Ecuador | Aún con ley de Protección sigue la venta ilegal de bases de datos

Nuevo cuerpo legal entró en vigencia en mayo, pero el Ejecutivo no designa a la autoridad de control. Participación Ciudadana no recibe la terna

109

Expreso Ronald Soria

Nada ha cambiado o cambió muy poco tras casi cinco meses de haber sido promulgada la ley de Protección de Datos Personales. A los correos siguen llegando los mensajes basura y las llamadas telefónicas prometiendo pasajes gratuitos o facilidades para volverse usuario de una operadora telefónica de la que ya se es cliente.

Y aunque el régimen sancionador de esta nueva ley comenzará a aplicarse recién en mayo de 2023, “nada impide que algún titular (ciudadano) decida iniciar acciones tanto civiles como penales contra cualquier empresa si cree que le han vulnerado los derechos sobre su información personal”. Eso es lo que asegura Pablo Solines, presidente de la Asociación Ecuatoriana de Datos Personales. “Las empresas están confiadas que como aún no existe la Autoridad de Protección, no pasa nada”.

Sin embargo, “la nueva ley ya es perfectamente aplicable”, asegura Santiago Acurio, vicepresidente de la Asociación Ecuatoriana de Ciberseguridad.

“Dependiendo del mal uso que se esté dando a los Datos Personales se puede constituir en delito penal, con penas que van de uno a cinco años. Una acción que la puede iniciar cualquier ciudadano”.

Sobre este punto, Lorena Naranjo Godoy, directora de la maestría en Derecho Digital e Innovación de la Universidad de las Américas, quien hasta mayo pasado estuvo al frente de la Dirección Nacional de Registro de Datos Públicos (Dinardap), aclara que no es lo mismo el derecho a la intimidad, que la Ley de Datos Personales. “Generalmente existe una confusión, y se cree que todas las normas relativas a la intimidad son como el reflejo o la manifestación de esta nueva normativa y no es así”.

Ella menciona solo a un artículo del COIP que está directamente vinculado con la Protección de Datos, se trata del 229, que habla sobre la revelación ilegal de bases de datos y que sanciona con penas privativas de libertad de uno a tres años.

En cuanto a los tipos de acciones legales ante los tribunales civiles, Naranjo opina que es factible, pero siempre y cuando se pueda demostrar la existencia del daño. Un ejemplo de ello es cuando “las llamadas, mensajes o correos electrónicos me han provocado un daño específico”.

Otra de las acciones a las que puede recurrir el ciudadanos común es mediante las denuncias ante la Fiscalía. “Especialmente cuando se puede probar que existe una vulneración a la protección de datos personales de alguna persona”, alega Acurio.

Aunque las posibilidades de iniciar un trámite legal son factibles, sin embargo, nadie desconoce que la figura del superintendente de Datos Personales será determinante para lograr un control efectivo sobre las ilegalidades que aún afectan a este patrimonio ciudadano, como es el caso de la venta indiscriminada por las redes sociales o sitios de comercio electrónico de bases de datos, tal como lo evidenció este Diario, con solo rastrear la web.

Tanto para Acurio como para Naranjo, la figura de la autoridad de Protección será determinante para el control de estas irregularidades. Además, como asevera Naranjo, para que finalmente asuma el seguimiento y los costos que implica buscar una responsabilidad de parte de las empresas. Y no que sea el ciudadano el que deba pagar abogados.

“Ya debería estar formada la Superintendencia y designado el superintendente para que además se haga el trabajo de montar toda la estructura que implica esa nueva autoridad”.

Para Santiago Acurio, lo que sigue es un tema político. Es al Ejecutivo al que le corresponde enviar al Consejo de Participación Ciudadana y Control Social (CPCCS) la terna de nombres de donde saldrá el superintendente.

Acerca de que tras casi cinco meses se haya avanzado muy poco en preparar la infraestructura y estructura que implica la creación de la Superintendencia de Datos, Eduardo Bonilla, secretario general de Comunicación de la Presidencia, le respondió a EXPRESO que el expresidente Lenín Moreno “mandó al Registro Oficial la ley que dice que debe crearse la Superintendencia, pero sin informe de finanzas que disponga los fondos”. Y en un año de proforma prorrogada, agregó este funcionario, “no podemos crear ese gasto. Estamos trabajando en el reglamento que permita cumplir con la creación de esa institución”.

La Superintendencia aún no tiene candidatos

Angie Jijón Mancheno, actual directora nacional de Registro de Datos Públicos (Dinardap), alega que se trabaja en el borrador del proyecto del reglamento al nuevo cuerpo legal. “Una vez culminado el borrador convocaremos a una segunda mesa de trabajo, a fin de pulir los detalles”, respondió a EXPRESO el pasado 29 de septiembre. Acerca de la estructuración de la Superintendencia aseguró que este paso responderá a un análisis que “debe realizar la autoridad designada, en un trabajo conjunto con el órgano rector de la Función de Transparencia y Control Social, así como con el Ministerio de Trabajo, la Secretaría de Planificación y el Ministerio de Economía y Finanzas”.

Acerca del presupuesto que se destinará al nuevo ente, solo respondió que este sería “asignado conforme a las necesidades y atribuciones de este nuevo órgano de control”. Sobre la designación del superintendente, la funcionaria aseguró que al momento “se evalúan los mejores perfiles para que los profesionales más idóneos estén entre los que tienen más opción para acceder a este nombramiento.

De acuerdo a la Ley la terna debe ser enviada por el Presidente de la República”.

Acerca de cómo las entidades públicas y las empresas privadas han iniciado los procesos de depuración de sus bases de datos y mejorando sus sistemas de protección, alega que hay un período de dos años de suspensión para el régimen sancionatorio administrativo, “tiempo en el cual las empresas están adaptando sus modelos de gestión para cumplir con lo establecido en esta Ley”.

Además, afirmó que la Dinardap, con el fin de apoyar esta gestión, emitió en junio pasado una norma que regula el tratamiento de datos personales en las entidades que integran el sistema nacional de intercambio de información, las cuales “ya deben realizar el proceso”.