Llegó el día que parecía estar lejano cuando esta ley fue aprobada por la Asamblea Nacional. Primero porque disponíamos de dos años de gracia para prepararnos y entender sus implicaciones; y segundo, porque la designación del Superintendente de Protección de Datos Personales, autoridad competente para controlar su debida aplicación, demoró más allá de lo esperado.
Pequeñas, medianas y grandes empresas o negocios manejamos información de clientes, colaboradores y proveedores, y el uso que demos a esa información ya no está sujeta al libre albedrío de quien la posee. Protección, respeto, prolijidad, llámese como quiera, es información que debe ser manejada con cautela.
El estudio jurídico Spingarn cuenta con el área de Protección de Datos Personales y Derecho Digital que es una de las más destacadas a nivel nacional e internacional. Lorena Naranjo, PHD en Ciencias Jurídicas y Políticas es su Directora, Daniela Macías y Matthew Armijos son abogados senior del área. Con ellos conversamos para entender los tejes y manejes de esta nueva ley.
Lorena Naranjo, Matthew Armijos y Daniela Macías
¿Qué originó la creación de la ley de protección de datos personales?
Esta ley se crea como una necesidad para el sector empresarial, el sector económico y para las personas en general, que necesitan la garantía de su derecho constitucional a la protección de sus datos personales. Las empresas necesitan directrices para saber cuál es el debido uso de esos datos para realizarlo de forma adecuada, lícita y legítima, en este mundo digital e hiperconectado en el que el dato es el activo más valioso.
¿Cómo define la ley qué es un dato personal?
Los datos personales son los que identifican a la persona, por ejemplo los documentos de identidad de uso común: pasaporte, cédula, licencia o papeleta de votación. Los hay más complejos, que son los que combinados con otras variables generan lo que se conoce como la teoría del mosaico. Y es que con fragmentos de información podemos saber más de una persona, por ejemplo si tiene alguna enfermedad, a dónde viaja, qué compra, su tendencia política y hasta su orientación sexual.
¿Con esta ley se pretende evitar el abuso en la utilización de estos datos?
Hay que delimitar las reglas para que este uso de datos genere oportunidades tanto para el sector empresarial y económico como para el Estado, a través del uso de esta información, sin que esto signifique un detrimento a la dignidad humana. El dato es lo que somos como personas, revela nuestras tendencias de vida, y en este nuevo entorno digital, esta composición de datos nos ayuda a direccionar productos y servicios. Si nos montamos en el tren de innovación, esto generará muchísimas más oportunidades para Ecuador.
Es decir, ¿adaptarnos al mundo digital y utilizar esta información para beneficio de todos, pero con reglas?
Hay que entenderlo a fondo: los datos son la persona, solo que en el entorno digital. El mundo actual está manejado por modelos de negocios basados en un ecosistema digital, donde la fuente es el dato personal, porque permite que las empresas sepan qué quiere el consumidor, cómo venderle, e incluso cómo llegar a incidir en su momento de compra y proyectar sus compras futuras. Este nivel de captación de información es la esencia en la competencia de las organizaciones. El problema es que, como en todo en la vida, hay abusos, y por eso se creó un derecho fundamental para que sepamos qué se está haciendo con nuestros datos.
¿Las personas deben autorizar el uso de sus datos para fines específicos?
Así es. Se dan casos en los que esos datos se almacenan en una base ilegal, o en bases legales, pero con errores que pueden perjudicar a la persona o discriminarla, o se los está usando de forma inadecuada. Un dato incorrecto puede, por ejemplo afectar el score crediticio de un ciudadano, impidiéndole acceder a crédito en el sistema financiero, y podría darse el caso de que ese dato fue obtenido de forma ilícita con el objetivo de causar perjuicio a la persona.
¿A qué se refiere con obtener de forma ilícita?
Está prohibido vender datos. Esa costumbre anterior está desterrada. La ley establece las bases legitimadoras, que son los habilitantes para determinar si esos datos se pueden usar o no, dependiendo de su origen. Veamos con ejemplos. Si un juez ordena la entrega de información, ese origen es lícito y quien lo recibe puede utilizarlo. Pero si el Registro Civil vende su base de datos, quien la obtiene estaría cayendo en un acto ilícito. Sí se puede autorizar consultas en la base del Registro Civil, por ejemplo a una entidad financiera, para verificación de que el crédito se está entregando a la persona que el solicitante dice ser. Eso se llama interoperabilidad, y es legal siempre y cuando cuente con autorización del titular o de la Ley.
Hoy se puede ingresar a la página de la Superintendencia de Compañías y ver en qué empresas es accionista una persona. ¿Eso es lícito?
Sí, porque ese dato personal es accesible al público, dado que le permite este acceso para que se puedan realizar ejercicios de control. Sin embargo, en estas plataformas solamente se puede consultar el cargo de la persona en una sociedad o su condición de accionista, pero no así la información de su domicilio personal, contacto u otro detalle privado.
¿Compartir datos de clientes es ilegal así no haya transacción monetaria?
A menos que la persona autorice que se comparta su información, la transacción es ilegal aun cuando haya sido cedida de manera gratuita. Al ser autodeterminación informativa, las personas tenemos el derecho de saber a quién, para qué, cómo, durante cuánto tiempo se pretende usar nuestra información y la forma en que se lo hará, para que la persona autorice o niegue su uso.
¿Cómo asegurar que los proveedores de las empresas no compartan con terceros la información que se les entrega?
