Bolsa de Valores de El Salvador, S.A. de C.V.
1. Identidad y Domicilio del Responsable o Encargado del Tratamiento de Datos
En el marco del tratamiento de datos, BOLSA DE VALORES DE EL SALVADOR, S.A. DE C.V., institución autorizada por la Superintendencia del Sistema Financiero, que en adelante podrá denominarse “La Bolsa”; identificado con el NIT: 0614-070989-101-2 con domicilio principal en Torre Millennium Plaza, Nivel 9, Paseo General Escalón, San Salvador Centro, San Salvador, con correo electrónico Esta dirección de correo electrónico está protegida contra spambots. Necesita activar JavaScript para visualizarla., actuará como responsable o encargado del tratamiento de dichos datos.
La Bolsa, en su calidad de responsable o encargado del tratamiento, garantizará la protección de los datos personales durante su tratamiento, actuando con pleno respeto a los derechos de intimidad y autodeterminación informativa, conforme a lo establecido en la Ley de Protección de Datos Personales y demás disposiciones legales y reglamentarias aplicables.
2. Medidas y mecanismos de protección y seguridad
En observancia de la legislación salvadoreña, La Bolsa garantizará la confidencialidad de los datos personales y adoptará las medidas de seguridad técnica, organizativa y contractual necesaria para su protección, en cumplimiento de la Ley de Protección de Datos Personales y demás normativa aplicable
La Bolsa implementa un conjunto integral de medidas y mecanismos de seguridad destinados a garantizar la integridad, confidencialidad y disponibilidad de los datos personales bajo su resguardo. Estas acciones tienen como finalidad prevenir, reducir y gestionar los riesgos asociados a accesos no autorizados, uso indebido o vulneraciones de la información. En este sentido, se dispone de las siguientes categorías de medidas:
Medidas técnicas: La Institución adopta tecnologías especializadas en seguridad, tales como sistemas de cifrado, controles de acceso, monitoreo continuo de infraestructura, herramientas de detección y respuesta ante incidentes, auditorías periódicas y mecanismos de respaldo y recuperación de información. Estos recursos permiten asegurar la continuidad de las operaciones y la protección de los datos frente a amenazas internas y externas.
Medidas organizativas: Se mantienen políticas internas vigentes en materia de seguridad de la información, protección de datos personales y gestión de incidentes. Asimismo, se desarrollan programas de capacitación continúa dirigidos al personal y se cuenta con un Delegado de Protección de Datos encargado de supervisar el cumplimiento normativo y velar por la adecuada gestión del ciclo de vida de la información.
Medidas físicas: La Bolsa implementa controles de acceso físico a áreas de trabajo y centros de datos, sistemas de videovigilancia, mecanismos de detección de intrusiones y procedimientos de seguridad para la protección de activos tecnológicos. Adicionalmente, se dispone de planes de continuidad del negocio, diseñados para asegurar la prestación ininterrumpida de los servicios esenciales.
Medidas contractuales: Se incorporan cláusulas específicas de confidencialidad y protección de datos en los contratos suscritos con proveedores, clientes y aliados estratégicos. Asimismo, se realizan evaluaciones periódicas de cumplimiento para verificar la adhesión a los estándares de seguridad y a los lineamientos establecidos por la Institución.
Todas estas medidas se revisan, fortalecen y actualizan de manera periódica, considerando la evolución de las amenazas, los avances tecnológicos, las exigencias regulatorias y las prácticas recomendadas, con el propósito de garantizar un nivel robusto, continuo y efectivo de protección para los datos personales bajo el resguardo de La Bolsa.
3. Tratamiento de datos:
La Bolsa tratará los datos personales exclusivamente para las finalidades autorizadas y en estricto cumplimiento de las bases legales que resulten aplicables. A continuación, se detallan las categorías de datos y los tipos de tratamiento que podrán realizarse, los cuales varían según la naturaleza de la relación que el titular mantenga con La Bolsa:
4. Los Datos que tratamos:
Gestión y operación de servicios bursátiles
• Administración de emisores, operadores remotos y Casas de Corredores de bolsa.
