Autor: Giovanny Duque Vinueza
Introducción
Uno de los derechos de libertad garantizados a las personas en la Constitución de la República del Ecuador es el derecho a la protección de datos personales, esta protección constitucional incluye el acceso y la decisión sobre la información, de acuerdo a lo establecido en el numeral 19 del artículo 66 de la Constitución, es así que en el Suplemento del Registro Oficial 459 de 26 de mayo de 2021, se publicó la Ley Orgánica de Protección de Datos Personales que cuenta con 12 capítulos y 77 artículos, cuyo objeto es garantizar el ejercicio del derecho a la protección de datos personales. Esta norma se aplica para el tratamiento de datos personales, cualquiera que sea el tipo de soporte y modalidad. Además, recoge los altos estándares para el tratamiento de datos personales, como son los del marco europeo y establece una autoridad de control que se encargará de la protección de los datos personales a través del cumplimiento de la mencionada ley.
Análisis
¿Qué es un dato personal?, según la norma[1] es un dato que identifica o hace identificable a una persona natural, directa o indirectamente, así mismo podemos inferir que protección de datos personales es el derecho a la autodeterminación informativa. Es la facultad que tiene una persona para elegir y tomar decisiones respecto sus datos personales. En ese sentido, la norma busca regular todo lo referente al tratamiento de datos personales, para el efecto crea las figuras de encargados y responsables del tratamiento de datos personales, así como el delegado de protección de datos personales y la autoridad de protección de datos personales.
En el día a día, en operaciones tan comunes como comprar, vender; abrir cuentas bancarias, utilizar medios de pago, entre otros, se van generando datos personales, datos personales crediticios, entre otros, que bien pueden servir para elaboración de perfiles y que por la responsabilidad que implican, deben manejarse con debida diligencia, es decir, almacenarse adecuadamente, procesarse bajo el criterio de finalidad, esto es que deben ser proporcionados con un fin y empleados únicamente para ese fin que fueron requeridos; modificarse según la necesidad que corresponda e inclusive eliminarse si es que así es procedente.
Uno de los aspectos principales para el tratamiento de datos personales es que todos los datos personales que se manejen deben ser generados por mandato legal o por una finalidad acompañada de consentimiento manifestado voluntariamente, en ese contexto, se puede señalar que cuando realizamos por ejemplo una operación bancaria, proporcionamos información sobre nuestra identificación personal, datos de contactos, ingresos y egresos económicos, referencias bancarias, inclusive de nuestra actividad económica, en ese caso, el sustento para obtener los datos personales, es dicha operación bancaria, por lo tanto, estos datos única y exclusivamente pueden ser empleados para el efecto, incluso podrían extenderse a determinados análisis o inclusión en perfiles (siempre que no sean automatizados), pero bajo el consentimiento del titular.
Todo el ciclo de la generación, uso y eliminación de datos personales se encuentra previsto en esta Ley, tanto así que resalta los derechos de acceso, rectificación, corrección y oposición, para proteger los datos de las personas, así también establece mecanismos de requerimiento directo, peticiones o quejas ante los responsables de tratamiento de datos personales, y también señala que hacer en el caso de que los requerimientos no sean atendidos o no sean atendidos favorablemente. Se faculta al titular de los datos personales recurrir ante la autoridad de protección de datos.
Entre las figuras que trae esta norma, son los responsables y encargados de protección de datos, estas personas tienen sus obligaciones previstas directamente en la ley,[2] y entre las principales, están las de, tratar los datos personales en aplicación a la normativa vigente, aplicar e implementar requisitos y herramientas que garanticen el adecuado tratamiento de datos; aplicar e implementar procesos de verificación de eficiencia y eficacia de las herramientas empleadas para el tratamiento de datos personales; implementar políticas afines al tratamiento de datos personales en cada caso partículas y utilizar metodologías de análisis y gestión de riesgos; colaborar en acciones de control y vigilancia de la autoridad de datos personales. Otra de las figuras que trae esta norma, es la del delegado de protección de datos personales, que es el encargado de asesorar en materia de protección de datos personales, supervisar el cumplimiento de la normativa vigente en protección de datos personales, cooperar con la autoridad de protección de datos personales, entre otras. Es necesario enfatizar que hay casos específicos en que las entidades y organismos que manejen datos personales, deben contar con un delegado de protección de datos personales, como es en el caso de las instituciones del sector público, cuando se requiera control permanente a los encargados y responsables del tratamiento de protección de datos personales, cuando por el tratamiento a gran escala de categorías especiales y en temas de seguridad nacional.
