El Salvador: New Laws Threaten Free Expression, Privacy — El Salvador: Nuevas leyes amenazan la libertad de expresión y la privacidad

Dec 12, 2024

Asamblea legislativa legislative assembly
Government Agency Given Sweeping Powers with Limited Oversight. — Legislación crea una agencia gubernamental con amplios poderes y limitada supervisión.

El Salvador’s recently approved cybersecurity and data protection laws contain sweeping provisions that threaten media freedom and privacy rights, Human Rights Watch said today. 

El Salvador’s Legislative Assembly, dominated by President Nayib Bukele’s party, Nuevas Ideas (New Ideas), approved both laws on November 12, 2024. The cybersecurity law establishes a State Cybersecurity Agency (Agencia de Ciberseguridad del Estado), led by a presidential appointee, to oversee both cybersecurity and data protection. The data protection law creates a “right to be forgotten,” which as drafted gives the agency overly broad powers to order the deletion of information about individuals online. 

“These new laws could be used to delete online publications that are critical of the government under the guise of data protection,” said Juanita Goebertus, Americas director at Human Rights Watch. “This is a recipe for censorship and opacity.”

Under the cybersecurity law, the new government agency develops national policy, manages cyber threats, conducts oversight, and imposes sanctions. It also supervises data protection compliance, issues guidelines, and resolves disputes. The agency’s general director, appointed by the president for a renewable three-year term, serves as its highest authority.

Based on the United Nations Human Rights Council Resolution on the Right to Privacy in the Digital Age, governments should establish national independent authorities to protect private data. These authorities should have the capacity to monitor data privacy practices, investigate violations and abuses, receive communications from individuals and organizations, and provide effective remedies for violations. 

The data protection law’s “right to be forgotten” allows individuals to request the removal of their data from the internet, including search engines and even media outlets, when such information is “inadequate, inaccurate, irrelevant, outdated or excessive.” While the law excludes deletion of personal data that is “necessary for the exercise of the right to free expression, information and the press,” this exception requires published personal information to be “precise” – that is, data may not be published if it is “inaccurate, incomplete, or out of date.” Media outlets and search engines found to violate data protection requirements could face fines of up to 40 minimum monthly salaries. 

This requirement could allow the government to pressure media outlets to delete information of public interest about officials or their allies by claiming the information is inaccurate or incomplete, Human Rights Watch said. 

The Organization of American States’ special rapporteur for freedom of expression has warned that the “right to be forgotten” laws can threaten freedom of expression. While personal data protection is a legitimate aim, it should not be used to restrict the publication of information about public officials or of public interest. The special rapporteur has emphasized that removing online content interferes with both individual expression and society’s right to access information, and should only be ordered by courts following due process. 

The Global Principles on Protection of Freedom of Expression and Privacy, developed by ARTICLE 19, an independent human rights organization promoting and protecting the right to freedom of expression globally, say that any “right to be forgotten” should be strictly limited to de-listing from search results rather than content removal, should include strong procedural safeguards including appeal rights, and should never override the right to information about government officials or matters of public interest.

The data protection law also excludes from its scope any data or activity focused on furthering “public security, state defense, national security, and crime prevention, investigation, detection and prosecution.” While the provision also requires respect for “due process and human rights,” this broad exception allows government agencies to publish personal data for undefined security and crime prevention purposes without restriction, putting individuals’ privacy at risk. 

“In El Salvador’s existing context of opacity and harassment of independent journalists and civil society organizations, there is a serious risk these laws could be weaponized to threaten, silence, or hinder freedom of expression and information,” said Goebertus.

HRW: https://www.hrw.org/news/2024/12/12/el-salvador-new-laws-threaten-free-expression-privacy

El Salvador: Nuevas leyes amenazan la libertad de expresión y la privacidad

Las leyes de ciberseguridad y protección de datos recientemente aprobadas en El Salvador contienen disposiciones amplias que amenazan la libertad de prensa y el derecho a la privacidad, señaló hoy Human Rights Watch.

La Asamblea Legislativa de El Salvador, controlada por el partido del presidente Nayib Bukele, Nuevas Ideas, aprobó ambas leyes el 12 de noviembre de 2024. La ley de ciberseguridad establece la creación de la Agencia de Ciberseguridad del Estado (ACE), dirigida por un director general nombrado por el presidente. Esta agencia tendrá la doble responsabilidad de desarrollar e implementar la normativa relacionada con la ciberseguridad nacional, así como de supervisar y regular los mecanismos de protección de datos. La ley de protección de datos reconoce el “derecho al olvido” que, tal y como está redactado, otorga a la ACE amplias facultades para ordenar la eliminación de información sobre individuos en plataformas y sitios web.