Usemos el ejemplo de los couriers. Ellos reciben toda la información personal de los clientes de una empresa para realizar entregas de productos. Primero, la empresa debe tener autorización de su cliente para compartir su información con el courier, esto debe estar explícito en la política de protección de datos para que el cliente lo apruebe, y si hay más complejidades, se incluyen términos y condiciones. Segundo, la empresa debe firmar un documento con el courier, estableciendo el uso exclusivo que éste podrá dar a la información recibida.
¿Qué debe incluir ese documento que firman las empresas con sus proveedores?
Quien origina la base de datos tiene la responsabilidad de seguir el hilo hasta el final del camino en cuanto al uso que se dará a esos datos. En este documento deben constar las condiciones que delimitan las acciones que el proveedor puede realizar, y se detallan las prohibiciones específicas, por ejemplo la transferencia a terceros de esta información. Además, debe detallarse los mecanismos técnicos y las seguridades con las que el proveedor deberá manejar esta información, la utilidad que puede darle, la finalidad y el tiempo de conservación.
¿Esta ley es de obligatorio cumplimiento para todas las empresas, independientemente del tamaño que tengan?
Sí, porque la protección de datos es un tema transversal a todo tipo de industria y área de la sociedad, desde educación, salud, comercios, minería, petróleo, servicios profesionales, etc. Debemos entender que todas las organizaciones manejan datos personales de colaboradores y accionistas. Esta norma incluso la debe cumplir el Estado que, de hecho, es el mayor tenedor de datos.
Es imposible actuar con respeto a esta ley sin asesoría profesional, y eso resultará muy oneroso para pequeñas y medianas empresas…
La norma prevé esta situación y establece un proceso técnico en el que se evalúan los costos y la realidad de la empresa, para que el servicio de asesoría que requieren sea diferenciado, y la regula con base a principios y a derechos. Es un tema un poco complejo porque se compone de distintas aristas que establecen, por ejemplo, que una empresa tiene que cumplir con esquemas de seguridad en proporción a su tamaño. No se puede exigir lo mismo a una pyme que a un banco, porque la sensibilidad de la data que manejan es distinta.
La ley incluso exige la contratación de un delegado de protección de datos permanente en las empresas. Otro costo alto…
En ciertos casos es necesario, no en todos. El delegado de protección de datos no es el que implementa la norma ni ejecuta las acciones que la ley exige. Es una persona especializada, totalmente independiente, que supervisa lo que ha hecho la compañía para cumplir con esta ley, y da su asesoría para que se tomen los correctivos necesarios. Este asesor debe ser abogado o ingeniero en tecnologías, pero dada la transversalidad de aplicación de la ley, debería también tener conocimientos en gestión empresarial, como administración o marketing. Este delegado, además, será el punto de contacto con la autoridad de control.
¿El delegado tiene alguna responsabilidad legal por mal asesoramiento?
Tiene responsabilidad administrativa, civil y penal en el ámbito privado y en el ámbito público, como consecuencia a una mala asesoría, mala supervisión, abuso de confianza, o por no gestionar las funciones que le han sido encomendadas, y que esto ocasione el incumplimiento de la norma por parte de la empresa. El delegado puede ser contratación interna o externa. Es recomendable que sea externa para que no exista conflicto de intereses.
Matthew Armijos, Daniela Macías y Lorena Naranjo
¿Cuál es la autoridad competente para dirimir en casos de abuso de uso de datos?
El Superintendente de Protección de Datos emitirá una resolución administrativa en la que puede ordenar medidas correctivas que deberán aplicarse dentro de un plazo específico, o puede establecer multas económicas, que en caso de reincidencias pueden ser muy altas. Esta autoridad puede actuar a petición de parte o de oficio. La Superintendencia aún no tiene personal interno y será difícil que en estos meses actúe de oficio, pero las denuncias que se presenten tendrán que ser atendidas dentro de los plazos legales especificados en la norma.
¿Qué garantía hay de que se cumplan esos plazos?
A diferencia de otras leyes que son regulatorias, esta implica un derecho, y los derechos se garantizan. Esta norma es de aplicación directa y priorizada sobre las demás. Pronto veremos al Superintendente dictando las primeras resoluciones sobre reclamos que expongan violación de derechos de empresas de todo tamaño, porque no conocer la ley no exime a las empresas de cumplirla. Es el perjudicado el que presenta su denuncia cuando su derecho ha sido vulnerado.
¿Qué nivel de asesoría brindan ustedes?
Spingarn es de los pocos estudios jurídicos que tiene la característica de trabajar de forma multidisciplinaria, con asesorías en todos los campos jurídicos. Nosotros somos abogados digitales, y trabajamos con un equipo que está conformado por diversos perfiles profesionales que impactan en esquemas organizacionales de forma transversal, pues con nuestros expertos podemos aplicar medidas organizativas, jurídicas, técnicas, tecnológicas y administrativas, que apalanquen los objetivos estratégicos de nuestros clientes para convertirnos en su mejor aliado.
¿Están optimistas en cuanto a la acogida que tendrá esta ley en la sociedad?
Es que es la única forma para que el país logre la transformación digital y sea parte del mundo actual. Nosotros trabajamos en la Dinardap entre 2017 y 2021, y escribimos de puño y letra la Ley de Protección de Datos. La tesis de doctorado de Lorena es la base teórica para esta ley, que fue motivo de una intensa investigación para descubrir cuáles son los habilitantes para la transformación digital. Hay cinco elementos que permiten que un país sea considerado como país digital. Primero, identidad digital: firma electrónica, cédula con chip. Segundo, interoperabilidad: intercambio de información controlada. Tercero, servicios digitales; cuarto, protección de datos y talento para aprovecharlos; y quinto, ciberseguridad. Esta ley engloba estos cinco pilares y nos abrirá las puertas al mundo.