación internacional estipulada para el tratamiento y protección de datos personales obtenidos de sus clientes, esto resultado de la falta de conocimiento sobre dicho tema y, en consecuencia, hacen uso de políticas de privacidad arbitrarias, sin fundamento alguno en la legislación nacional y los organismos internacionales correspondientes. En este contexto, surgen preguntas como ¿En El Salvador se conocen y aplican leyes para la protección de datos personales? ¿Se cuenta con entidades que velen por el cumplimento de dichas leyes? ¿Existen guías o marcos de trabajo para implementar políticas de privacidad? Además, ¿Cuáles son las buenas prácticas que recomiendan las normas, regulaciones, comunidad internacional, métodos y experiencias relacionadas a la privacidad de los datos en el comercio electrónico? Si bien, la legislación salvadoreña ha evolucionado con el pasar del tiempo, encontramos algunos vacíos legales que respalden la regulación de protección de datos y promuevan las buenas praxis en las empresas que hacen usos de estos. A diferencia de la Unión Europea (UE), El Salvador muestra un atraso considerable en lo que al tema se refiere, ya que la UE, desde el 2018 aplica el Reglamento General de Protección de Datos (GDPR) con el objetivo de que toda empresa opere bajo un marco legal y los datos personales de los individuos sean tratados de manera correcta, y a su vez tengan control sobre la información que ellos mismos han brindado. Hasta la fecha, El Salvador no dispone de una organización que regule el comercio electrónico, mucho menos de una ley como la anteriormente mencionada. Sin embargo, tanto la Comisión Nacional para la Sociedad de la Información como consultores nacionales e internacionales abrieron la brecha para consolidar un Anteproyecto de Ley de Comunicación y Firma Electrónica, con la que se busca dar legalidad a todas las transacciones electrónicas en el país. Sin embargo, es importante hacer notar que desde el 2019 El Salvador busca la creación de una legislación a favor de la protección de datos. Para enero del 2021, la Comisión de Economía aprobó 44 artículos de un total de 80 que contiene el proyecto de Ley de Protección de Datos Personales, pero es hasta en marzo del mismo año, que dicha Comisión buscó consenso con representantes de los diferentes institutos políticos que integran la Asamblea Legislativa y aprobar así una Ley para la Creación de la Autoridad Nacional Digital, y una Ley de 4 Protección de Datos Personales de las Personas Naturales. No obstante, pese a esta iniciativa de ley necesaria en el país, este último intento ha sido revocado en el mes de mayo del 2021 mediante el veto del presidente de la república. Con la llegada de la pandemia del Covid-19 y las estrictas cuarentenas al inicio de esta, fue más que evidente la adaptación de un buen número de empresas privadas que trabajan bajo la modalidad de comercio electrónico de tipo B2C (venta en línea de productos o servicios) en el territorio salvadoreño. Pero, ante la ausencia de una ley y autoridades competentes para la implementación de buenas prácticas de privacidad de datos de los usuarios, es fácil deducir que, en nuestro país, existen empresas que incumplen leyes nacionales vigentes (Ley de comunicaciones, Ley del consumidor, Ley de acceso a la información, Ley contra delitos informáticos, Ley del historial crediticio, Ley del comercio electrónico e incluso la Ley contra la protección de la niñez) relacionadas al resguardo y tratamiento de la información personal recogida mediante plataformas web. Así pues, muchas empresas carecen de principios, métodos o tecnologías que garanticen la confidencialidad y buen uso de la información dada y son incapaces de asegurarle al individuo una mayor protección y un uso correcto de sus datos. A esto, hay que sumarle la poca participación por parte de las autoridades competentes para velar que las empresas manejen la información personal lo más confidencial posible, por ejemplo, respetando las cláusulas de contratos compra - venta y el listado de cookies en los sitios web, evitando multas cuantiosas para la empresa. Por consiguiente, a mayor número de empresas nacionales o trasnacionales adaptando el modelo compra-venta de productos o servicios a través del internet y, ante la falta de una ley y un organismo que regule la protección y buen uso de datos en el territorio salvadoreño, mayores serán las violaciones de leyes nacionales e internacionales infringidas, resultado de la ignorancia y malas praxis del tratamiento de información personal de los usuarios. Debido a que, en los comercios en línea, el intercambio de datos financieros es sumamente importante, es vital la integridad de los datos y seguridad de estos, problemática que debe ser resuelta a la mayor brevedad posible en el país, en especial, porque el modelo de negocio B2C está creciendo a pasos agigantados y cada vez son más los salvadoreños que lo implementan en sus emprendimientos. 5 3 Objetivos 3.1 Objetivos General Construcción de un marco de trabajo para la implementación de buenas prácticas de privacidad de datos en e-commerce B2C (business to consumer) de la empresa privada de El Salvador. 3.2 Objetivos Específicos 1. Identificar las plataformas web de los e-commerce B2C de la empresa privada del sector comercial de El Salvador donde se almacenan los datos personales. 2. Evaluar si las políticas de privacidad de datos sobre las plataformas web de los e- commerce B2C de la empresa privada se apegan a la legislación nacional y a mejores prácticas en el tema de privacidad. 3. Estructurar el marco de trabajo para la implementación de buenas prácticas de privacidad de datos. 6 4 Justificación En la última década, todo emprendimiento exitoso de bienes y servicios está ligado a las compras en línea, yendo más allá de las plataformas web. Con la llegada de la pandemia del covid-19, muchas empresas se vieron en situaciones críticas, debido a la limitante de la falta de contacto directo con sus clientes (de forma física) con la que se venía trabajando desde décadas atrás, pero, de igual manera, lograron mantener a flote el negocio promocionando sus productos y servicios, cobrarlos y enviarlos a sus clientes valiéndose de herramientas como las redes sociales y aplicaciones móviles. De ahí, la importancia del e-commerce o también conocido como comercio electrónico, para dar solución a las diversas necesidades actuales de los negocios. La elaboración de un marco de trabajo que oriente la implementación de buenas prácticas en un comercio en línea dentro de las empresas salvadoreñas privadas es la propuesta más viable, mientras se resuelve la falta de una ley y un organismo que regule la protección y buen uso de datos personales. Dicho marco debe considerar la privacidad de los datos, cuando se almacena información sensible de los clientes en los servidores de la empresa propietaria del comercio electrónico o en las bases de datos de un tercero al que se le paga por este servicio, por lo que se debe partir desde la toma de una muestra de las políticas de privacidad establecidas por las empresas privadas en sus sitios web y determinar así la condición actual de garantía de protección en relación a la problemática a resolver. Dado que la privacidad, toma especial relevancia cuando hablamos de información confidencial del usuario, tales como, tarjetas de crédito, números de teléfono, direcciones, números de documento personal, entre otros, que pueden o no estar almacenados de forma segura. Existen muchas plataformas, algunas desarrolladas a la medida, otras personalizadas a partir de un modelo estándar, sin embargo ¿Cuántas de estas plataformas cumplen la legislación nacional en materia de privacidad de datos?, ¿Cuántas cumplen con las buenas prácticas recomendadas por la comunidad internacional? Por tal razón, adoptar un marco de trabajo de buenas prácticas de privacidad de datos para su implementación en e-commerce de la empresa privada, que se apegue a la legislación nacional y a las prácticas recomendadas por la comunidad internacional, se vuelve de gran importancia para El Salvador. 7 5 Antecedentes 5.1 Comercio electrónico a nivel global Los orígenes del Comercio Electrónico se remontan a los años 20´s y 30´s1 del siglo XX con las ventas por catálogos, las cuales en su momento tuvieron un gran impacto en Estados Unidos. Si bien, esta modalidad de compra-venta no funcionó exactamente como un negocio en línea como lo conocemos actualmente, sentó las bases de este, especialmente por el simple hecho de prescindir físicamente de los clientes en las tiendas para realizar las transacciones comerciales. De esta manera el consumidor podía comprar directamente desde casa sin necesidad de desplazarse al almacén o centro comercial e interaccionar con un vendedor para comprar el artículo de su preferencia, innovando así, la forma de vender productos. Un poco antes las ventas por catálogo, en el año de 1914 surgió una forma de pago diferente, Western Unión lanzó al mercado una herramienta financiera: la primera tarjeta de crédito, la cual inmediatamente fue patentada y autorizada para su uso, pero no fue hasta los años 50’s que esta nueva forma de pago tomo popularidad entre el público consumista brindando una accesibilidad, valor y utilidad2. Gracias al hecho de que no había necesidad de presentar ni tener dinero físico en grandes cantidades para poder pagar sus productos o servicios. El uso en ascenso de la tarjeta de crédito fue clave en la historia del comercio en línea, concretamente en el desarrollo del modelo B2C, impulsando las ventas por directorio realizadas desde casa, desasociado del modelo tradicional de tienda. Sin embargo, fueron dos nuevos procesos los permitieron a las empresas aumentar su competitividad e incorporar el comercio electrónico a su actividad comercial diaria: Las transferencias monetarias (principios de 1970) y posteriormente, el intercambio de datos electrónicamente. 