• Procesamiento de operaciones bursátiles, registro de transacciones y cumplimiento de instrucciones asociadas a la negociación de valores.
• Verificación de identidad, actualización de expedientes y autenticación de participantes en plataformas tecnológicas.
Cumplimiento de obligaciones legales, regulatorias y autorregulatorias
• Atender requerimientos de autoridades competentes, incluyendo organismos supervisores del mercado de valores.
• Cumplimiento de obligaciones de prevención de lavado de dinero, financiamiento del terrorismo y financiación de armas de destrucción masiva, análisis de alertas y monitoreo transaccional.
• Ejecución de procesos de auditoría interna, externa y de control regulatorio.
Supervisión, control y gestión de riesgos
• Evaluación y mitigación de riesgos operativos, tecnológicos, legales y reputacionales vinculados a sus actividades.
• Detección, investigación y prevención de actividades irregulares, fraudes o prácticas contrarias a la normativa aplicable.
• Seguimiento y análisis de eventos operativos para garantizar la transparencia y estabilidad del mercado.
Administración de relaciones contractuales y precontractuales
• Formalización, ejecución, modificación o terminación de contratos con participantes del mercado, proveedores, emisores.
• Gestión de solicitudes, consultas, reclamos y trámites operativos relacionados con los servicios prestados.
Seguridad de la información y continuidad operativa
• Implementación de controles de autenticación, monitoreo, registro de accesos y prevención de incidentes de seguridad.
• Gestión de planes de continuidad del negocio, recuperación ante desastres y resguardo integral de la información operativa y personal.
Desarrollo y mejora de servicios
• Evaluación de desempeño de plataformas electrónicas y sistemas de negociación y registro.
• Análisis estadístico y operativo, asegurando siempre la disociación de datos personales y sensibles cuando corresponda.
Finalidades informativas y comunicacionales autorizadas
• Emisión de comunicaciones relacionadas con obligaciones del mercado, actualizaciones regulatorias, mantenimiento de sistemas e información relevante para los participantes.
• Envío de información institucional o de servicios, únicamente dentro de los límites permitidos por la normativa vigente.
5. Datos sensibles:
La Bolsa podrá tratar datos personales sensibles únicamente en los casos estrictamente necesarios para el cumplimiento de obligaciones legales, regulatorias o contractuales, y siempre bajo las garantías reforzadas de protección que exige la Ley para la Protección de Datos Personales. Conforme a dicha normativa, se consideran datos sensibles aquellos cuyo uso indebido pueda generar discriminación o afectar de manera grave la intimidad del titular, incluyendo datos de salud, rasgos biométricos y demás categorías especialmente protegidas.
En el marco de sus actividades, la Bolsa únicamente recopila y trata los siguientes tipos de datos sensibles:
Datos biométricos utilizados para fines de autenticación y verificación de identidad:
Cuando se implementen mecanismos de control de acceso, autenticación robusta o firma electrónica certificada, la Bolsa podrá tratar datos biométricos tales como:
• Identificadores biométricos necesarios para la emisión o uso de firmas electrónicas certificadas, conforme a la Ley de Firma Electrónica, que reconoce la validez jurídica de mecanismos electrónicos vinculados de manera única al titular.
Estos datos se utilizan exclusivamente para la autenticación de usuarios autorizados, protección de infraestructura tecnológica, validación de actos operativos y resguardo de la integridad de los sistemas bursátiles.
Datos sensibles derivados de obligaciones regulatorias aplicables al mercado de valores
La Bolsa podrá tratar información que, debido a las obligaciones de supervisión, debida diligencia y cumplimiento regulatorio incluyendo las previstas en la normativa de prevención de lavado de activos, financiamiento del terrorismo y financiamiento a la proliferación de armas de destrucción masiva, pueda ser considerada especialmente protegida cuando involucre elementos sensibles relacionados con el perfil del participante.
