New Cybersecurity and Data Laws Raise Concerns of Censorship and Transparency — Temen opacidad y censura con nuevas leyes sobre datos y ciberseguridad en El Salvador

Nov 24, 2024

Lawyers, specialists, and the APES (Association of Journalists of El Salvador) rapporteur for freedom of expression analyze the recently approved Cybersecurity and Personal Data Protection Laws. They believe there are both positive and negative aspects that need to be communicated to the public. — Abogados, especialistas y el relator para la libertad de expresión de la APES analizan las recién aprobadas Leyes de Ciberseguridad y Protección de Datos Personales. Consideran que hay puntos positivos y negativos que deben ser informados a la ciudadanía.

Following the recent approval of the Cybersecurity and Information Security Law and the Personal Data Protection Law, LA PRENSA GRÁFICA consulted with experts on the subject about the benefits and limitations these could generate in exercising other rights, such as freedom of expression, freedom of information, and freedom of the press, in addition to how these two new tools could be used in the future.  

According to the specialists consulted, three of the most important issues to examine are the role of the State Cybersecurity Agency (ACE), an entity that will be controlled from the Office of the President, the potential prior censorship of personal data, and the “right to be forgotten” considered in the new laws. 

Regarding the latter, Hugo Sánchez, the rapporteur for freedom of expression of the Asociación de Periodistas de El Salvador (APES) (Association of Journalists of El Salvador), warns that while there are international regulations governing this matter, it cannot be analyzed without considering the current context of the country, especially during the framework of a state of exception.  

“We can note a concern that the ‘right to be forgotten’ may be used by public figures to attempt to silence or make inaccessible journalistic investigations that may shed light on acts of corruption or mismanagement in public administration. The Inter-American Commission on Human Rights’ Rapporteur for Freedom of Expression has already made warnings about this right,” he stated.  

This “right to be forgotten” is regulated in Article 10 of the Personal Data Protection Law. It allows any citizen to request the removal of their data from a website, for example, if the data is inaccurate or obtained illegally.  

However, according to the law, this should not limit freedom of expression. Yet, legal experts in the field fear that the ambiguity in the way the law is written could lead to misuse. 

“Section C) of the second paragraph of Article 10 could open the door to censorship, enabling the suppression of information or parts of information, and this could conflict with freedom of the press and the right to information,” analyzed Laura Nathalie Hernández, an attorney specializing in cybersecurity.  

“While it is important to regulate the protection of personal data in both the private and public spheres, safeguards must also be established to respect human rights and ensure they do not interfere with freedom of the press, freedom of expression, and access to information, which are not well-developed in this law,” the specialist added.  

Hernández went further, stating that it is imperative to consider who will have the authority to interpret and enforce the law, in this case, the ACE.  

Government Control

Under these new laws, the Salvadoran government must create the State Cybersecurity Agency (ACE), whose head will be appointed by President Nayib Bukele. According to experts, this raises concerns about the level of control the agency might exert over independent media or critical voices against the government.  

“Cybersecurity laws are key tools used by many countries to protect themselves against cyberattacks that might compromise state operations and jeopardize citizens’ privacy. In democratic nations, their application seeks a balance between security and human rights, and between security and freedom of information. But in authoritarian regimes, instead of protecting citizens’ rights, they can be used to increase censorship, exercise greater state control over information, and restrict citizens’ right to freedom of information,” analyzed Jeannette Aguilar, an expert in public security policies.  

Jonathan Cisco, from Cristosal, expressed a similar view, stating there will not be a healthy balance if the ACE is solely controlled by the government without representation from civil society.  

“It is a mistake for the State Cybersecurity Agency to be the leading and sanctioning authority in cases of non-compliance with the Personal Data Protection Law, as it becomes both judge and jury. The Cybersecurity Law has some positive aspects but also very negative ones; for instance, it creates sophisticated mechanisms for state surveillance, with the evident goal of preventing public officials and employees from leaking information to the media,” Cisco said. 

In El Salvador, there are various examples of classified information regarding homicide statistics, disappearances, illnesses, public tenders, and public works. In 2024, some data emerged partially through hacker leaks, such as those by Ciberinteligencia SV. 

Criminal lawyer Oswaldo Feusier believes that the media and journalists cannot be penalized for using such leaks, as they often contain information that is of public interest and newsworthy. This opinion is shared by fellow criminal lawyer Otto Flores, who emphasized that government institutions are responsible for safeguarding citizens’ personal information.  

“The Constitutional Chamber declares that information (published in a news outlet) must be truthful, understood as verified and corroborated information. Therefore, journalists cannot be held responsible for errors or shortcomings in the databases they consult, as they are not tasked with managing personal data,” added Hugo Sánchez, the APES rapporteur for freedom of expression.  

LPG: https://www.laprensagrafica.com/elsalvador/Temen-opacidad-y-censura-con-nuevas-leyes-sobre-datos-y-ciberseguridad-en-El-Salvador-20241119-0066.html

Temen opacidad y censura con nuevas leyes sobre datos y ciberseguridad en El Salvador

Tras la reciente aprobación de las leyes de Ciberseguridad y Seguridad de la Información y de Protección de Datos Personales, LA PRENSA GRÁFICA consultó con expertos en la materia sobre los beneficios y limitantes que estás podrían generar para el ejercicio de otros derechos, como el de libertad de expresión, libertad de información y libertad de prensa, además del uso que puede dársele a las dos nuevas herramientas en el futuro.