1 Cárdenas, J. (12 febrero, 2021). Conoce la historia del comercio electrónico y cómo ha evolucionado hasta hoy. Rock Content - ES. Recuperado el 22 mayo 2021. Disponible en: https://rockcontent.com/es/blog/historia-del- comercio-electronico/ 2 Cárdenas, J. (12 febrero, 2021). Conoce la historia del comercio electrónico y cómo ha evolucionado hasta hoy. Rock Content - ES. Recuperado el 22 mayo 2021. Disponible en: https://rockcontent.com/es/blog/historia-del- comercio-electronico/ https://rockcontent.com/es/blog/historia-del-comercio-electronico/ https://rockcontent.com/es/blog/historia-del-comercio-electronico/ https://rockcontent.com/es/blog/historia-del-comercio-electronico/ https://rockcontent.com/es/blog/historia-del-comercio-electronico/ 8 En la década de 1980, la televisión comenzó a emitir programas de televenta, introduciendo al consumidor en un mundo de con un mayor dinamismo y realismo que los productos de catálogo, lo que significó un éxito rotundo para los negocios y empresas emergentes. Como resultado, con la utilización de los computadores en las relaciones comerciales, guardar, archivar, intercambio de órdenes de pedido o facturas3, se expandió por todo el sector favoreciendo el nacimiento del comercio electrónico tal cual lo conocemos en la actualidad. 5.2 Comercio electrónico en El Salvador El comercio en línea en El Salvador tiene lugar en el año de 1998 y se adopta como una opción novedosa de venta-compra de artículos o servicios por medio del internet. Justamente para ese año, el país contaba con dieciséis proveedores de conectividad a internet. Simultáneamente, ese mismo año, surgieron tres sitios nacionales, que, para ser los primeros, realizaron exitosamente el comercio electrónico desde El Salvador: 1. latienda.com.sv: El sitio ofrecía una diversidad de libros, música y artesanías salvadoreñas. 4 2. eduviges.com.sv: En este sitio se encontraba la historia de la Empresa y los productos que eran ofrecidos al público. 5 3. farmacia.com.sv: Sitio en el cual se ofrecían productos farmacéuticos y certificados de regalos. Un año más tarde, en 1999, Almacenes Simán, se convirtió en pionero del Comercio Electrónico en El Salvador al abrir operaciones a través de su sucursal virtual: www.siman.com.sv. Este contexto, permitió que a diario más usuarios se van uniendo a la cultura de compras por Internet buscando adquirir productos en cualquier punto del mundo. 3 Cárdenas, J. (12 febrero, 2021). Conoce la historia del comercio electrónico y cómo ha evolucionado hasta hoy. Rock Content - ES. Recuperado el 22 mayo 2021. Disponible en: https://rockcontent.com/es/blog/historia-del- comercio-electronico/ 4 5 Fuente obtenida en: de Paz Portillo, S., Salgado Quintanilla, L. y Tutila Argueta, J., 2010. OPERACIONES DE COMERCIO ELECTRÓNICO Y SU INCIDENCIA TRIBUTARIA. 1st ed. San Salvador: Universidad de El Salvador, p.2-4. Recuperado el 12 febrero 2021. en: http://ri.ues.edu.sv/id/eprint/11492/1/D419o.pdf https://rockcontent.com/es/blog/historia-del-comercio-electronico/ https://rockcontent.com/es/blog/historia-del-comercio-electronico/ http://ri.ues.edu.sv/id/eprint/11492/1/D419o.pdf http://ri.ues.edu.sv/id/eprint/11492/1/D419o.pdf 9 Así, el comercio electrónico creció a un ritmo impresionante, muchas empresas fueron registrando un increíble aumento de usuarios y paquetes. Por ejemplo, Aerocasillas, empresa especialista en logística y asesorías de compras por internet, reportó un considerable incremento en las ventas por internet en el país con porcentajes de 40% a 45% entre 2012 y 2013. Así pues, conforme fueron creciendo las compras en línea, El Salvador también optó por implementar estrategias de marketing para el comercio online, entre las que podemos mencionar el Black Friday y Cyber Monday. Gracias a la popularización de las compras en línea muchos salvadoreños perdiendo el miedo a realizar compras utilizando tarjetas de crédito o débito, logrando identificar con facilidad las páginas más seguras y confiables e identificando las metodologías que se presentan los fraudes en internet. Como resultado del incremento de compras online y el uso de tarjetas de crédito o débito, Citibank El Salvador ha sido uno de los bancos más beneficiados, registrando un incremento de tarjetahabientes del 21% en comparación de otros años. Citibank, al igual que otros bancos a nivel nacional, vieron una oportunidad de poder ampliar sus fronteras aprovechando a brindarle información a sus clientes sobre las diferentes ofertas de comercios, múltiples bienes y servicios a través de sus plataformas en línea y brindando una flexibilidad a la hora de realizar compras con cualquiera de las tarjetas asociadas. 5.3 Marco Legal a nivel global El Tratado de Libre Comercio que se firmó entre Estados Unidos, Centroamérica y República Dominicana está conformado por veintidós capítulos, que fueron divididos en seis grupos: a) Asuntos institucionales y de administración b) Comercio de bienes c) Comercio de servicios e inversión d) Telecomunicaciones e) Contratación pública de bienes y servicios f) Propiedad intelectual Es importante mencionar que la tercera clasificación se encuentra constituida por cinco capítulos relacionados al Comercio Transfronterizo de Servicios, Servicios Financieros, 10 Telecomunicaciones y Comercio Electrónico; en estos capítulos se establece el marco jurídico de protección a los inversionistas, así como la regulación del comercio de servicios 6 Para el Tratado de Libre Comercio entre República Dominicana, Centroamérica y los Estados Unidos, conocido por sus siglas en inglés como DR-CAFTA, se deberían de tomar en cuenta los puntos de inversión, debido a que en este apartado se establece el marco jurídico aplicable al comercio electrónico que tiene el objetivo de proteger a los inversionistas. En el artículo 1 del capítulo 14 del DR-CAFTA, el cual se refiere al comercio electrónico menciona que: “Las Partes reconocen el crecimiento económico y la oportunidad que el comercio electrónico genera, la importancia de evitar los obstáculos para su utilización y desarrollo y la aplicabilidad de las reglas de la OMC a medidas que afectan el comercio electrónico”. 7 Es importante tomar en cuenta los artículos 14.5 y 15.5 según DR. CAFTA, porque dan a conocer ciertos aspectos importantes acerca del comercio electrónico que son las siguientes: Respecto a la cooperación: las partes deberán trabajar en conjunto con el fin de superar los obstáculos que enfrentan las medianas y pequeñas empresas en la utilización del comercio electrónico. a) Compartir información y experiencias en torno al empleo de este tipo de comercio, trabajar para mantener los flujos transfronterizos de información, estimular al sector privado a participar activamente en foros hemisféricos y multilaterales que promuevan el comercio electrónico. 8 b) Trabajar en mantener un flujo transfronterizo de información, como un elemento esencial para promover un ambiente dinámico para el comercio electrónico, en este aspecto se plantea un importante reto para las autoridades considerando la vulnerabilidad del traslado de datos vía Internet que representa por el bajo costo de 6 Pacheco, A. and Valerio, F., 2007. DR-CAFTA: aspectos relevantes seleccionados del Tratado y reformas legales que deben realizar a su entrada en vigor los países de Centroamérica y la República Dominicana. México, D. F, p.14-18. Recuperado el 12 febrero 2021 en: https://repositorio.cepal.org/bitstream/handle/11362/5001/1/S0700169_es.pdf 7 República Dominicana, Ministerio de Industria y Comercio. Recuperado el 13 de febrero 2021. en: http://www.seic.gov.do/baseConocimiento/TLCEEUU%20DRCAFTA/Texto%20del%20Tratado%20en%20Español/Ca pítulo%2014.%20Comercio%20Electrónico/DRCAFTA%20Capítulo%2014.%20Comercio%20Electrónico.pdf 8 9 Vanegas Avilés, L. and Castillo, C., 2021- Las particularidades del DR - CAFTA. p.14-18 Recuperado el 13 febrero 2021 en: https://revistas.ucr.ac.cr/index.php/economicas/article/download/7126/6810/ https://repositorio.cepal.org/bitstream/handle/11362/5001/1/S0700169_es.pdf http://www.seic.gov.do/baseConocimiento/TLCEEUU%20DRCAFTA/Texto%20del%20Tratado%20en%20Español/Capítulo%2014.%20Comercio%20Electrónico/DRCAFTA%20Capítulo%2014.%20Comercio%20Electrónico.pdf http://www.seic.gov.do/baseConocimiento/TLCEEUU%20DRCAFTA/Texto%20del%20Tratado%20en%20Español/Capítulo%2014.%20Comercio%20Electrónico/DRCAFTA%20Capítulo%2014.%20Comercio%20Electrónico.pdf https://revistas.ucr.ac.cr/index.php/economicas/article/download/7126/6810/ 11 transferencia, la rapidez, la cantidad de datos transferibles y el tipo de archivos que se pueden incluir. 9 c) Estimular al sector privado para adoptar autorregulación incluso a través de códigos de conducta, modelos de contratos, directrices y mecanismos que incentiven al comercio electrónico. 