Esto puede incluir:
• Información derivada de procesos de verificación asociados a Personas Expuestas Políticamente (PEP), en cumplimiento de la normativa antilavado, según las obligaciones definidas por la ley especial y lineamientos de la UIF.
• Datos o documentos que, en el contexto de investigaciones regulatorias, puedan revelar información potencialmente sensible necesaria para el análisis de riesgos o para atender requerimientos de autoridades competentes.
Datos de salud del personal interno, cuando correspondan
La Bolsa no recopila datos de salud de participantes del mercado. No obstante, puede tratar datos sensibles de salud exclusivamente respecto de su personal interno, en casos como:
• Gestión de incapacidades, certificaciones médicas u obligaciones laborales
• Procesos internos de seguridad ocupacional o prevención de riesgos laborales
Este tratamiento se realizará únicamente cuando sea estrictamente indispensable para cumplir con la legislación laboral aplicable.
6. Limitación del Tratamiento
La Bolsa garantiza que:
• No recopila datos sensibles como religión, opiniones políticas, afiliación sindical, orientación sexual u otros datos cuya obtención no sea necesaria ni pertinente para las finalidades institucionales.
• Los datos sensibles tratados se someten a medidas de seguridad reforzadas, de conformidad con las Normas Técnicas para la gestión de la Seguridad de la Información (NRP-23) aplicables a las entidades del sistema financiero y bursátil. 23) aplicables a las entidades del sistema financiero y bursátil.
• El tratamiento se limita a finalidades específicas, legítimas y previamente informadas al titular, en cumplimiento del principio de licitud y minimización establecido en la Ley para la Protección de Datos Personales.
7. Base de Licitud
De conformidad con la Ley para la Protección de Datos Personales, La Bolsa realizará el tratamiento de datos personales únicamente cuando exista una base legal que lo habilite, garantizando que dicho tratamiento se ejecute de manera lícita, transparente y alineada con las obligaciones regulatorias del mercado de valores. En este sentido, el tratamiento podrá fundamentarse en:
• Cuando dicho tratamiento resulte indispensable para la inscripción de emisores y emisiones, la prestación de servicios bursátiles o la habilitación de participantes del mercado.
• El cumplimiento de obligaciones legales o regulatorias, incluyendo aquellas derivadas de la Ley del Mercado de Valores, La Ley de Anotaciones Electrónicas de Valores en Cuenta, las normativas técnicas, y de la supervisión ejercida por la Superintendencia del Sistema Financiero.
• Razones de interés público, interés vital o interés legítimo debidamente justificado, vinculadas a la integridad, transparencia y estabilidad del mercado bursátil, así como a la prevención de riesgos operativos, tecnológicos y financieros.
• El consentimiento expreso del titular, cuando la ley requiera autorización previa para realizar determinadas actividades de tratamiento.
En los casos en que el consentimiento sea necesario, este podrá ser recabado mediante cualquier medio que permita su verificación posterior, tales como ventanas emergentes (pop ups), banners informativos en el sitio web o plataformas transaccionales, formularios físicos o electrónicos, mensajes digitales, u otros mecanismos equivalentes, de conformidad con los principios de evidencia y trazabilidad exigidos por la normativa.
Asimismo, no será exigible el consentimiento cuando el tratamiento se encuentre dentro de los supuestos de excepción establecidos por la Ley para la Protección de Datos Personales, tales como los casos indicados en su artículo correspondiente, incluyendo obligaciones legales, contractuales o de interés público.
Finalmente, al utilizar los canales digitales o físicos de La Bolsa, el titular acepta la Política de Privacidad y autoriza el tratamiento de sus datos personales conforme a los términos establecidos en la misma, sin perjuicio del ejercicio de los derechos otorgados por la Ley para la Protección de Datos Personales.
8. Entidades subcontratadas
La Bolsa podrá apoyarse en terceros que actúen como encargados del tratamiento de datos personales, conforme a la Ley para la Protección de Datos Personales. Estos proveedores pueden brindar servicios especializados, tales como centros de llamadas, envío masivo de comunicaciones, almacenamiento en la nube o en centros de datos, verificación de identidad, mensajería, soporte tecnológico y administración de sistemas críticos.
