The proposed Law for the Protection of Personal Data presented by Nayib Bukele’s government omits all articles related to security measures, including factors for determining them, actions to promote them, and responses to be executed in case of vulnerabilities.
While the presented project is based on the regulation vetoed in 2021, the document submitted to the Assembly lacks specific aspects regarding the security of information storage.
Specifically, the law approved by the 2018-2021 legislature contained five articles addressing the topic from different angles. The most important: when there were irregularities in the handling or storage of data by institutions, they were obliged to inform the data holders of the incident.
For this, the law stipulated that the institution had five business days to inform individuals about the incident and to notify the National Data Protection Authority.
Had that law been in effect, incidents like the data leak of 5.1 million Salvadorans or the leak of the ISSS contributors’ database would have had to be reported by the authorities to the public.
Along with that notification, the authorities would have been required to take measures to prevent future leaks and inform the public about them.
However, none of this happened. Although the Executive Branch issued a public cybersecurity policy in August 2022, its implementation has not been communicated by the government, so there is no transparency about what measures are applied in this area.
Risks
The obligation to inform about irregularities in the processing or storage of personal data is maintained in the proposal presented by the Government of El Salvador, under the same conditions already established by the vetoed law.
According to Laura Hernández, a specialist in digital rights, this point is important because it should be understood that personal data protection rights “establish that we can have control over our data.”
Therefore, she explained, to have control over them, it is necessary to know what is happening while they are stored by an institution.
“I am not going to trust an institution that tells me it is adopting security measures, but how can I be sure of this if I don’t know if they are having incidents and I am not being made aware of them,” Hernández exemplified.
According to the specialist, entities should issue “reports, whether monthly, annually, on security incidents they have experienced and how they were addressed,” for transparency purposes towards the public.
However, even though the obligation to report irregularities remains, no articles related to applicable security measures are included.
Carlos Palomo, also a specialist in the subject from the Asociación Transparencia, Contraloría Social y Datos Abiertos (TRACODA) (Transparency, Social Oversight and Open Data Association), recalled that if the law establishes obligations regarding security measures, irregularities should be subject to sanctions.
Given the above, not putting in writing the measures that must be complied with prevents identifying faults to be sanctioned.
“Someone is just as responsible for a leak as the attacker if, having the data, they do not implement the minimum security measures that an organization should have,” he explained.
“The responsibility is much greater when, seeing a context of increased cyberattacks, where there are ever larger transnational cybercrime groups, and not implementing the proper security controls, adequate security policies, and not hiring suitable technical personnel, there is subsidiary responsibility,” added Palomo.
The above is also evident in the proposed list of punishable offenses.
In the project vetoed in 2021, offenses like “not having operational policies,” “not updating security policies,” or “appointing unsuitable delegates” were classified as minor infractions and were sanctioned with up to 50 minimum wages.
Meanwhile, in the proposal presented by the Government of El Salvador, the second consideration of the piece indicates that the aim is to “ensure the greatest possible protection and establish corresponding sanctions when these (the data) are violated.”
Despite the above, all offenses related to not having policies or security measures have been eliminated and no longer appear recognized as such.
Due to the above, lawmaker Marcela Villatoro (ARENA) highlighted the importance of the law fulfilling its purpose: “A half-measured law without strong protections and security measures is as if it doesn’t exist.”
Gobierno de El Salvador omite medidas de seguridad en ley de protección de datos
La propuesta de Ley para la Protección de Datos Personales presentada por el gobierno de Nayib Bukele omite todos los artículos relacionados con medidas de seguridad, incluyendo factores para determinarla, acciones para fomentarla y las respuestas a ejecutar ante vulnerabilidades.
Si bien el proyecto presentado tiene como base la normativa vetada en 2021, en el documento presentado a la Asamblea no hay aspectos precisos sobre la seguridad en el resguardo de la información.