10 5.4 Marco Legal en El Salvador La legislación del país a través del tiempo ha evolucionado eficazmente. Sin embargo, debido que los procesos cambian en las empresas y no son contemplados por la legislación, es que la Comisión Nacional para la Sociedad de la Información y Consultores Nacionales e Internacionales, elaboró una pauta, con el fin, que en el país se pudieran desarrollar y al mismo tiempo aprovechar el potencial informático, demostrando la necesidad de implementar mejores leyes que protejan al consumidor definiendo tres grandes líneas de trabajo: a) Cómo se regulará la comunicación y firma electrónica. b) La protección de datos. c) Comercio electrónico. De todo eso, lo más importante a destacar es el Anteproyecto de Ley de Comunicación y Firma Electrónica, a partir de ello, se dará legalidad a todas las operaciones electrónicas en el país. 11 En El Salvador se ha creado una iniciativa que busca maximizar el potencial informático con el que se cuenta, para eso es necesario la aprobación de tres leyes, la más importante de ellas es la Ley de Comunicación y Firma Electrónica que será la que respalde todas las transacciones que se realicen de manera electrónica. El comercio electrónico en el país va en aumento y algunos almacenes locales permiten realizar compras en línea, empresas de telefonía ofrecen recarga de saldo en sus páginas web 10 Vanegas Avilés, L. and Castillo, C., 2021- Las particularidades del DR - CAFTA. p.14-18 Recuperado el 13 febrero 2021 en: https://revistas.ucr.ac.cr/index.php/economicas/article/download/7126/6810/ 11 Álvarez Hernández, K., Revelo Calderón, I. and Ruiz Pineda, D., 2013. Aplicación legal práctica para la realización de actividades económicas en el comercio electrónico”. [Universidad Dr. José Matías Delgado, p.43. Recuperado el 13 febrero 2021 en: https://webquery.ujmd.edu.sv/siab/bvirtual/BIBLIOTECA%20VIRTUAL/TESIS/01/MER/ADTESAA0001321.pdf https://revistas.ucr.ac.cr/index.php/economicas/article/download/7126/6810/ https://webquery.ujmd.edu.sv/siab/bvirtual/BIBLIOTECA%20VIRTUAL/TESIS/01/MER/ADTESAA0001321.pdf https://webquery.ujmd.edu.sv/siab/bvirtual/BIBLIOTECA%20VIRTUAL/TESIS/01/MER/ADTESAA0001321.pdf https://webquery.ujmd.edu.sv/siab/bvirtual/BIBLIOTECA%20VIRTUAL/TESIS/01/MER/ADTESAA0001321.pdf 12 o enviando mensajes de texto, pese a esto, si los consumidores no están contentos con el servicio brindado o la transacción, “no existe una institución que pueda defenderlos”. 12 Conviene subrayar que, aunque no exista una organización como tal que regule el comercio electrónico, éste, se ha ido desarrollando de manera gradual. Razón suficiente por la que una ley sobre comercio electrónico se considera clave para que el país crezca en el mercado transnacional. En lo que concierne a la Defensoría de Consumidor, el comercio electrónico como tal no está regulado, y si alguna persona busca un juicio mercantil por una mala experiencia producto de una transacción realizada electrónicamente, ningún juez aceptará como válidos los documentos impresos de las comunicaciones y mucho menos de los correos enviados y recibidos. Debido a que no se cuenta con una ley o institución que regule el comercio electrónico, la documentación u otra información que se recibe o intercambia entre la parte involucras no se consideran como pruebas válidas en caso de que existan diferencias. El abogado Ricardo Cevallos elaboró una solicitud de borrador de un anteproyecto de Ley de Comercio Electrónico en los años 2000, desde su creación hasta el 2001 dicho borrador sufrió tres modificaciones 13, la última de ellas fue en agosto de 2001 y es la que actualmente se encuentra pendiente y es la que se considera vital para lograr integrar a El Salvador al mundo virtual del siglo XXI. A mediados del año 2019, dio inicio el análisis del proyecto de Ley de Comercio Electrónico, cuyo objetivo es definir un marco legal que regule las relaciones de índole comercial, contractuales o no, realizadas por medios electrónicos o tecnológicamente equivalentes entre los proveedores de bienes y servicios por vía electrónica, intermediarios, comunicaciones comerciales, y por los usuarios y clientes. Son un aproximado de quince instituciones las invitadas a participar en el debate. La Comisión de Economía recibió a representantes de la Defensoría del Consumidor (DC) y de la Asociación Salvadoreña de Industriales (ASI). 12 Álvarez Hernández, K., Revelo Calderón, I. and Ruiz Pineda, D., 2013. Aplicación legal práctica para la realización de actividades económicas en el comercio electrónico”. [Universidad Dr. José Matías Delgado, p.43. Recuperado el 13 febrero 2021 en: https://webquery.ujmd.edu.sv/siab/bvirtual/BIBLIOTECA%20VIRTUAL/TESIS/01/MER/ADTESAA0001321.pdf 13 Álvarez Hernández, K., Revelo Calderón, I. and Ruiz Pineda, D., 2013. Aplicación legal práctica para la realización de actividades económicas en el comercio electrónico”. [Universidad Dr. José Matías Delgado, p.44. Recuperado el 13 febrero 2021 en: https://webquery.ujmd.edu.sv/siab/bvirtual/BIBLIOTECA%20VIRTUAL/TESIS/01/MER/ADTESAA0001321.pdf https://webquery.ujmd.edu.sv/siab/bvirtual/BIBLIOTECA%20VIRTUAL/TESIS/01/MER/ADTESAA0001321.pdf https://webquery.ujmd.edu.sv/siab/bvirtual/BIBLIOTECA%20VIRTUAL/TESIS/01/MER/ADTESAA0001321.pdf https://webquery.ujmd.edu.sv/siab/bvirtual/BIBLIOTECA%20VIRTUAL/TESIS/01/MER/ADTESAA0001321.pdf https://webquery.ujmd.edu.sv/siab/bvirtual/BIBLIOTECA%20VIRTUAL/TESIS/01/MER/ADTESAA0001321.pdf https://webquery.ujmd.edu.sv/siab/bvirtual/BIBLIOTECA%20VIRTUAL/TESIS/01/MER/ADTESAA0001321.pdf https://webquery.ujmd.edu.sv/siab/bvirtual/BIBLIOTECA%20VIRTUAL/TESIS/01/MER/ADTESAA0001321.pdf 13 “Este proyecto toma en cuenta la ley modelo sobre comercio electrónico… Esta modalidad tiene implicaciones en la Ley de Protección al Consumidor, por lo que ya hemos aprobado reformas a esa normativa, pero no tenemos un marco legislativo específico sobre el tema” 14, fueron las palabras de la diputada Margarita Escobar (ARENA) presidenta de la mesa legislativa, quien indicó que se debe de incorporar estándares del derecho internacional. Representantes de ambas entidades expusieron sus puntos de vista y mencionaron algunos elementos que consideran necesario incorporar, a fin de garantizar el óptimo funcionamiento del comercio electrónico, entre ellos: La revisión de acuerdos comerciales en lo relativo a la tecnología, la categorización de las empresas de tecnología que operan en el país, la diversidad del comercio electrónico, la creación de legislación que incentive a los diferentes sectores, la regulación de todas las modalidades de transacción, el ordenamiento entre consumidores y proveedores finales, así como las transacciones entre los mismos. Para el diputado Arnoldo Marín (PDC), la normativa es de gran trascendencia, por lo tanto, calificó como positiva la participación de las diferentes instancias en la elaboración de una herramienta más para el desarrollo del país. Por su parte, el diputado José Luis Urías (PCN) señaló la incidencia que la nueva normativa tendrá en todos los niveles, lo cual permitirá mayor desarrollo, enfatizando “El país va avanzando y con esta ley garantizamos y contribuimos a este fin”.15 La diputada del FMLN, Yanci Urbina señaló que “Desde hace varios años, venimos trabajando en la fase normativa del comercio electrónico, porque hasta la fecha ha operado sin un marco regulatorio en el país”, ella también subrayó la necesidad de potenciar la inclusión financiera para que las micro y pequeñas empresas puedan participar en esta modalidad a plenitud. La instancia legislativa recibió en su seno a la ministra de Economía de ese entonces, Luz Estrella Rodríguez, y a su equipo de trabajo, quienes explicaron el contenido de un proyecto de reformas a la Ley de Propiedad Intelectual en lo relativo a los derechos de compra y fabricación de productos protegidos por patentes. 14 Vivas, Jacqueline. (7 mayo, 2019). Inicia análisis del proyecto de Ley de Comercio Electrónico | Asamblea Legislativa de El Salvador. Asamblea Legislativa de El Salvador. Recuperado el 13 febrero 2021 en: https://www.asamblea.gob.sv/node/8847 15 Vivas, Jacqueline. (7 mayo, 2019). Inicia análisis del proyecto de Ley de Comercio Electrónico | Asamblea Legislativa de El Salvador. Asamblea Legislativa de El Salvador. Recuperado el 13 febrero 2021 en: https://www.asamblea.gob.sv/node/8847 https://www.asamblea.gob.sv/node/8847 https://www.asamblea.gob.sv/node/8847 https://www.asamblea.gob.sv/node/8847 https://www.asamblea.gob.sv/node/8847 14 Cada día más usuarios se van uniendo a la cultura de compras por Internet buscando productos de cualquier parte del mundo, permitiendo que el comercio crezca a un ritmo impresionante, proporcionando a usuarios comprar todo tipo de artículos no disponibles en tiendas locales hasta incluso ser capases de venderlos en línea. 