Dichos terceros operarán bajo contrato y deberán cumplir estrictamente las instrucciones impartidas por La Bolsa, así como las obligaciones de seguridad, confidencialidad, legalidad y limitación de finalidad. En ningún caso podrán utilizar los datos personales para propósitos distintos de los autorizados o permitidos por la normativa aplicable.
9. Transferencia de Datos
La Bolsa podrá realizar la transferencia de datos personales a entidades que formen parte de su grupo empresarial, así como a terceros con quienes mantenga relaciones contractuales, incluidos aliados estratégicos y proveedores especializados.
De conformidad con el Principio de Licitud, estas transferencias se realizarán prioritariamente contando con el consentimiento previo, expreso e informado del titular. Se exceptúa la necesidad de este consentimiento únicamente cuando la comunicación sea estrictamente necesaria para el cumplimiento de obligaciones contractuales derivadas de la relación con el titular o para atender intereses legítimos de La Bolsa, siempre que estos no prevalezcan sobre los derechos y libertades del titular.
Entre estos terceros se encuentran proveedores de servicios tecnológicos, almacenamiento en la nube, desarrollo de software, mensajería, inteligencia de negocios y agencias de publicidad. Todos ellos actúan bajo la figura de encargados del tratamiento. Para garantizar la seguridad de la información, La Bolsa suscribirá un contrato de transferencia con cada tercero, el cual prevé, como mínimo, las mismas obligaciones de protección y seguridad a las que está sujeta la Institución. Todos los encargados están sujetos a un estricto deber de confidencialidad que subsistirá incluso después de finalizada la relación contractual.
Se informa al titular que posee el derecho de oposición al tratamiento de sus datos para fines comerciales, publicitarios o la elaboración de perfiles de mercadotecnia directa. El ejercicio de este derecho podrá solicitarse ante nuestro Delegado de Protección de Datos mediante los canales oficiales.
Finalmente, en cumplimiento de sus obligaciones legales, mandatos judiciales o para la investigación de infracciones administrativas y delitos, La Bolsa podrá proporcionar información a autoridades competentes, tales como organismos supervisores del sistema financiero y autoridades fiscales o judiciales, sin necesidad de consentimiento previo conforme a las excepciones previstas en la ley.
10. Uso de Cookies
Las cookies utilizadas en el sitio web de la Bolsa de Valores son pequeños archivos de texto que se almacenan en el navegador del usuario al acceder a la plataforma. Su finalidad es optimizar la experiencia de navegación, permitiendo recordar configuraciones y preferencias, mantener sesiones seguras y activas, así como apoyar procesos de analítica que permitan comprender el uso de los servicios digitales y ofrecer contenidos relevantes.
Con el propósito de fortalecer la calidad del servicio en nuestra página web y aplicativos digitales, la Bolsa podrá emplear cookies y otras herramientas tecnológicas destinadas a identificar patrones de interacción y áreas de interés de los usuarios. La deshabilitación de cookies puede limitar el funcionamiento adecuado de ciertos servicios, afectando la experiencia de navegación.
Las cookies no permiten acceder al correo electrónico del usuario ni recopilar información personal de identificación, salvo que esta sea proporcionada de forma voluntaria mediante una acción afirmativa, como el registro en alguno de los servicios ofrecidos por la Bolsa.
11. Temporalidad del tratamiento de datos
Los datos personales serán conservados mientras persista una base legal que justifique su almacenamiento. Concluida la relación contractual, en los casos que aplique y proceda una revocación del consentimiento, la información únicamente se mantendrá cuando sea necesaria para cumplir obligaciones establecidas en el marco legal aplicable y la normativa como integrante del sistema financiero, atender procesos de auditoría o supervisión.
Una vez cumplidas dichas finalidades, los datos serán eliminados, anonimizados o bloqueados conforme a los procedimientos internos de la Bolsa y en observancia de los requisitos regulatorios vigentes.
