La protección de datos es transversal a la actividad de las empresas

Recientemente, la Comisión de Soberanía y Relaciones Internacionales analizó las observaciones realizadas al informe del primer debate de la Propuesta de Ley de Protección de datos. Estas observaciones, tienen que ver con las sanciones económicas y más de quince obligaciones identificadas, las mismas que se traducen en costos para las empresas.

Janette Colamarco, socia fundadora de la firma Legaltech Asesores & Consultores, la normativa es nueva para el país, pero marca las reglas del juego y determina la certeza sobre qué tipo de datos se pueden tratar libremente y cuáles no, de modo que será más fácil para las empresas desarrollar las propuestas de negocios que utilizan los datos.

Para la abogada y fundadora de la Asociación Ecuatoriana de Protección de Datos AEPd, con la normativa se tendrá claro que los datos de las personas jurídicas no entran dentro del ámbito de aplicación de la ley, tampoco la anonimización, es de aplicación de la regulación y los datos anonimizados se los puede utilizar libremente.

Además, enfatiza que no se debe satanizar cuando se habla de monetización de los datos, si se cumple con la normativa. “Si una organización cuenta con la autorización del titular y le interesa que le entregue información especifica que cubra sus necesidades está bien hecho, sin embargo, no se puede elaborar perfilamiento de clientes sin tener el consentimiento del titular”.

Mecanismos de  legitimación y responsables de la protección de los datos personales

Los departamentos de Tecnología y Seguridad de la información son piezas claves en el tratamiento de la Ley de Protección de Datos porque han estado tradicionalmente empapados en aspectos de seguridad y el uso correcto de información, sin embargo, Janette Colamarco, menciona que con la aplicación de la Ley de Protección de Datos próxima a aprobarse, es necesario un equipo multidisciplinario integrado por el CEO y CIO y la parte legal a fin de establecer una estrategia para el mejor cumplimiento de la normativa. La organización debe pensar que si no tiene un perfil especializado incorporado a la organización o externamente para asesorarles. 

“Todos los miembros de la organización son responsables de la privacidad desde su ámbito de acción de modo que el trabajo de un equipo interconectado permitirá cumplir con las obligaciones establecidas en la normativa”.

Existen mecanismos de legitimización que da la ley para el tratamiento de datos. Por ejemplo, pedir el consentimiento para hacer uso de la información. Además, la ley establece otros mecanismos de legitimación del uso de datos para obligaciones contractuales. Y otras disposiciones legales, judiciales que permita el uso de la información.

Como principio la Ley te señala qué datos no son personales y se pueden utilizar, como los datos anónimos o anonimizados que no identifican a la persona 

Los datos personales cambian según el desarrollo tecnológico

Los datos personales según recoge la Ley no son estáticos, sino que deben alimentarse según el desarrollo tecnológico. Son considerados datos personales a: nombre, cédula, correo electrónico, y otras formas, por ejemplo, dirección IP.

Al momento, según al estado de la técnica se habla también de los datos biométricos, los que están en la categoría de datos sensibles y corresponde a huellas dactilares, iris de los ojos, geometría de la palma de la mano, reconocimiento facial, reconocimiento de retina, entre otros. Estos deben tener una protección adicional porque son susceptibles de perjudicar o violentar los derechos humanos.

La Ley de Protección de Datos no señala las medidas técnicas a implementar para proteger los datos, pero señala que deben estar acorde con el estado de la técnica y acorde a la sensibilidad de los datos que se trata.

Janette Colamarco recomienda el uso de certificaciones de cumplimiento, normas ISO- sellos de confianza, como una prueba de que la empresa asume el principio de una responsabilidad proactiva, aunque recalca que no son obligatorias.

También menciona la necesidad de recabar el consentimiento específico cada vez que las empresas soliciten datos personales para perfilamiento y entreguen información que el usuario no ha solicitado de modo que no tengan reclamos de tipo administrativo o judicial por incumplimiento de la normativa.

Las empresas deberán proteger muy bien sus bases de datos casa adentro para evitar filtraciones.

• Realizar un análisis de riesgo para determinar vulnerabilidades y amenazas frente a mal uso de bases de datos y según el diagnóstico aplicar medidas de seguridad.

• Elaborar un análisis de impacto en el caso de identificar filtraciones y aplicar medidas adicionales de protección.

La hoja de ruta

A partir de la expedición de la Ley de Protección de Datos Personales, habrá un período de gracia de dos años para que se aplique el régimen sancionatorio., señala la experta en Derecho de Nuevas Tecnologías.

En el tiempo de dos años, no habrá sanción por incumplimiento de la ley y las organizaciones deberían tomar acciones como:

• Implementar una estrategia de “compliance corporativo” con un cronograma de cumplimiento interno.

• Identificar todas las obligaciones de la normativa y ajustar la estructura de la organización para su cumplimiento. Por ejemplo: Receptar las quejas que presenten los usuarios que se sientan afectados. Contar con una estructura a cargo de gestionar las quejas.

• Identificación de la información personal en la organización. Análisis de las bases de datos y determinar aquellas que tengan datos personales.

• Verificar el tipo de tratamiento que la organización está dando a los datos personales y categorizarlos según la sensibilidad de los mismo. Los daros sensibles deberán cumplir con el cumplimiento de requisitos adicionales antes de ser usados. No es lo mismo, recolectar información que hacer un perfilado. 

• Desarrollar un instrumento con el área legal para recabar información con un consentimiento.

• Análisis de seguridad y estado de la técnica.

En definitiva, dice Janette Colamarco, no hay una contradicción entre normas de protección de datos y analítica de datos y big data, tratamos de que, con las observaciones dadas, la normativa sea flexible y equilibrada. La Ley de Protección de Datos traza las reglas de juego y permitirá una proyección de las empresas hacia tecnologías como Big Data y analítica 

“La ley es suficientemente flexible para que al mismo tiempo que protege los datos personales permita también el desarrollo de las nuevas plataformas y soluciones que ofrece la tecnología”.