“Estas nuevas leyes podrían utilizarse para eliminar publicaciones on line críticas del gobierno con el pretexto de estar protegiendo datos personales”, expresó Juanita Goebertus, directora para las Américas de Human Rights Watch. “Estas leyes son una fórmula ideal para aumentar la censura y la opacidad”.

La ley de ciberseguridad otorga amplias atribuciones a la nueva agencia gubernamental incluyendo desarrollar la política nacional de ciberseguridad, gestionar amenazas cibernéticas, realizar funciones de supervisión e imponer sanciones. La ACE también es la responsable de supervisar el cumplimiento de la protección de datos, emitir directrices y resolver disputas. El director general de la agencia es nombrado por el presidente por un período de tres años, con posibilidad de reelección, y ejercerá como la máxima autoridad de la entidad.

Según la resolución del Consejo de Derechos Humanos de la ONU sobre el derecho a la privacidad en la era digital, los gobiernos deberían establecer autoridades nacionales independientes para la protección de datos personales. Estas entidades deberían tener facultades para supervisar las prácticas de privacidad de datos, investigar violaciones y abusos, recibir denuncias de individuos y organizaciones, y proporcionar mecanismos efectivos de reparación ante violaciones de derechos.

La ley de protección de datos establece un “derecho al olvido” que permite a los individuos solicitar la eliminación de sus datos de internet, incluyendo motores de búsqueda y hasta medios de comunicación, cuando consideren que estos datos son “inadecuados, inexactos, no pertinentes, no actualizados o excesivos”. Aunque la ley excluye la eliminación de datos personales cuando sean “necesarios para ejercer el derecho a la libertad de expresión, de información y prensa”, esta excepción está condicionada a que los datos publicados cumplan con el  “principio de exactitud” – es decir, no pueden publicarse si son “inexactos, incompletos o desactualizados”. Los medios de comunicación y motores de búsqueda que incumplan con los requisitos de protección de datos podrían ser sancionados con multas de hasta 40 salarios mínimos mensuales.

Este requisito podría permitir al gobierno presionar a los medios de comunicación para eliminar información de interés público sobre funcionarios o sus aliados alegando que la información es inexacta o incompleta, señaló Human Rights Watch.

El Relator Especial para la Libertad de Expresión de la Organización de Estados Americanos (OEA) ha señalado que las leyes sobre el “derecho al olvido” pueden representar una amenaza a la libertad de expresión. Si bien la protección de datos personales es un objetivo legítimo, no debería utilizarse como mecanismo para restringir la publicación de información sobre funcionarios públicos o asuntos de interés público. El relator especial ha enfatizado que la eliminación de contenido on line interfiere tanto con la expresión individual como con el derecho colectivo de la sociedad a acceder a la información, y solo debería ser ordenado por tribunales judiciales luego de un debido proceso.

Los principios globales sobre la protección de la libertad de expresión y privacidad, desarrollados por ARTICLE 19, una organización independiente de derechos humanos que promueve y protege el derecho a la libertad de expresión globalmente, establecen que el “derecho al olvido” debería ser limitado estrictamente a retirar resultados de motores de búsqueda en lugar de eliminar contenido, debería incluir fuertes salvaguardas procesales incluyendo derechos de apelación, y bajo ninguna circunstancia debería anular el derecho a la información sobre funcionarios gubernamentales o asuntos de interés público.

La ley de protección de datos también excluye de su ámbito de aplicación los datos o actividades relacionados con la “seguridad pública, la defensa, la seguridad del Estado, prevención, investigación, detección y represión del delito”. Aunque la disposición incluye una cláusula que exige el respeto al “debido proceso y los derechos humanos”, esta excepción definida de forma imprecisa otorga a las agencias gubernamentales una amplia discrecionalidad para publicar datos personales bajo justificaciones generales de seguridad y prevención del delito, poniendo en riesgo la privacidad de los individuos.

“En el contexto actual de opacidad y acoso a periodistas independientes y organizaciones de la sociedad civil en El Salvador, existe un grave riesgo de que estas leyes puedan ser utilizadas como un instrumento para amenazar, silenciar o obstaculizar el ejercicio de la libertad de expresión e información”, señaló Goebertus.

HRW: https://www.hrw.org/es/news/2024/12/12/el-salvador-nuevas-leyes-amenazan-la-libertad-de-expresion-y-la-privacidad