5.5 Reglamento General de Protección de Datos (GDPR) en Latinoamérica Latinoamérica cuenta con una amplia presencia de empresas europeas, esto probablemente genere cambios en los reglamentos actuales utilizados por los dichos países, en otras palabras, se tomarán nuevas medidas en la legislación relacionada con la protección de datos. Chile En Chile, la protección de datos personales está regulada legalmente desde el año 1999. La Ley 19.628 controla en términos generales la información de carácter personal por parte de terceros y expone que estos deben contar con una autorización por escrito de su titular, así como comunicar previamente el propósito del almacenamiento de los datos, sin establecer mayores formalidades o requisitos. Sin embargo, la ley vigente carece de una propuesta de métodos de fiscalización, tampoco recogía el tratamiento de información a través de medios digitales, entre otras deficiencias, pero desde hace par de años se encuentra en avanzado trámite legislativo una reforma que propone como elemento central una Agencia de Protección de Datos Personales para velar por el cumplimiento de estos. Colombia Otro país en Latinoamérica que ha tomado iniciativa con la protección de datos es Colombia. Tanto la ley 1581 del 2012 y el decreto 1377 del 2013, regulan la forma en la que se deben proteger los derechos de los titulares de los datos personales y las obligaciones para quienes los recolectan y administran. Además, con anterioridad a estas normas, en el año 2008 se expidió la ley 1266, mediante la cual se reguló especialmente la protección de datos personales relacionados con información crediticia y financiera. En adición a las normas mencionadas, se consignó el decreto 886 de 2014, este reglamentó el Registro Nacional de Bases de Datos, definido como un directorio público de información que debe ser alimentado por los sujetos que recolectan los datos personales. 15 A nivel normativo, se han presentado proyectos de ley que pretenden que la normativa colombiana tenga el mismo alcance internacional que tiene el RGPD (Proyecto de Ley 89 de 2017 Senado). México Las nuevas tecnologías y la web 3.0, la protección de datos personales juega un rol fundamental que es manejado por distintos sistemas legales del país y del mundo. En México, la Ley Federal de Protección de Datos Personales en posesión de los particulares (vigente desde el 6 de julio de 2010) y su reglamento (en vigor desde el 22 de diciembre de 2011), son las principales fuentes de derecho que tienen como finalidad regular el tratamiento legítimo, controlado e informado de los datos personales, para garantizar la privacidad y el derecho a la autodeterminación informativa de las personas. Perú Ha inicios del año 2011, Perú cuenta con una regulación específica en materia de protección de datos personales. La ley 29733 y sus normas reglamentarias aprobadas por decreto supremo (003-2013-JUS), proveen el marco normativo que regula los derechos y las obligaciones aplicables al tratamiento de datos personales a través de dos ejes principales: (1) la protección y garantía de un adecuado ejercicio de los derechos del titular de los datos personales, y (2) el cumplimiento de obligaciones que deberán observar las entidades que incurren en tratamiento de datos personales. En septiembre de 2017, se aprobó una reforma que incluye una nueva clasificación de incumplimientos e infracciones en materia de protección de datos personales. 16 6 Estado del Arte La exploración documental se realizó en bases de datos como IEEEXPLORER, Universidad Andina Simón Bolívar (UASB), SCIELO y Portal de Transparencia de El Salvador; A partir de las siguientes frases claves (privacidad de datos, américa más gdpr, comercio en línea, tratamiento de datos, pandemia más gdpr). Es importante mencionar, que no se encontraron investigaciones sobre algún marco de trabajo de buenas prácticas en privacidad de datos para ecommerce B2C, pero sí se encontró una gran cantidad de iniciativas de leyes relacionadas con el tema, algunas con mayor nivel de madurez que otras y que se basan en el Reglamento General de Protección de Datos (GDPR). La primera observación se realizó a la revista de la Asociación Nacional de Avisadores publicada en mayo/junio 2019; La Federación Mundial de Avisadores (WFA) elaboró en su revista un mapa comparativo de las legislaciones en vigencia y en proyecto alrededor del mundo, en relación con el estándar del reglamento europeo. En resumen, para mayo de 2018, el Reglamento General de Protección de Datos requirió que las grandes empresas realizaran cambios en la forma de procesar y recolectar datos de los consumidores. Desde entonces, nuevas y revisadas leyes de privacidad han estado emergiendo en muchos países. Muchas de estas leyes están evidentemente inspiradas en el GDPR, señalando una tendencia global hacia un “estándar GDPR”. Sin embargo, no es tan simple, aunque algunas leyes toman bastante del GDPR, en muchos países hay significativas diferencias. El paisaje regulatorio todavía es fragmentado: estamos lejos de ver un estándar global, el mapa busca identificar algunas de las tendencias en privacidad de datos que están surgiendo en algunos mercados y cómo se comparan con el reglamento europeo. 17 Ilustración 1 Desarrollos legislativos recientes Ilustración 2 Ilustración 1 Marco de referencia del GDPR, Recuperado de: https://www.anda.cl/wp- content/uploads/2019/12/ANDA_Mayo2019-2.pdf La referencia anterior, nos ayuda a comprender que existe un reglamento para tener en cuenta, debido a su nivel de madurez y alcance global en los últimos años, en ese sentido vale la pena conocer el estado actual de las reformas aplicadas o que están en estudio para los países latinos y, además, cuáles son las nuevas tendencias como lo describe el artículo “La Visión de América Latina sobre el Reglamento General de Protección de Datos” publicado en el año 2019. https://www.anda.cl/wp-content/uploads/2019/12/ANDA_Mayo2019-2.pdf https://www.anda.cl/wp-content/uploads/2019/12/ANDA_Mayo2019-2.pdf 18 En resumen, a partir de la entrada en aplicación del Reglamento General de Protección de Datos de la Unión Europea el 25 de mayo de 2018, casi todos los países latinoamericanos entraron en un proceso de reforma o de creación de nuevas leyes de protección de datos que cumplan con las exigencias del GDPR. La necesidad de cumplir con este nuevo estándar jurídico es indispensable en vista de los procesos de integración y acuerdos de libre comercio que mantienen ambas regiones. Los países de Latinoamérica han seguido casi en su totalidad la visión europea sobre la protección de datos personales, en contraste con otras potencias mundiales con estándares mucho más bajos de protección de la vida privada. Esta influencia de la Unión Europea en Latinoamérica hace que en la actualidad sea indispensable la cooperación entre ambas regiones, para así lograr una alianza estratégica para la transición hacia la cuarta revolución industrial. Considerando que el GDPR se ha convertido en el estándar mundial para frenar la invasión al derecho a la vida privada por parte de corporaciones y gobiernos, América Latina ha dado ya grandes y firmes avances para alinearse con la normativa de la Unión Europea. Esta sincronía sin duda trae grandes pasos también en función del desarrollo del comercio internacional en un área tan crucial como los mercados digitales. Sin duda, ha llegado el momento de acciones concretas entre Latinoamérica y Europa en materia de protección de datos personales. Es necesaria la cooperación de todos, especialmente considerando el desfase de reflexión tecnológica que tiene América Latina con relación a los países de la Unión Europea. Debido a que es inminente adoptar los cambios que conlleva la globalización, es importante conocer la experiencia de los países latinoamericanos con mayor desarrollo en el tema y aprender cuáles serán los retos que se esperan al tratar de crear legislaciones basadas en GDPR y otras buenas prácticas de seguridad. En el siguiente artículo titulado “La Ley General de Protección de Datos Personales en las Empresas Brasileñas: Análisis de Casos Múltiples” se desarrolla un análisis sobre el desafío de la nueva legislación en las empresas. En resumen, el enfoque de la investigación está justificado por las regulaciones establecidas por el estado brasileño para el manejo, procesamiento y almacenamiento de datos personales por parte de las organizaciones. En este sentido, se analiza la capacidad de las organizaciones para cumplir con los marcos regulatorios establecidos por la Ley General de Protección de Datos (LGPD). Al concluir la investigación se determinó que las empresas necesitarán cambios considerables en sus procesos internos de recopilación y almacenamiento de datos, además de 19 cambios profundos en la gestión de la seguridad de la información, los escasos recursos tecnológicos limitan el cumplimiento de la ley, así como el desconocimiento de las mejores prácticas en seguridad de la información. Por lo tanto, al revisar los portales legislativos de cada país de la región Centroamericana, únicamente se encontró que los siguientes países han establecido una ley para la privacidad y protección de la información. Panamá (Ley N°. 81, vigente a partir de marzo 2021), Nicaragua (LEY N°. 787, vigente a partir de marzo 2012), Costa Rica (LEY N°. 