Organizations Call for Veto of New Cybersecurity and Personal Data Laws Due to Threats Against Freedom of Expression and Press — Organizaciones piden vetar nuevas Leyes de Ciberseguridad y Datos Personales por atentar contra libertad de expresión y prensa

Nov 26, 2024

Six civil society organizations are urging President Nayib Bukele to review or veto the decrees of the new laws and allow for a more extensive discussion to define the functions of the State Cybersecurity Agency in El Salvador. — Las seis organizaciones de sociedad civil piden al presidente Nayib Bukele que observe o vete los decretos de las nuevas leyes y que permita una discusión más amplia para delimitar las funciones de la Agencia de Ciberseguridad Estatal en El Salvador.

On November 25, civil society organizations released a statement expressing their concern over the “almost unlimited power” that the State Cybersecurity Agency will have. They are calling on President Nayib Bukele to review or veto the decrees that established the Cybersecurity and Information Security Law and the Personal Data Protection Law.

The statement, published on social media, is signed by Acción Ciudadana (Citizen Action), the Asociación de Periodistas de El Salvador (APES) (Association of Journalists of El Salvador), Fundación Cristosal, TRACODA, the Instituto Centroamericano de Estudios Fiscales (ICEFI) (Central American Institute for Fiscal Studies), and the Fundación Nacional para el Desarrollo (FUNDE) (National Development Foundation). These groups request that the president “review or veto the decrees approved by the Legislative Assembly, as they infringe on the fundamental rights to freedom of expression and press.”

They acknowledge “the importance of protecting the personal data of Salvadorans and having an entity that coordinates cybersecurity at a state and public level,” but argue that this should not come “at the expense of seriously jeopardizing the fundamental right to freedom of expression and press or affecting the operational capability of the private sector.”

Main Discrepancies with the New Laws

Specifically, they point out that the new laws, approved on November 12 with 57 votes and 3 abstentions, mandate the deletion of personal data. They believe that this could allow “any official or powerful political or economic actor to demand that an organization or media outlet erase the names of individuals accused of acts of corruption.”

They also argue that the new laws propose the creation of the State Cybersecurity Agency (ACE), which will be under the control of the Executive Branch and will have the power to decide when data is inaccurate, outdated, or incomplete. This “opens the door to arbitrariness and creates an entity with the power to decide what should be considered true and what not,” they say.

Furthermore, they point out that the new regulations require even micro and small businesses handling personal data to appoint a data protection officer, which “would increase operating costs in an adverse economic environment.”

They also question why media outlets and civil society organizations are included as obligated entities under the law, while public institutions such as the National Civil Police (PNC) are not. The PNC is “one of the main institutions accused of abusing personal data contained in fraudulent files used to detain thousands of innocent people.”

Finally, they call for the laws to be reviewed or vetoed, and for the discussion to return to the Legislative Assembly. They urge that the input of academia and key stakeholders be considered to improve the drafting of the regulations and better define the functions of the ACE.

LPG: https://www.laprensagrafica.com/elsalvador/Organizaciones-piden-vetar-nuevas-Leyes-de-Ciberseguridad-y-Datos-Personales-por-atentar-contra-libertad-de-expresion-y-prensa-20241125-0041.html

Organizaciones piden vetar nuevas Leyes de Ciberseguridad y Datos Personales por atentar contra libertad de expresión y prensa

Organizaciones de la sociedad civil publicaron este 25 de noviembre un comunicado en el que expresan su preocupación por “el poder casi ilimitado” que tendrá la Agencia de Ciberseguridad del Estado y piden al presidente Nayib Bukele que observe o vete los decretos que dieron vida a las leyes de Ciberseguridad y Seguridad de la Información y de Protección de Datos Personales.

El comunicado que se publicó en redes sociales es firmado por Acción Ciudadana, la Asociación de Periodistas de El Salvador (APES), Fundación Cristosal, TRACODA, el Instituto Centroamericano de Estudios Fiscales (ICEFI) y la Fundación Nacional para el Desarrollo (FUNDE) las cuales piden al presidente de la República que “observe o vete los decretos aprobados por la Asamblea Legislativa, por ser atentatorios de los derechos fundamentales a la libertad de expresión y de prensa”.

Exponen que aunque reconocen “la importancia de proteger los datos personales de los salvadoreños y de contar con una entidad que coordine la ciberseguridad a nivel estatal y para la población”, consideran que esto no debe llevarse a cabo “a costa de poner en riesgo grave el derecho fundamental de la libertad de expresión y de prensa, o de afectar la capacidad operativa del sector privado”.

Principales discrepancias con las nuevas leyes

A nivel específico, señalan que las nuevas leyes, aprobadas el 12 de noviembre con 57 votos y 3 abstenciones, establecen la obligación de eliminar datos personales y consideran que con esto podría prestarse para que “cualquier funcionario o actor con poder político o económico pueda exigir a una organización o a un medio de comunicación borrar los nombres y apellidos de personas señaladas por cometer actos de corrupción”.

También sostienen que las nuevas leyes plantean la creacción de la Agencia de Ciberseguridad del Estado (ACE), la cual estará bajo el control del Órgano Ejecutivo y que tendrá la potestad de decidir cuándo un dato es inexacto, desactualizado o incompleto, “abriendo la puerta a la arbitrariedad y creando un ente con capacidad de decidir qué debe considerarse verdad y qué no”, señalan.

Señalan además que con las nuevas normativas incluso las micro y pequeñas empresas que manejen datos personales deberán nombrar un delegado de protección de estos datos, lo cual “incrementaría los costos de operación en un ambiente económico adverso”.

Cuestionan además por qué los medios de comunicación y organizaciones de sociedad civil han sido incluidos como entes obligados en la ley, pero no instituciones públicas como la Policía Nacional Civil (PNC) “una de las principales instituciones señaladas por abusar de los datos personales contenidos en fichas fraudulentas usadas en la detención de miles de personas inocentes”.

Finalmente, piden que de ser observadas o vetadas las leyes la discusión vuelva a la Asamblea Legislativa y se tome en cuenta la participación de la academia y de actores claves para mejorar la redacción de las normativas y delimitar mejor las funciones de la ACE.

LPG: https://www.laprensagrafica.com/elsalvador/Organizaciones-piden-vetar-nuevas-Leyes-de-Ciberseguridad-y-Datos-Personales-por-atentar-contra-libertad-de-expresion-y-prensa-20241125-0041.html