Para los especialistas consultados, tres de los puntos más importantes que deben analizarse son el papel que tendrá la Agencia de Ciberseguridad del Estado (ACE), un ente que será controlado desde la Presidencia de la República, la censura previa que podría generarse sobre datos personales y el derecho al olvido, contemplado en las nuevas leyes.

Sobre este último, Hugo Sánchez, relator para la libertad de expresión de la Asociación de Periodistas de El Salvador (APES), advierte que si bien hay legislaciones internacionales que lo regulan, no se puede analizar sin tomar en cuenta el contexto actual de nuestro país, en el marco de un régimen de excepción.

“Podemos advertir una preocupación en cuanto a que el derecho al olvido se ocupe por personajes públicos para intentar silenciar o volver inaccesibles investigaciones periodísticas que puedan estar dando luces a actos de corrupción o malos manejos desde la administración pública. Hay advertencias que ya ha hecho la Relatoría de Libertad de Expresión de la OEA (Organización de los Estados Americanos) sobre este derecho”, expuso.

Este derecho al olvido está regulado en el artículo 10 de la Ley de Protección de Datos Personales y consiste en que cualquier ciudadano pueda pedir que se borren sus datos de un sitio web, por ejemplo, si estos son inexactos o si se han obtenido ilícitamente.

Sin embargo, según la Ley, esto no debe limitar la libertad de expresión, aunque abogados expertos en la materia temen que la ambigüedad bajo la que está escrita la norma genere un mal uso del mismo.

“El literal C) del inciso segundo del artículo 10 podría abrir la ventana para la censura, para que se suprima información o pedazos de información y eso podría entrar en conflicto con la libertad de prensa, con el derecho a la información”, analizó la abogada Laura Nathalie Hernández, experta en seguridad informática.

“Si bien es importante regular la protección de datos personales tanto a nivel privado como público, también se deben generar salvaguardas que respeten los derechos humanos y que no interfieran con la libertad de prensa, libertad de expresión y el acceso a la información, lo cual no está muy bien desarrollado en la ley”, añadió la especialista.

Hernández va más allá y sostiene que es muy importante también pensar en quién tendrá el control de interpretar y aplicar la ley, en este caso, la ACE.

Control gubernamental

A partir de estas nuevas leyes el gobierno salvadoreño deberá crear la Agencia de Ciberseguridad Estatal (ACE), cuyo titular debe ser designado por el presidente Nayib Bukele. Esto, según los expertos, es un punto de preocupación por el control que esta pueda ejercer sobre medios de comunicación independientes o voces críticas hacia el gobierno.

“Las leyes de seguridad cibernética son herramientas claves utilizadas por muchos países para protegerse de ataques cibernéticos que puedan comprometer el funcionamiento del Estado y poner en riesgo la privacidad de los ciudadanos. En países democráticos su aplicación busca un equilibrio entre seguridad y derechos humanos y entre seguridad y derecho a la información. Pero en regímenes autoritarios, en lugar de proteger los derechos de los ciudadanos, pueden ser utilizadas para aumentar la censura, ejercer un mayor control estatal sobre la información y restringir el derecho a la libertad de información de los ciudadanos”, analizó Jeannette Aguilar, experta en políticas de seguridad pública.

Una posición similar tiene Jonathan Cisco, de Cristosal, quien afirma que no habrá un sano equilibrio si la ACE solo es controlada por el gobierno, sin representación de la sociedad civil.

“Es un error que la Agencia de Ciberseguridad del Estado sea la entidad rectora y sancionadora ante incumplimientos a la Ley de Protección de Datos Personales, ya que se convierte en juez y parte. La Ley de Ciberseguridad tiene algunos puntos positivos, pero otros muy negativos, por ejemplo: se crean mecanismos sofisticados para la vigilancia estatal y el objetivo evidente es impedir que funcionarios y empleados públicos puedan filtrar información a medios de comunicación”, dijo.

En El Salvador existen diversas reservas de información sobre estadísticas de homicidios, desaparecidos, enfermedades, licitaciones y obras públicas. En 2024 se han conocido datos en parte por filtraciones de hackers, como las realizadas por Ciberinteligencia SV.

El abogado penalista Oswaldo Feusier consideró que los medios de comunicación y los periodistas no pueden ser sancionados por usar este tipo de filtraciones, puesto que en muchas ocasiones estas contienen datos que son de relevancia pública y noticiosa. Esta opinión también es compartida por el también penalista Otto Flores, quien hizo incapié en que son las instituciones gubernamentales las que están obligadas a cuidar la información personal de los ciudadanos.

“La Sala de lo Constitucional dice que la información (que se publica en un medio de comunicación) debe ser verídica, entendida como información verificada y contrastada, por lo que no se le puede responsabilizar al periodista por errores o fallas que pueden contener las bases de datos que consulta, porque no es quien tiene la responsabilidad del manejo de datos personales”, agregó Hugo Sánchez, relator de libertad de expresión de la APES.

LPG: https://www.laprensagrafica.com/elsalvador/Temen-opacidad-y-censura-con-nuevas-leyes-sobre-datos-y-ciberseguridad-en-El-Salvador-20241119-0066.html