Se establece también la existencia de una autoridad de protección de datos que de acuerdo a la Constitución de la República, será una Superintendencia que será el organismo de control y vigilancia, y que para este caso de acuerdo a previsto en la Ley Orgánica de Protección de Datos Personales[3] será el encargado de garantizar a todos los ciudadanos la protección de sus datos personales, que entre sus funciones principales se encuentran las de, ejercer al supervisión, control y evaluación de las actividades de responsables y encargados de protección de datos personales; iniciar de oficio o a petición de parte las actuaciones previas con el fin de conocer las circunstancias para iniciar o no un procedimiento administrativo sancionador, conocer, sustanciar y resolver reclamos e imponer sanciones; emitir normativa de control, criterios, dictar cláusulas estándar de protección de datos personales, atender consultas, emitir directrices para el diseño de políticas de protección de datos personales, entre otras.
La norma también establece las infracciones leves y graves que los responsables y encargados del tratamiento de datos personales, podrían incurrir, estas están tipificadas en los artículos 67, 68, 69 y 70 de la Ley Orgánica de Protección de Datos Personales, y las principales son, no tramitar o tramitar extemporáneamente las peticiones o quejas realizadas por el titular, no implementar protección de datos, medidas administrativas, técnicas, físicas, organizativas y jurídicas; utilizar los datos personales para fines distintos a los declarados, ceder o comunicar datos personales sin cumplir los requisitos y procedimientos establecidos para el efecto; no notificar a la autoridad de datos personales sobre eventuales vulneraciones a los datos personales; entre otras. Las sanciones para los servidores públicos que actúen como encargados y responsables pueden ir de 1 a 10 salarios básicos unificados cuando se trate de infracciones leves, cuando se trate de infracciones graves podría aumentar hasta los 20 salarios básicos unificados. En el caso de entidades de derecho privado o empresas públicas las sanciones, en el caso de infracciones leves podrían ir desde el 0,1% al 0,7 % del volumen de negocio correspondiente al ejercicio económico inmediatamente anterior al de la imposición de la multa, y en el caso de infracciones graves podría llegar hasta el 1% del volumen de negocio, en este caso corresponde aclarar que volumen del negocio se entiende a la cuantía resultante de la venta de productos y de la prestación de servicios realizados por operadores económicos, durante el último ejercicio que corresponda a sus actividades.
Ahora bien, existe una norma para la protección de datos personales y establece toda una estructura jurídica para que pueda operar, no obstante de esto, la autoridad que se encargará de la protección de los datos personales, que no solo actuará en el caso de emitir sanciones, sino que como piedra angular del sistema de protección de datos emitirá directrices, políticas, atenderá consultas, entre otros; aún no está nombrada, por lo que, si bien todos participantes tienen que estar cumpliendo la norma o adecuando los procesos de tratamiento de datos para el adecuado cumplimiento de la norma, todavía hay el vacío de la autoridad de protección de datos personales.
La Disposición Transitoria de la referida norma establece que tanto las medidas correctivas como el régimen sancionatorio entrarán en vigencia en dos años contados a partir de la publicación de la ley, es decir hasta el 26 de mayo de 2023, no obstante, el panorama refleja que se podría llegar a esa fecha, sin que se cuenta con la autoridad de protección de datos ni con un Reglamento General de Aplicación a la Ley Orgánica de Protección de Datos Personales.
Conclusión
La legislación ecuatoriana cuenta con una ley emitida con el fin de cumplir con el derecho de protección de datos personales que fue publicada en el Suplemento del Registro Oficial de 26 de mayo de 2021, sin embargo, actualmente no se cuenta con la autoridad de protección de datos que se encargue de garantizar la protección de los datos personales de los ciudadanos, velar por el estricto cumplimiento de la Ley Orgánica de Protección de Datos Personales y entre otras cosas, instruir procedimientos para ejercicio de la potestad sancionadora por incumplimientos normativos; y, dictar medidas correctivas.
LA HORA
BIBLIOGRAFÍA
CONSTITUCIÓN DE LA REPÚBLICA DEL ECUADOR
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES
[1] Art. 4 Ley Orgánica de Protección de Datos Personales
[2] Art. 47 Ley Orgánica de Protección de Datos Personales
[3] Art. 76 Ley Orgánica de Protección de Datos Personales