En concreto: la ley aprobada por la legislatura 2018-2021 contenía cinco artículos que veían el tema desde diferentes aristas. La más importante de todas: cuando hubiera irregularidades en el tratamiento o almacenamiento de datos por parte de las instituciones, estas estaban obligadas a informar a los titulares de los datos del hecho.
Para ello, la ley disponía que la institución tenía cinco días hábiles para comunicar del hecho a las personas; así como también para informar a la Autoridad Nacional de Protección de Datos.
De haber estado vigente esa ley, incidentes como la filtración de datos de 5.1 millones de salvadoreños o la filtración de la base de datos de cotizantes del ISSS habrían tenido que ser informadas por las autoridades a la población.
Junto con ese aviso, las autoridades se habrían visto obligadas a tomar medidas para prevenir futuras filtraciones, e informar de estas a la población.
Sin embargo, nada de lo anterior ocurrió. Si bien el Órgano Ejecutivo emitió en agosto de 2022 una política pública de ciberseguridad, su aplicación no ha sido socializada por el gobierno, por lo que no hay transparencia sobre qué medidas aplica en el tema.
Riesgos
La obligatoriedad de informar sobre irregularidades en el tratamiento o almacenamiento de datos personales se mantiene en la propuesta presentada por el GOES, con las mismas condiciones que ya establecía la ley vetada.
De acuerdo con Laura Hernández, especialista en derechos digitales, este punto es importante ya que se debe entender que los derechos a la protección de datos personales “establecen que podamos tener control sobre nuestros datos”.
Por ello, explicó, para tener control de estos, es necesario saber qué está ocurriendo mientras están almacenados por una institución.
“Yo no voy a confiar en una institución que me diga que está adoptando medidas de seguridad, pero cómo puedo estar segura de ello si no sé si están teniendo incidentes y yo no me estoy dando cuenta”, ejemplificó Hernández.
Según la especialista, las entidades deberían emitir “reportes, ya sea mensuales, anuales, de incidentes de seguridad que han experimentado y cómo fueron abordados”, por un tema de transparencia hacia la población.
Sin embargo, si bien se mantiene la obligatoriedad de informar irregularidades, no se incluyen artículos relacionados con medidas de seguridad a aplicar.
El también especialista en el tema Carlos Palomo, de la Asociación Transparencia, Contraloría Social y Datos abiertos (TRACODA), recordó que si la ley establece obligaciones en cuanto a medidas de seguridad, las irregularidades deberían ser objeto de sanción.
Dado lo anterior, no dejar por escrito las medidas que se deben cumplir no por identificar faltas a sancionar.
“Es tan responsable de una filtración como quien ataca, como quien teniendo los datos no implementa las medidas de seguridad mínimas que debería tener una organización”, explicó.
“La responsabilidad es mucho más grande cuando, teniendo a la vista un contexto de incremento de ataques informáticos, donde cada vez hay bandas transnacionales más grandes de ciberdelincuencia y demás, y que no implementen los controles adecuados de seguridad, políticas adecuadas de seguridad, y que no contrata al personal técnico idóneo, entonces tienen responsabilidad subsidiaria”, agregó Palomo.
Lo anterior, de hecho, también queda de manifiesto en el listado propuesto de faltas a sancionar.
En el proyecto vetado en 2021, se tipificaba como falta leve el “no tener políticas de actuación”, “no actualizar políticas de seguridad” o “nombrar a delegados no idóneos”; y caer en estas era sancionado hasta con 50 salarios mínimos.
Mientras, en la propuesta presentada por el GOES, el segundo considerando de la pieza indica que se busca “asegurar la mayor protección posible, así como establecer las sanciones correspondientes cuando estos (los datos) sean violentados”.
Pese a lo anterior, todas las faltas relacionadas con no tener políticas o medidas de seguridad han sido eliminadas y ya no aparecen reconocidas como tales.
Debido a lo anterior, la diputada Marcela Villatoro (ARENA) señaló la importancia de que la ley cumpla su cometido: “Una ley a medias sin tener protecciones fuertes y medidas de seguridad es como que no existe”.