Ecuador y la nueva Ley de Protección de Datos
Share
Por: Pablo Solines Moreno
Ecuador se encuentra a puertas de la entrada en vigor de su primera ley de protección de datos personales. Todo el país está expectante del impacto que tendrá esta norma, en primer lugar, en la vida de los ciudadanos, pues, llegó el día en que no sólo que un cuerpo normativo reconoce derechos a su favor que garantizarían una adecuada protección a sus datos personales y a su privacidad, sino que, además, se les otorga herramientas jurídicas eficaces para ejercer y hacer respetar esos derechos; y, en segundo lugar, en las actividades que desarrollan empresas, instituciones, organizaciones y todo aquel que, de una u otra forma, realiza la recolección, almacenamiento, y/o utilización de datos personales de terceros. Esto, debido a que la nueva normativa exigirá a todos aquellos responsables de estos datos personales implementar una serie de medidas internas que contribuyan a una adecuada protección de estos y, así, se evite su acceso no autorizado, su filtración y su utilización para fines diferentes a los que fueron recogidos.
Esto cambia diametralmente la concepción de la persona como titular de derechos sobre sus datos personales, pues a éstos se les otorga un valor de importante magnitud, que gozan de protección jurídica y que obliga a todos a respetarlos, cuidarlos y no menospreciarlos.
Así, la nueva ley de protección de datos personales crea una autoridad de control que está llamada a velar por el cumplimiento de la normativa, principalmente, de todos aquellos que realizan(mos) tratamientos de datos personales; y, además, de garantizar el correcto ejercicio de los derechos reconocidos a favor de los ciudadanos.
A la autoridad de control, concebida en una Superintendencia de Protección de Datos, se le ha otorgado la facultad de revisar las actuaciones de los responsables (y encargados) de datos personales de terceros, de que los ciudadanos puedan acudir a ella en caso de que consideren infringidos sus derechos y, así mismo, de que pueda aplicar sanciones a aquellos que incumplan con sus obligaciones, pudiendo éstas llegar a ser de carácter económico, de importante cuantía.
Así, se regula y reivindica un derecho de los ciudadanos, expresamente reconocido por primera vez en nuestra Constitución del año 2.008, la protección de los datos personales (Art. 66 No. 19), que, hasta la fecha, ha sido meramente declarativo, sin
ser observado ni respetado, debido a su falta de desarrollo en el ordenamiento jurídico ecuatoriano.
Pese a que la nueva ley de protección de datos era una deuda pendiente del legislador ecuatoriano, de 2 o 3 décadas, no es menos cierto que, el hecho de que se lo haya aprobado en el año 2021 ha permitido que nuestra ley recoja las nuevas tendencias normativas en esta materia y dé, en gran medida, respuesta a las principales inquietudes que plantea un mundo globalizado y tecnificado en el que nos encontramos.
Una de las principales características que trae consigo la nueva ley es la concepción de la “protección de datos desde el diseño”, esto es, el deber de la empresa u organización de tener en cuenta, en las primeras fases de concepción y diseño de un proyecto, los riesgos que entrañan aquellos tratamientos de datos personales previstos en el proyecto, a efectos de implementar las medidas técnicas, organizativas y de seguridad adecuadas, con miras a garantizar el respeto del derecho a protección de datos de los ciudadanos y a cumplir con las obligaciones que impone la ley. Este deber de cumplimiento se extiende a la obligación de demostrarlo ante la autoridad de control, en caso de que así sea requerido.
La nueva ley reconoce, así mismo, algunos principios de importante calado, a efectos de que el sistema funcione adecuadamente y se eviten abusos, como es el de “minimización de datos”, que determina que los datos personales deben ser aquellos precisos y limitados específicamente a lo necesario para el cumplimiento de la finalidad del tratamiento. Esto va de la mano con otra concepción importante e innovadora de la ley que se refiere a la “protección de datos por defecto” que hace referencia a que, en un emprendimiento o proyecto, el responsable aplique las medidas técnicas y organizativas adecuadas con miras a que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines propuestos dentro del proyecto.