8968, vigente a partir de marzo 2013). Otros países como Guatemala y Honduras aún no cuentan con una ley que regule la protección de Datos Personales, sin embargo, algunas normativas establecen un nivel de privacidad de la información. Para el caso de El Salvador existen iniciativas de ley que proponen establecer parámetros para la protección de datos recolectados a través de medios tecnológicos. Mientras se logran acuerdos entre las partes involucradas, existen decretos que contienen artículos para dar privacidad a la información. En la publicación realizada desde el portal web de la firma de auditores “Deloitte” y que lleva por título “Regulación del Comercio Electrónico en El Salvador”, la reforma de ley para la protección al consumidor reconoce la necesidad de regular este tipo de comercio desde dos perspectivas principales: la primera dar a conocer los derechos que tienen los consumidores y la segunda establecer las obligaciones especiales de los proveedores que utilizan la tecnología para ofrecer sus productos y servicios. Algunos derechos establecidos por esta ley son la protección a la publicidad engañosa, la prohibición a compartir información del consumidor, entre otros. De igual manera, podemos incluir la ley de comercio electrónico tiene por objeto establecer un marco legal en las relaciones electrónicas de índole comercial, contractual y realizada por medios digitales, electrónicos o tecnológicamente equivalentes. también establece algunos elementos para la recolección y protección de datos desde los sitios web. De la misma forma, se menciona la ley de telecomunicaciones que tiene por objeto la regulación del servicio público de telefonía, la explotación del espectro radioeléctrico, el acceso a los recursos esenciales y el plan de numeración, incluyendo la asignación de claves de 20 acceso al sistema. Establece como parte de las prohibiciones, compartir los datos que proporciona el usuario cuando contrata un servicio o producto. Asimismo, la ley de protección al consumidor que tiene por objeto proteger los derechos de los consumidores, a fin de procurar el equilibrio, certeza y seguridad jurídica en sus relaciones con los proveedores. Establece prohibiciones y obligaciones que debe tener todo proveedor sobre los datos personales. Igualmente, la ley de regulación de los servicios de información sobre el historial de crédito de las personas, su objeto es garantizar el derecho al honor, a la intimidad personal, familiar y a la propia imagen en el tema de la confiabilidad. Obliga a los entes económicos y agencias de información, el cumplimiento de los derechos ARCO y un adecuado uso de la información personal. De la misma forma, la ley especial contra delitos informáticos y conexos tiene por objeto proteger los bienes jurídicos de aquellas conductas delictivas cometidas por medio de las tecnologías de la información y la comunicación. Describe los parámetros de persecución del delito cuando la “Utilización de datos personales” vulnera las libertades del individuo. De igual modo, la ley de acceso a la información pública que tiene como objeto garantizar el derecho de acceso de toda persona a la información pública. Normativa que da vida al instituto de acceso a la información facultándolo de ser el ente rector en la protección de datos personales. Asimismo, la ley integral de protección contra la niñez, su finalidad es garantizar el ejercicio y disfrute pleno de los derechos de niñas, niños y adolescentes en El Salvador. Normativa con enfoque a preservar la dignidad e integridad de los niños, niñas y adolescentes. Finalmente, la ley de protección de datos, a la fecha de mayo 2021 ha sido sujeta de observaciones por parte del Órgano Ejecutivo y no está vigente, tiene por objeto la protección de los datos personales, que se encuentren en posesión de personas naturales o jurídicas de carácter privado o público, con la finalidad de regular su tratamiento legítimo e informado. Establece sanciones y reglas para la protección de datos, que garanticen el derecho a la intimidad y autodeterminación. Para comprender un poco más el nivel de conocimiento y la importancia que se ha dado a la privacidad de datos en El Salvador, se realizó una exploración relacionada al acceso de la 21 información. A continuación, se presenta el artículo “Sistematización de casos sobre protección de datos personales en el Instituto de Acceso a la Información Pública - IAIP” publicado en el año 2018. En resumen, la investigación se enfocó a contribuir a la generación de conocimiento a través de la sistematización de dos casos de protección de datos personales que fueron diligenciados y resueltos por el pleno de comisionados en el ejercicio de sus funciones y que marcaron un hito para la gestión pública en especial en las instituciones gubernamentales, donde se han empezado a tomar medidas para el ejercicio de este derecho. El cuaderno va dirigido a un público muy diverso y se espera que, gracias a su contenido y lenguaje utilizado, este sea accesible y comprensible para lectores de diferentes niveles educativos, sin distinción de sexo, edad u ocupación, alcanzando así, que una gran cantidad de personas se empoderen de los conocimientos acerca del tema de la protección de datos personales. El IAIP solamente tiene competencias para trabajar con información que resguardan y tratan las instituciones públicas, existe la necesidad de trabajar por una Ley de Protección de Datos Personales que ayude a mejorar el tratamiento de datos en las instituciones privadas. Teniendo claridad sobre las nuevas tendencias, los retos y la evolución que existe sobre protección de datos en américa latina y en la región centroamericana, es importante conocer como la pandemia COVID19 modifico nuestra forma de vida y también ha puesto en evidencia algunas violaciones a los derechos ya establecidos. Tomando en cuenta lo mencionado se cita el artículo “Privacidad en tiempos de pandemia” publicado en el año 2020. En resumen, las respuestas a la pandemia de Covid-19 han arrojado luz sobre aspectos de la privacidad, que son tanto buenos como malos. Para hacer frente a la mayor necesidad de procesar datos, las empresas toman atajos y comprometen la privacidad de las personas. Esto conduce a un abuso de información. Los cambios legislativos y de políticas que se han producido debido al Covid-19. El impacto de la CCPA y el GDPR durante la pandemia ha sido evaluado tanto desde el punto de vista del gobierno como del sector privado. Algunos gobiernos han utilizado tecnologías a su disposición para lidiar con la emergencia sanitaria. Las medidas van desde el uso de drones de vigilancia para recopilar datos, pasando por la dependencia de gigantes tecnológicos como Apple y Google para integrar soluciones de rastreo de contactos en sus sistemas operativos. 22 Para profundizar más sobre el impacto de la pandemia relacionado a la privacidad, se adiciono el artículo “Protección de la privacidad personal en el entorno de Big Data bajo la nueva situación del coronavirus”. En resumen, el seguimiento de trayectorias personales, superficies de contacto y otra información por medio de la tecnología puede ayudarnos a detectar rápidamente los contactos cercanos del virus, pero estos están relacionados a datos privados de los ciudadanos. Si los datos son utilizados por elementos maliciosos, provocarán pérdidas económicas incalculables e incluso crisis públicas. Por lo tanto, debemos prestar mucha atención a la protección de la privacidad personal, el artículo presenta en primer lugar las medidas adoptadas por varios países del mundo para luchar contra la situación pandémica, y analiza los problemas y riesgos que enfrentan. Adicionalmente se analiza la tecnología de protección de la privacidad, finalmente, se propone la dirección para las etapas de protección de información durante el período epidémico. Desde el punto de vista de las leyes y regulaciones, debemos establecer un conjunto completo de sistema legal para asegurar que los gobiernos y las empresas puedan usar la información del usuario únicamente para los fines que fueron recabados. Por consiguiente, de acuerdo con la exploración bibliográfica, existen muchas investigaciones en torno a la protección de datos, algunas realizadas por asociaciones comerciales o incluso por gobiernos que buscan continuar o iniciar la integración hacia una economía global. El tema en estudio ha sido tratado de manera muy importante, teniendo en cuenta que muchos países están configurando sus leyes jurídicas con principios y sanciones para la protección y privacidad de datos personales. Por lo tanto, se reitera que debido al nivel de madures y desarrollo del Reglamento Europeo, este se ha convertido en un referente para muchos países de Latinoamérica y del mundo. Si bien la pandemia de Covid-19 ha evidenciado cierto nivel de incumplimiento por parte de grandes potencias a nivel mundial, el desarrollo actual en la región de Centroamérica aún se encuentra en sus primeras fases, para el caso de El Salvador se han establecido criterios básicos en diferentes decretos como la ley de protección al consumidor, ley de telecomunicaciones, ley especial contra delitos informáticos y conexos, ley de regulación de los servicios de información sobre el historial de crédito de las personas, ley de acceso a la información pública, ley integral de protección contra la niñez, ley de comercio electrónico y la ley de protección de datos (en estudio). 