La Ley de Protección de Datos Personales fue aprobada por el pleno de la Asamblea

Diecinueve meses después de que comenzara el debate de la Ley de Protección de Datos Personales, hoy 10 de mayo de 2021, el pleno de la Asamblea Nacional la aprobó. El proyecto presentado busca regular el tratamiento y la protección de datos genéticos, crediticios y otros personales —como, por ejemplo, la orientación sexual o la afiliación religiosa e, incluso, el pasado judicial. La Ley fue aprobada con 118 votos a favor de los 137 asambleístas que tiene el legislativo ecuatoriano. 

La sesión de hoy inició con la lectura del informe para segundo debate preparado por la Comisión de Soberanía y Relaciones Internacionales, presidida por Dennis Marín, asambleísta del Partido Social Cristiano. Marín  dijo que la Comisión recibió observaciones a 36 artículos por parte de seis legisladores y cinco organizaciones nacionales y extranjeras expertas en la materia. 

Marín explicó que la ley garantiza la protección de datos fundamentales, incluyendo aquellos que permiten un tratamiento de datos justos y responsables. Esta ley “empodera a las personas con sus derechos para controlar sus datos, al establecer un sistema de protección con características propias de un régimen moderno”, dijo Marín, quien también dijo que uno de los temas que más señalamientos recibió fue la conformación del sistema de protección de datos que contempla la ley. Según Marín,  una Superintendencia de Protección de Datos Personales, cuya función será llevar un registro nacional de protección de datos, fundamentalmente. La entidad, dijo el asambleísta socialcristiano, será una entidad independiente de la Función Ejecutiva.

Lorena Naranjo, directora nacional de Registro de Datos Públicos, en una entrevista telefónica con GK, explicó que el Ecuador necesitaba una “ley moderna que protegiera los datos de la ciudadanía”. El proyecto fue presentado por el Presidente de la República y fue preparado por el Registro encabezado por Naranajo. Según ella, su elaboración tomó dos años antes de presentarla a la Asamblea. Aunque en un inicio hubo varios desacuerdos, sobre todo en el tema de las multas, finalmente se llegó a consensos, dijo. “La ley no está hecha para sancionar sino para cuidar de la información de los ciudadanos”, dijo Naranjo. 

Naranjo dice que la Ley de Protección de Datos Personales establece directrices para que los responsables del tratamiento de datos públicos o privados procesen la información personal de sus clientes, usuarios y de los ciudadanos en general  de forma legítima. 

Entre los principios que deberán respetarse, está el del consentimiento: las empresas no podrán usar la información de una personas para contactarlas por ningún medio —mensajes, llamadas telefónicas— ofreciendo servicios sin previa autorización del cliente. Otro de los principios es el de calidad que ordena que las empresas deben comprometerse a guardar la información actualizada del cliente para que este pueda tener servicios e información que le sean útiles y valiosos. Otro de los principios que se aplicará será el de finalidad, que prohíbe la recolección de datos como un fin mismo, sino que solo se puede hacer con un fin específico y legítimo. 

Naranjo dijo que, aunque estos son los principales, también hay otros principios que son importantes en determinados casos, como es el de conservación y portabilidad. 

La portabilidad implica que una persona que desee cambiar de proveedor de un servicio debe poder trasladar su información al nuevo prestador de ese servicio. Por ejemplo,  si una persona decide cambiar de empresa de seguro médico, debe poder trasladar toda su información a su nuevo proveedor. El de conservación, en cambio, establece que las empresas tienen derecho a guardar una parte de la información como respaldo en caso de demandas legales. Sin embargo, nunca podrán conservar el 100% de la información personal de sus exclientes. En los contratos de provisión de servicios debe estar claramente la potestad de los proveedores de conservar ciertos datos de sus clientes. 

Uno de los derechos más importantes que regula la Ley de Protección de Datos Personales aprobada es el de la educación digital, para que los niños y niñas y adolescentes estén debidamente informados y tengan herramientas para resolver problemas cotidianos sobre la protección de su información, especialmente en redes sociales, donde pasan buena parte de su tiempo. 

Un poco más del 76% de la población ecuatoriana tiene más de 13 años. Instagram es la red de mayor crecimiento en el país, y es, también, la más usada por los jóvenes del país —seguida muy de cerca por la reciente Tik Tok. En total, el país contaba a inicios de 2021 un poco más de 14 millones de usuarios activos en redes sociales, según el reporte de la empresa de gestión de redes Hootsuite.

La ley —que aún debe ir al Ejecutivo para que la vete o se allane a ella— contempla, además, multas para faltas clasificadas en leves y graves. Las faltas leves son todas aquellas relacionadas a la falta de un registro adecuado de la información de una persona, por lo que esta se ve privada de recibir cierta información o acceder a un servicio específico como un préstamo bancarios o de una institución pública. 

Las multas graves serán aquellas que, por negligencia de las empresas, filtren información de sus clientes o de los ciudadanos en general por descuido. Naranjo dice que “todo sistema es hackeable pero la multa dependerá si fue por descuido o por un evento que la empresa no puede predecir”. 

En el Ecuador, datos sensibles de millones de personas se filtraron en 2019 por faltas de seguridad de la empresa Novaestrat. La venta de bases de datos, aunque ya está prohibida en el país, sigue siendo un lucrativo —e ilegítimo— negocio en el país. La compañía de seguros Liberty también tuvo problemas de seguridad y la base de datos de sus clientes (y de otras personas) estuvo expuesta. En febrero de 2021, un proveedor del Banco del Pichincha que no tenía las seguridades debidas expuso la información de miles de clientes del banco, uno de los más grandes del país.