Históricamente, los ecuatorianos han sido sujetos a un uso indiscriminado de su información personal, la cual es usada para la generación de encuestas, oferta de servicios de todo tipo, promociones, viajes y en la gran mayoría de casos ofertas de servicios de dudosa procedencia.
El artículo 66, numeral 19 de la Constitución de la República del Ecuador, establece el derecho a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos, así como su correspondiente protección. El 26 de mayo de 2021 entró en vigor la Ley Orgánica de Protección de Datos Personales (LOPD) que regula el tratamiento de datos personales realizado por empresas a fin de garantizar el derecho constitucional de su protección.
Pablo Sosa, Gerente de ventas Regional en A3Sec, empresa multinacional de Ciberseguridad, comenta que aquellos datos especialmente protegidos son la Ideología, la afiliación sindical, la religión, las creencias, el origen racial o étnico, el estado de salud, los datos genéticos y biométricos, así lo establece el artículo 9 del Reglamento General de Protección de Datos (RGPD), en el mismo sentido, el artículo 10 de dicho reglamento indica que los datos relativos a condenas e infracciones penales también se deben proteger.
“El mal manejo de la información personal, sumado a leyes que no regulaban el uso de la misma, ha ocasionado una venta directa en el mercado negro y el acceso no regulado ha generado un ambiente propicio para muchos delitos informáticos, tales como suplantación de identidad, phishing o spam” afirma Sosa.
Uso controlado de la información.
Los ciudadanos podrán ejercer sus derechos sobre el uso de la información personal que provean a empresas o dependencias gubernamentales; de la misma forma, las empresas, que de manera autorizada, utilicen la información sensible podrán realizar las actividades que sean propias de su naturaleza empresarial contando con la debida autorización y no estar sujetas a penalizaciones o demandas por el uso no autorizado.
Las empresas que usen los datos proporcionados por los ciudadanos deberán proveer los mecanismos informáticos y de ciberseguridad para garantizar que la información personal a la que tengan acceso pueda ser manejada, manteniendo niveles de seguridad tales como: disponibilidad, integridad y privacidad, autenticidad y legalidad.
Ciberseguridad, el componente crucial.
Para Pablo Sosa, quien cuenta con más de 25 años de experiencia en seguridad informática, la ciberseguridad es un elemento fundamental en la aplicación técnica de la ley de protección de datos personales, pues debe permitir y garantizar el uso de esta información de manera segura y confiable, evitando fugas y además debe servir como base para cualquier acción de auditoría informática o la ejecución de acciones penales ante delitos debidamente comprobables.
Esta ley prevé que las empresas que utilizan los datos personales de los clientes, proveedores, socios, etc, deberán hacerlo en ambientes de ciberseguridad que permitan controles superiores, tales como encriptación de datos en bases datos, sub anonimización y anonimización de datos, prevención de fuga de la información, protección y control de cuentas de acceso privilegiado a sistemas y bases de datos, protección de los puntos de acceso end-point, y la trasmisión de datos de forma segura.
Por lo cual, la implementación de estos controles debe estar alineada a los objetivos estratégicos de las empresas, así como a su arquitectura de ciberseguridad que garanticen la inviolabilidad de los datos que puedan ser accedidos por terceros maliciosos, personal interno o terceros no autorizados.
“La imagen pública de las empresas que manejan esta información se vuelve crítica y en muchos casos su reputación estará sustentada en la forma y los mecanismos de protección de los datos personales y cómo garanticen a los usuarios esta seguridad” declara Sosa.
La Ley de protección de datos busca garantizar el derecho que tienen todos los ciudadanos ecuatorianos a que se resguarden sus datos personales, a poder acceder libremente a dicha información y a decidir sobre la misma con pleno conocimiento de si su uso es autorizado o no y la forma cómo esta información va a ser utilizada.