23 7 Metodología de la investigación Hernández-Sampieri, Fernández y Baptista (2014) describen la investigación como un conjunto de procesos sistemáticos, críticos y empíricos que se aplican al estudio de un fenómeno o problema (p. 4). De acuerdo con estos mismos autores, la metodología de la investigación son los diferentes pasos o etapas realizados para llevar a cabo una investigación científica o social. Así pues, al momento de realizar cualquier tipo de investigación, es necesario esclarecer el enfoque a seguir. Esto con el fin de sustentar y respaldar la investigación mediante la aplicación de procesos metódicos o empíricos, según sea al caso, para generar conocimiento. Tradicionalmente, estos enfoques se dividen en: cualitativo y cuantitativo. La metodología por la que se rige este trabajo de investigación es bajo una línea cualitativa. Para Hernández-Sampieri, Fernández y Baptista (2014), el enfoque cualitativo puede concebirse como un conjunto de prácticas interpretativas que hacen al mundo “visible”, lo transforman y convierten en una serie de representaciones en forma de observaciones, anotaciones, grabaciones y documentos. Es naturalista (porque estudia los fenómenos y seres vivos en sus contextos o ambientes naturales y en su cotidianidad) e interpretativo (pues intenta e intenta encontrar sentido a los fenómenos en función de los significados que las personas les otorguen) (p.42). La investigación cualitativa es un método científico para la recolección de datos no numéricos, el cual, utiliza generalmente técnicas como entrevistas, encuestas, análisis documental, observación, consultas bibliográficas, entre otras, para su posterior interpretación. Además, definen el enfoque cualitativo como usa serie de fases, tomando como base la literatura existente. 24 Ilustración 3 Proceso cualitativo, tomado de Metodología de la Investigación, p. 7, Hernández Sampieri, Fernández y Baptista (2014) Con lo descrito anteriormente, el tipo de investigación seleccionado para responder a las preguntas ¿En El Salvador se conocen y aplican leyes para la protección de datos personales? ¿Se cuenta con entidades que velen por el cumplimento de dichas leyes? ¿Existen guías o marcos de trabajo para implementar políticas de privacidad? Además, ¿Cuáles son las buenas prácticas que recomiendan las normas, regulaciones, comunidad internacional, métodos y experiencias relacionadas a la privacidad de los datos en el comercio electrónico?, es la cualitativa, puesto que busca responderlas mediante el análisis de la documentación existente y la elaboración de un marco de trabajo de buenas prácticas de privacidad de datos. El investigador cualitativo utiliza técnicas para recolectar datos, como la observación no estructurada, entrevistas abiertas, revisión de documentos, discusión en grupo, evaluación de experiencias personales, registro de historias de vida, interacción e introspección con grupos o comunidades, Hernández, Fernández y Baptista (2014). El proceso a seguir en el siguiente trabajo, parte de la búsqueda de diferentes comercios en línea de la empresa privada salvadoreña que utilizan transacciones B2C y en la toma de una muestra significativa de aquellas clasificadas como grandes. Posteriormente, se procede a la verificación de las políticas de privacidad de los sitios sometidos a estudio con el propósito de recopilar las buenas prácticas, las cuales, fueron utilizadas para la construcción del marco de trabajo. Bajo el lineamiento cualitativo, se recopiló y se accedió a las fuentes primarias tales como la Ley de Comercio Electrónico, Ley de Firma Digital, el documento con la propuesta de Ley de Protección de Datos y la Constitución de la República de El Salvador, las cuales, fueron consultadas para obtener un panorama general sobre la madurez de la legislación nacional en tema de privacidad. 25 Según Lourdes Castillo (s/f), el análisis documental es una operación intelectual que da lugar a un subproducto o documento secundario que actúa como intermediario o instrumento de búsqueda obligado entre el documento original y el usuario que solicita información. El calificativo de intelectual se debe a que el investigador debe realizar un proceso de interpretación y análisis de la información de los documentos para luego sintetizarlo. Así pues, los instrumentos para el tratamiento de los datos utilizados en esta investigación se construyeron tomando como base la técnica de análisis documental o análisis de contenido, con el propósito de clasificar las mejores prácticas de privacidad de datos para su posterior análisis. En los siguientes apartados se describe el proceso a seguir en la investigación, entre ellos: método de la investigación, definición de la población o muestra, contexto de la investigación, instrumentos de recolección de datos y análisis de los datos. 7.1 Método de la investigación Ray Rist (s/f) explica que la metodología consiste en un conjunto de técnicas para recoger datos. Es un modo de encarar el mundo empírico, es decir, una serie de procesos que deben ejecutarse para orientar una investigación. Esta investigación ha utilizado una metodología cualitativa aplicando el método inductivo interpretativo, puesto que se recabaron particularmente las políticas de privacidad que expresan las empresas sometidas a evaluación en sus e-commerce, además, se revisó la bibliografía referente a buenas prácticas de privacidad de datos y se interpretó la legislación nacional en materia de privacidad. Según Hernández Sampieri, Fernández y Baptista (2014), el método inductivo ayuda al investigador a explorar, describir y a generar perspectivas teóricas, es decir, se va de lo particular a lo general. Tomando como referencia el método, se seleccionó empresas clasificadas como grandes del sector comercio que utilizan transacciones comerciales business-to-customer y a partir de una muestra representativa, determinar la condición actual de garantía de protección con relación a la problemática a resolver, el nivel de apego a la legislación nacional en materia de privacidad y la alineación a las prácticas recomendadas por la comunidad internacional. 26 Luego, se procedió a identificar las unidades de análisis, al mismo tiempo que se determinó la relación directa con la legislación nacional en materia de privacidad y a las prácticas recomendadas por la comunidad internacional. A continuación, se presentan las unidades de análisis identificadas: 1. Políticas de privacidad de los sitios sometidos a estudio: se clasificaron las prácticas de privacidad de datos que expresan las empresas sometidas a estudio en sus e- commerce. 2. Conjunto de leyes nacionales sobre protección de datos: se clasifico el conjunto de leyes con relación a protección de datos, con el propósito de cumplir los aspectos legales durante la construcción del marco de trabajo. 3. Conjunto de normativas internaciones sobre protección de datos: se clasifico el conjunto de normativas internacionales con relación a protección de datos, con el propósito de cumplir los aspectos normativos y buenas prácticas durante la construcción del marco de trabajo. 4. Síntesis de la información: se sintetizo la lista de buenas prácticas a partir de la recolección de políticas de privacidad de los sitios sometidos a estudio, normativas internacionales y legislación nacional en materia de privacidad de datos. Balcells i Junyent, J. (1994), explica, que la unidad de análisis es el fragmento del documento o comunicación que se toma como elemento que sirve de base para la investigación, de ahí que las unidades anteriormente descritas han servido como fuentes primarias para el desarrollo de la misma. Durante el análisis de contenido, se observaron las siguientes variables: 1. Políticas de privacidad: se recopilaron las diferentes políticas de privacidad de los e- commerce sometidos a estudio. 2. Buenas prácticas de privacidad que recomienda la comunidad internacional: se recopilaron las buenas prácticas de privacidad de datos que recomienda la comunidad internacional. 3. Legislación nacional en materia de protección de datos: se verificó el nivel de madurez de la legislación nacional en materia de protección de datos, para ello, se recopilaron artículos diseminados en diferentes leyes. 27 4. Clasificación de categorías por área: se clasificaron las políticas de privacidad en diferentes áreas, con base a la naturaleza de las mismas. Según Hernández-Sampieri, Fernández y Baptista (2014), una variable es “una propiedad que puede fluctuar y cuya variación es susceptible de medirse u observarse. Ejemplos de variables son el género de una persona, la religión, la presión arterial, entre otros (p. 105)”, es decir, una variable para una investigación cualitativa describe características y/o circunstancias de algún objeto, personalidad o eventualidad sin el uso de números, por lo cual, expresa una categoría no numérica. Lo anterior, nos lleva a concluir que el análisis documental o análisis de contenido es el más adecuado para aplicar en esta investigación debido a que esto permitirá comprender en un nivel detallado las buenas prácticas de privacidad de datos, apoyado del método inductivo interpretativo, partiendo de lo particular a lo general. Este tipo de investigación se adaptó claramente a las necesidades y particularidades que surgieron durante el desarrollo del trabajo que se ha realizado, por lo cual, fue posible determinar las prácticas de privacidad que actualmente se implementan en la empresa privada, la legislación nacional en materia de privacidad y las prácticas recomendadas por la comunidad internacional, las cuales, fueron utilizadas para la elaboración del marco de trabajo. 