Otro elemento que se debe destacar de la ley es que incorpora un concepto moderno de “consentimiento», que otorga el titular de los datos personales a un tercero, pues, al igual que la más reciente normativa europea, determina que el consentimiento debe estar dado a través de una acción clara y afirmativa del titular, con lo cual, no se reconoce una práctica común de muchos (sobre todo en el entorno digital) de pretender obtener el consentimiento del titular en forma tácita. Ello obliga a ser bastante más cauto y precavido a la hora utilizar datos personales de terceros.
Como expresaba al inicio, la nueva ley obliga a empresas y organizaciones a modificar sus procesos internos y prácticas generalizadas, y que conciban a la protección de datos personales como un eje transversal de todas sus actividades y áreas de trabajo, a efectos de que procuren implementar políticas y procesos internos, estructurar adecuadamente la documentación y contratos, capacitar a su personal, implementar herramientas tecnológicas que permitan un adecuado control de la trazabilidad de los datos, entre otros aspectos, que son necesarios, no sólo para cumplir con la ley, sino, como decía anteriormente, para justificar este cumplimiento, a efectos de evitar ser sancionado por la autoridad o ser objeto de reclamaciones por parte de los interesados. El tratamiento de datos personales
dentro de una empresa u organización está presente en casi todas sus áreas de trabajo, tanto comercial, de recursos humanos, tecnología, marketing, operaciones, entre otros, pues, los datos personales que circulan al interno son de diverso orden: de clientes, de personal, de proveedores, y muchos otros que exigen protección y diligencia debida, de acuerdo a su tipo, más aún, considerando que, en varios casos, se cuentan con datos sensibles (como los de salud, datos biométricos, filiación política, etnia, identidad de género, entre otros), que, además, merecen una especial protección a través de medidas específicas y más robustas. Es así, que la ley de protección de datos deberá ser observada y cumplida por todos los sectores que conforman la actividad económica del país, incluyendo el financiero, turístico, salud, educación, seguros, comercio, agrícola, telecomunicaciones, transporte, marketing, publicidad, entre otros, así como las instituciones del sector público.
Los nuevos retos que impone la ley de protección de datos personales a empresas y organizaciones son de variado alcance y complejidad y es por ello que se ha previsto que el régimen sancionatorio incorporado en la ley entre en vigencia dos años después de su promulgación, a efectos de una correcta adaptación a las nuevas exigencias que plantea la norma; sin embargo, es muy importante aclarar que la ley sí que entra en vigencia desde su promulgación, quedando postergado únicamente la facultad sancionatoria de la autoridad de control, por lo que, las empresas y organizaciones están llamadas a cumplir con la norma desde el día uno. El no hacerlo implicaría, por un lado, que se constituyan en infractoras para los efectos que plantea la ley (sobre todo en caso de reincidencias y agravantes) y, en segundo lugar, por cuanto, en caso de incumplimientos, los titulares de los datos personales podrán ejercer sus derechos y, así mismo, buscar el resarcimiento de los daños y perjuicios que se les pueda causar, a través de las instancias judiciales pertinentes, ello, sin considerar la responsabilidad penal por delitos que, sobre la materia, están vigentes en nuestra legislación.
Ecuador definitivamente ha ganado con una ley de protección de datos, que, aunque con algunos defectos que deberán ser corregidos, constituye un gran paso para la transformación digital. La ley protege al ciudadano que es el deber natural y propio de un Estado; luego, define una serie de reglas claras que deben ser cumplidas por todos, lo cual otorga seguridad jurídica; ello obliga a los actores, empresas, organizaciones, instituciones públicas, a redefinir y mejorar sus procesos en esta materia, en beneficio de una cultura de protección de datos; permite un mayor flujo de información de datos personales, de forma segura y controlada; plantea menores barreras de entrada a mercados internacionales; facilita las transacciones entre empresas de distintos países; Ecuador se convierte en un destino seguro para receptar datos personales, lo cual es muy importante en la era de la información que actualmente vivimos; es decir, desde todo aspecto, nuestro país se beneficia con la ley. Ahora, todo depende de nosotros, de la madurez con que la adoptemos y cumplamos.