12. Derecho ARCO-POL
La Ley para la Protección de Datos Personales le otorga una serie de derechos relativos a sus datos de carácter personal que podrá́ ejercitar durante el tratamiento de estos. Dichos derechos son los que se le indican a continuación:
• Acceso: Es el derecho a conocer si tus datos están siendo procesados y obtener toda la información que sobre ti se encuentre en bases de datos o registros físicos.
• Rectificación: Es el derecho a solicitar la corrección de datos personales cuando estos sean inexactos, incompletos o no se encuentren actualizados. También aplica si el tratamiento fue realizado en inobservancia de la ley.
• Cancelación (o Supresión): Permite solicitar la eliminación de datos cuando ya no sean necesarios para los fines que fueron tratados, el titular retire su consentimiento, el tratamiento sea ilícito o el titular se oponga legalmente.
• Oposición: Es el derecho a solicitar el cese del tratamiento por motivos legítimos, incluyendo específicamente la elaboración de perfiles o clasificaciones con fines comerciales o de mercadotecnia directa.
• Portabilidad: Es el derecho a recibir los datos en un formato estructurado, de uso común, de lectura mecánica e interoperable, y a transferirlos a otro responsable. Este derecho exige que el tratamiento se base en el consentimiento y se realice por medios automatizados.
• Olvido: Es el derecho a que se eliminen los datos personales publicados en el entorno electrónico cuando sean inadecuados, inexactos, no pertinentes, no actualizados o excesivos. El responsable debe informar a otros encargados para que supriman los enlaces, copias o réplicas.
• Limitación: Permite solicitar que el tratamiento se restrinja a acciones específicas, como cuando se impugna la exactitud de los datos (mientras se verifica) o el tratamiento es ilícito pero el titular se opone a la supresión.
• Revocación de consentimiento: Es el derecho a retirar la autorización para el tratamiento en cualquier momento, de forma expresa y sin efecto retroactivo. El responsable debe establecer mecanismos sencillos y gratuitos para que el titular realice esta acción
13. Procedimiento para ejercicio de derechos
La solicitud para tramitar el ejercicio de derechos ARCOPOL deberá́ realizarse mediante el formulario de solicitud de información, correspondiente al derecho que se desea ejercer. Este formulario será́ proporcionado por correo electrónico a solicitud del interesado, quien podrá́ solicitarlo escribiendo a Esta dirección de correo electrónico está protegida contra spambots. Necesita activar JavaScript para visualizarla. o llamando al 2212-6400.
El formulario deberá́ enviarse como archivo adjunto en formato digital, debidamente firmado con firma autógrafa o firma digital del solicitante, que permita establecer la identidad de este. Además, será́ necesario adjuntar la documentación detallada en los formularos solicitados.
La respuesta a la solicitud relacionada con los derechos ARCOPOL será́ emitida en los plazos estipulados en la Ley. Este plazo podrá́ extenderse por causas debidamente justificadas, cuando la Ley lo habilite.
14. Delegado de Protección de datos
Para efectos de gestionar y tramitar solicitudes para ejercicios de derechos ARCOPOL, se informa que el delegado nombrado es: Gabriela Valladares, quien puede ser contactada en el siguiente correo electrónico: Esta dirección de correo electrónico está protegida contra spambots. Necesita activar JavaScript para visualizarla. o en oficinas ubicadas en Torre Millennium Plaza, Nivel 9, Paseo General Escalón, San Salvador Centro, San Salvador. Adicionalmente, cualquier consulta o dudas sobre este aviso, puede contactar a nuestra delegada de protección de datos.
15. Cambios al Aviso de Privacidad
La Bolsa se reserva el derecho de actualizar este aviso. Cualquier modificación será comunicada a través de la página web, indicando la fecha de entrada en vigencia de la modificación correspondiente
El presente aviso de privacidad se encuentra vigente a partir del 11 de febrero de 2026.
VERSION: 01-09/02/2026.
Descargar documento