7.2 Definición de la población o muestra Según Hernández Sampieri, Fernández y Baptista (2014), la población o universo es el “conjunto de todos los casos que concuerdan con determinadas especificaciones (p. 174)”. Además, explican que “una vez que se ha definido cuál será la unidad de muestreo/análisis, se procede a delimitar la población que va a ser estudiada y sobre la cual se pretende generalizar los resultados. (p. 174)”. 28 7.2.1 Selección de la muestra Las empresas o emprendimientos que realizan tratamiento de datos personales fueron el objeto de esta investigación y para delimitar la población, se tomó como referencia ciertas características empresariales, tales como, cumplir con categoría de gran empresa privada, pertenecer al sector comercial, realizar comercio electrónico, expresar políticas de privacidad y utilizar transacciones business to consumer. Para que las empresas cumplieran con la característica de gran empresa, se tomó como referencia la clasificación que ha definido el Banco Central de Reserva para empresas salvadoreñas. Segmento Ventas Trabajadores Microempresa Ventas brutas anuales hasta 482 salarios mínimos mensuales. Hasta 10 Trabajadores Pequeña Empresa Ventas brutas anuales mayores a 482 hasta 4,817 salarios mínimos mensuales Hasta 50 Trabajadores Mediana Empresa Ventas brutas anuales hasta de $7 Millones Hasta 100 Trabajadores Gran Empresa Ventas brutas anuales mayores a $7 Millones Mayor a 100 Trabajadores Tabla 1 Clasificación de empresas según BCR, extraído de https://www.bcr.gob.sv/bcrsite/uploaded/content/category/980618906.pdf Por lo tanto, una vez delimitada la muestra, se procedió a utilizar el tipo de muestreo aleatorio simple, debido a que éste permite que cada elemento sometido a estudio posea la misma probabilidad de selección conocida y equitativa. Esto implica que cada elemento es seleccionado independientemente de los otros elementos y la muestra se toma por un procedimiento aleatorio de un marco de muestreo. El método aleatorio simple tiene dos características deseables en la investigación: Es de fácil comprensión y los resultados de la muestra pueden ser proyectados a la población objetivo. Sin embargo, este método sufre también de algunas limitaciones, debido a que puede dar por resultado muestras que son demasiado grandes o distribuidas en áreas geográficas grandes, lo que incrementa el tiempo y el costo de recopilación de datos, así también a menudo tiene menor precisión con más errores estándar que otras técnicas de muestreo probabilístico. https://www.bcr.gob.sv/bcrsite/uploaded/content/category/980618906.pdf 29 7.2.2 Cálculo del tamaño de la muestra Cuando se elabora una muestra probabilística, uno debe plantearse las siguientes interrogantes: Dado que una población es de N tamaño, ¿Cuál es el menor número de unidades muestrales (personas, casos, organizaciones, capítulos de telenovelas, etc.) que necesito para conformar una muestra (n) que me asegure un determinado nivel de error estándar, digamos menor de 0.1? Hernández-Sampieri, Fernández y Baptista (2014), explican que la respuesta consiste en encontrar una muestra que sea representativa del universo o población con cierta posibilidad de error (se pretende minimizar) y nivel de confianza (maximizar), así como probabilidad (p. 178). En ese sentido, la muestra es el número de elementos que hay que tomar de un universo para que los resultados puedan extrapolarse al mismo, con la única condición de que sean representativos de la población. El tamaño de la muestra depende de los siguientes tres aspectos: 1. Del error permitido 2. Del nivel de confianza con el que se desea el error 3. Del carácter finito o infinito de la población De acuerdo con lo anterior, para lograr el nivel de fiabilidad con un grado de confianza especificado, hay que determinar el grado de error y el nivel de confianza; por lo tanto, para cumplir con el objetivo del estudio, en esta investigación se ha utilizado la siguiente fórmula para la estimación del cálculo de la muestra: Ilustración 4 Cálculo para el tamaño de la muestra, extraído de https://www.urural.edu.gt/wp- content/uploads/2010/09/Calculo_muestra_cualitativa.pdf Donde: N = (Tamaño de la población) P = 0.5 (Probabilidad de ocurrencia) Nivel de confianza = 99% z (1-alfa/2) = 2.58 d = 7.0% (Error del muestreo) n=13 (Tamaño de la muestra) 30 Obteniendo como resultado 13 empresas privadas del sector comercial que realizan comercio electrónico, que expresan políticas de privacidad en sus e-commerce y que utilizar transacciones business to consumer con sus clientes. A continuación, se listan las empresas obtenidas para el estudio: 1. Grupo Callejas S.A. de C.V. 2. La Constancia, LTDA. de C.V. 3. Boquitas Diana S.A. 4. Almacenes Siman S.A. de C.V. 5. Inversiones Vida, S.A. DE C.V. 6. Empresas ADOC, S.A. DE C.V. 7. Almacenes Vidrí, S.A. De C.V. 8. Pollo Campero, S.A. 9. Alimentos y Turismo S.A. de C.V. 10. CTE, S.A. DE C.V. 11. Telemovil de El Salvador, S.A. DE C.V. 12. Cadenas de Tiendas Omnisport, S.A. de C.V. 13. LifeMiles Ltd. 7.3 Contexto de la investigación Al momento de determinar el contexto en toda investigación, se debe tomar como base el lugar/sitio y tiempo, así como accesos y permisos Hernández-Sampieri, Fernández y Baptista (2014) (p. 343). Sin embargo, la presente al ser una investigación de carácter cualitativo, apoyada en técnicas de análisis documental y de contenido para definir e interpretar las buenas prácticas de privacidad de datos, el contexto de trabajo no se restringió a un lugar físico específico, dado que, se ubica la web, en los diferentes sitios e-commerce de las empresas salvadoreñas sometidas a evaluación. La única limitante predominante a la hora de la recopilación de la información es la poca información expresada por los negocios en sus e-commerce en materia de privacidad de datos, 31 dado que no se realizaron visitas de campo a las empresas seleccionadas y no se contó con el permiso de las mismas para desarrollar la investigación, solamente se utilizó la información pública disponible en sus sitios web. Es de señalar también, que los investigadores se valieron de recursos tecnológicos, tales como, conectividad a internet, computadores, memorias y teléfonos celulares. Y, el periodo comprendido para realizar esta investigación comprende desde el 04 de enero al 30 de junio de 2021. 7.4 Instrumentos de recolección de datos La construcción de los instrumentos de recolección de datos se ha realizado según la necesidad del tratamiento de los datos y conforme se ha ido desarrollado la investigación, con el objetivo de clasificar la información para facilitar el diseño del marco de trabajo. Según Hernández-Sampieri, Fernández y Baptista (2014), la recolección de los datos está orientada a proveer de un mayor entendimiento de los significados y experiencias de las personas. El investigador es el instrumento de recolección de los datos, se auxilia de diversas técnicas que se desarrollan durante el estudio. Es decir, no se inicia la recolección de los datos con instrumentos preestablecidos, sino que el investigador comienza a aprender por observación y descripciones de los participantes y concibe formas para registrar los datos que se van refinando conforme avanza la investigación. (p. 12)” A continuación, se listan los instrumentos utilizados para el tratamiento de los datos recabados: 1. Lista de políticas de privacidad de los e-commerce sometidos a estudio. 2. Cuadro resumen de las empresas sometidas a estudio. 3. Síntesis de políticas de privacidad de los e-commerce sometidos a estudio. 4. Cuadro resumen de buenas prácticas de privacidad de los e-commerce sometidos a estudio. 5. Síntesis de normativas internacionales. 6. Generalidades de las normativas internacionales. 32 7. Cuadro comparativo de leyes nacionales vigentes sobre protección de datos y normativas sometidas a estudio. 8. Cuadro comparativo de leyes en estudio sobre protección de datos y normativas internacionales. 9. Estructura de buenas prácticas de privacidad de datos. Los instrumentos anteriormente descritos, están basados en listas, cuadros comparativos, síntesis y estructuras que surgieron como respuesta a la necesidad de la clasificación de los datos, tomando como base la técnica de análisis documental o análisis de contenido que se realizó a la literatura de la investigación. 7.5 Análisis de los datos Hernández-Sampieri, Fernández y Baptista (2014), exponen que en todo proceso cuantitativo primero se recolectan todos los datos y luego se analizan; mientras que, en la investigación cualitativa la recolección y el análisis ocurren prácticamente en paralelo. Para esta investigación, tanto la recolección como el análisis de los datos se hicieron al mismo tiempo, de modo que la construcción de los instrumentos se realizaba conforme al análisis de los datos. Con el propósito de aseverar la confiabilidad de los datos obtenidos, la investigación tomo como base dos aspectos de suma importancia: (1) recopilar la información suficiente para el análisis y, (2) realizar la codificación cualitativa que permita la clasificación de la información. En ese sentido, Hernández Sampieri, Fernández y Baptista (2014), sugieren que en la codificación cualitativa el investigador considera segmentos de contenido, los analice y compare. Si estos son distintos (en términos de significado y concepto) cada uno induce una categoría propia; en cambio, si son similares, inducen a una categoría común. En la investigación, la codificación de los datos se basó en las similitudes encontradas en las políticas de privacidad que se recolectaron de los comercios en línea sometidos a estudio, es decir, se formularon diferentes categorías para clasificar las buenas prácticas. 33 8 Resultados Según Hernández-Sampieri, Fernández y Baptista (2014), el investigador emplea una variedad de formatos para reportar sus resultados: narraciones, fragmentos de textos, videos, audios, fotografías y mapas; diagramas, matrices y modelos conceptuales (p. 13).” En esta sección, se presenta los datos obtenidos, tomando como punto de partida el análisis del contenido que conforma el estado del arte y a las fuentes primarias, utilizando el método inductivo interpretativo descrito en la metodología de la investigación. Asimismo, los resultados de la investigación están recopilados en los instrumentos de recolección de datos, los cuales, se utilizaron para la construcción del marco de trabajo de buenas prácticas de privacidad de datos. En los siguientes apartados, se describe el tratamiento del análisis de los datos recabados, con el propósito de crear categorías y clasificar las políticas de privacidad e identificar los hallazgos que detallen de forma óptima el fenómeno de estudio. 8.1 Análisis de resultados El análisis de resultados se desarrolla después de la implementación de los instrumentos de investigación por parte del investigador. El instrumento utilizado en esta investigación fue el análisis de contenido o análisis documental (descrito en la sección de metodología de investigación), bajo una metodología cualitativa, utilizando el método inductivo interpretativo. Así, conforme se recopilaba la información, se identificaron las buenas prácticas en las empresas sometidas a evaluación que utilizan comercio electrónico, además se interpretó la legislación nacional y las normativas internacionales en materia de privacidad. Para dar confianza, validez y credibilidad a las políticas de privacidad, posterior a la recolección, se realizó el respectivo análisis para determinar si estas cumplen con la legislación nacional. Conforme a esto se elaboró un cuadro comparativo que detalla las leyes en materia de privacidad y se tomó como base los artículos relacionados al tratamiento de datos personales, además, se tomó cada política recolectada y se verifico si la misma cumplía con la literatura que describen los artículos que conforman las diferentes leyes. 34 En ese sentido, si la política de privacidad evaluada cumplía con la legislación nacional, se sometía a una nueva evaluación, utilizando el cuadro comparativo que detalla las buenas prácticas recomendadas por el Reglamento General de Protección de Datos (GDPR) y por la Ley General de Protección de Datos Personales de Brasil (LGPD), por lo cual, fue necesario tomar como base los artículos relacionados al tratamiento de datos personales, al almacenamiento y a las medidas de seguridad que se deben implementar para la protección de los mismos, dando como resultado un cuadro resumen de buenas prácticas que desarrollan las empresas sometidas al estudio, y al mismo tiempo, adicionando las buenas prácticas que recomiendan las normativas internacionales. Para cumplir con el objetivo general, es cual es: “Construcción de un marco de trabajo para la implementación de buenas prácticas de privacidad de datos en e-commerce B2C (business to consumer) de la empresa privada de El Salvador”, se clasificaron las políticas de privacidad que cumplen con la legislación nacional y con las normativas internacionales, tomando como base las siguientes categorías: política de cookies, deberes del responsable del tratamiento de datos, deberes del encargado de tratamiento de datos, derechos del titular de los datos, deberes del titular de los datos, seguridad de los datos y prácticas generales. 8.2 Presentación de resultados Después de finalizar la recolección de los datos, mediante el análisis de contenido, se procedió a registrar la información en formato de texto, por lo tanto, para facilitar el análisis e interpretación de los datos cualitativos se construyeron instrumentos (listas y cuadros comparativos), con el propósito de categorizar las políticas de privacidad y simplificar la construcción del marco de trabajo. Atendiendo los tres objetivos específicos que se plantearon para el desarrollo de esta investigación, los cuales son: “Identificar las plataformas web de los e-commerce B2C de la empresa privada del sector comercial de El Salvador donde se almacenan los datos personales”, “Evaluar si las políticas de privacidad de datos sobre las plataformas web de los e- commerce B2C de la empresa privada se apegan a la legislación nacional y a mejores prácticas en el tema de privacidad” y “Estructurar el marco de trabajo para la implementación de buenas prácticas de privacidad de datos” se detalla a continuación, el proceso que se desarrolló en cada objetivo específico para dar cumplimiento al objetivo general. 35 8.2.1 Políticas de privacidad recolectadas de los sitios sometidos al estudio El primer objetivo de la investigación planteó la identificación de las plataformas web de los e- commerce B2C de la empresa privada del sector comercial de El Salvador donde se almacenan datos personales, para lo cual, se definieron las variables implicadas, como es el caso de las políticas de privacidad de las empresas sometidas a estudio y las buenas prácticas que realizan las mismas, obteniendo los siguientes instrumentos para la recolección de datos. 1. Lista de políticas de privacidad de los e-commerce sometidos a estudio 2. Cuadro resumen de las empresas sometidas a estudio 3. Síntesis de políticas de privacidad de los e-commerce sometidos a estudio 4. Cuadro resumen de buenas prácticas de privacidad de los e-commerce sometidos a estudio 1. Lista de políticas de privacidad de los e-commerce sometidos a estudio Cada empresa clasifica sus políticas de privacidad según su naturaleza y según sus necesidades, por lo cual, para recolectar las políticas de privacidad que se expresan en sus sitios web, fue necesario utilizar un cuadro resumen de políticas de privacidad por organización. Ejemplo: ❖ Grupo Callejas S.A. de C.V. G en er al id ad es Nombre Empresa Grupo Callejas S.A. de C.V. Aplicaciones Tienda en línea mediante plataforma web y aplicación móvil Medios de Contacto tiendaenlinea@superselectos.com.sv Consentimiento para el uso de cookies Tienda en línea no especifica claramente el uso de cookies Nº Concepto Descripción 1 Datos de carácter personal Súper Selectos podrán compartir los datos de carácter personal 2 Tratamiento de datos Súper Selectos utiliza los datos de carácter 36 personales personal como ayuda para desarrollar y mejorar nuestros productos 3 Datos de carácter no personal Súper Selectos puede recoger datos de carácter no personal 4 Tratamiento de datos de carácter no personal Utilizamos los datos de carácter no personal como ayuda para desarrollar y mejorar nuestros servicios y promociones 5 Cookies La página web, los servicios online y los mensajes de correo electrónico de Súper Selectos pueden emplear cookies 6 Protección de datos Súper Selectos toma medidas tanto administrativas, técnicas como físicas para evitar que sus datos de carácter personal se pierdan 7 Conservación de datos Súper Selectos Conservaremos tus datos de carácter personal durante el periodo de tiempo necesario para cumplir los fines descritos en la presente Política de Privacidad 8 Divulgación de terceros La información relativa a nuestros clientes es una parte fundamental de nuestro negocio, por lo tanto, Súper Selectos jamás participará en el negocio de la venta de la misma a terceros 9 Preguntas frecuentes ¿Cuándo Súper Selectos recolecta información personal? 10 Datos personales recabados por Grupo Callejas, S.A. de C.V. Nombre completo, DUI, Dirección, Teléfono, Otros. Tabla 2 Cuadro resumen políticas de privacidad Super Selectos 37 ❖ Empresas ADOC, S.A. DE C.V. G en er al id ad es Nombre Empresa Empresas ADOC, S.A. DE C.V. Aplicaciones Tienda en línea mediante aplicación web Medios de Contacto NIT: 0614-220952-001-2 Dirección: Calle Montecarmelo #800, Soyapango, San Salvador. Teléfono: +503 7275 2074 Correo electrónico: tiendasadoconline@empresasadoc.com Consentimiento para el uso de cookies Tienda en línea no especifica claramente el uso de cookies Nº Concepto Descripción 1 General Sabemos lo importante que es mantener su información confidencial Por eso, en Tiendasadoc.com les aseguramos que la información que usted nos confía será utilizada únicamente para fines promocionales. Tiendasadoc.com no venderá o proporcionará a ninguna compañía, tercero, o interesado la información suministrada, total o parcialmente. Si desea eliminar su información de nuestros registros, comuníquese con nosotros a servicioalcliente@empresasadoc.com De acuerdo a nuestros Términos Legales: Empresas Adoc S.A de C.V. se compromete a mantener la privacidad de toda la información brindada por un usuario del sitio web y solamente revelarla si llegase a ser requerida por una autoridad judicial competente. Tabla 3 Cuadro resumen políticas de privacidad ADOC Una vez recopilados los cuadros resumen de cada organización, se procedió a elaborar la lista de políticas de privacidad de los sitios sometidos a estudio. 38 8.2.2 Sondeo general sobre privacidad de datos Para el sond