Oportunidades y desafíos en la protección de datos personales

Entrevista a: Patricio Ramón, Director de Risk Assurance y María José Álvarez, Gerente Legal

En la actualidad, el Ecuador es uno de los pocos países de América Latina que no cuenta con una Ley de Protección de Datos Personales, pese a que esta sería de gran relevancia frente a una sociedad que se maneja en la digitalización diariamente. Desde el 19 de septiembre del 2019, fecha en la cual el Presidente de la República presentó el proyecto de Ley de Protección de Datos Personales ante la Asamblea Nacional, este tema se ha mantenido en constante discusión.  Bajo esta perspectiva dos de nuestros especialistas responden preguntas claves sobre esta coyuntura.

¿Actualmente en qué fase de implementación se encuentra esta ley en el país?

Al momento el Proyecto de Ley se encuentra con informe para Segundo Debate en el pleno de la Asamblea Nacional y forma parte de la agenda legislativa de las próximas semanas. Una vez aprobado por la Asamblea Nacional, el Proyecto de Ley de Protección de Datos Personales será enviado al Ejecutivo para su aprobación y entrada en vigor. De acuerdo con las declaraciones de varios Asambleístas, se espera que este Proyecto sea aprobado durante el periodo legislativo próximo a culminar

¿Cómo se apalanca la futura Ley de protección de datos personales con las demás normativas vigentes en el país?

La normativa relativa a la protección de datos se encuentra dispersa en varios cuerpos normativos y en la actualidad estas contienen ambigüedades y zonas grises respecto a su tratamiento legítimo que el Proyecto de Ley de Protección de Datos Personales buscará regular, garantizando así el ejercicio del derecho a la protección de datos personales, en base a los principios y regulaciones determinados en el mismo.

La entrada en vigor de esta Ley permitirá no solo a los responsables y encargados de tratamiento de datos personales tener claridad sobre sus obligaciones, sino también a los titulares de los datos personales conocer y ejercer efectivamente sus derechos, en armonía con los derechos constitucionales consagrados. 

¿Cuáles son las diferencias entre datos personales y datos sensibles?

Un dato personal es cualquier información relacionada con una persona física identificada o identificable como nombre, edad, dirección, cédula, etc. Un dato sensible se refiere a categorías especiales de datos personales que pueden incluir aquella información como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual; que afectan la esfera más íntima de la persona, o cuyo mal uso pueda ser causa de discriminación o provocarle un riesgo grave. De acuerdo con el informe final para segundo debate del Proyecto de Ley, se establecen categorías especiales de datos personales que incluyen: datos sensibles; datos de niñas, niños y adolescentes; datos de salud; y datos de personas con discapacidad y de sus sustitutos. Los datos catalogados dentro de categorías especiales requerirán tratamientos específicos que les brinden y garanticen la efectiva vigencia de los derechos de sus titulares.

¿Cómo el tema de protección de datos impacta en la gestión de los negocios?

El uso masivo de las tecnologías y los avances científicos que se evidencian hoy, denotan que se debe establecer un sistema regulado sobre los datos personales, algo que en la actualidad es una tendencia mundial, donde paulatinamente varios países van implementado normativas de protección de datos en respuesta a derechos constitucionalmente reconocidos y a los marcos normativos vigentes. 

La aplicación de la Ley a ser aprobada incluye a toda persona natural o jurídica domiciliada en territorio ecuatoriano que procese datos personales, esto es independiente de su tamaño o sector de la economía a la que pertenezca; por tanto, prácticamente la totalidad de organizaciones públicas y privadas estarán/serán alcanzadas por esta ley.

Dentro de los desafíos de la implementación de esta Ley se deben considerar todos los requerimientos normativos que incluye el establecimiento de procesos y controles, revisar temas legales, definición de responsabilidades para la gestión de protección de datos, evaluar las relaciones con sus proveedores con quienes intercambian información, implementar los principios de privacidad por diseño y establecer un marco de control de seguridad muy robusto. Las organizaciones, en general, deberán evaluar todas sus áreas y procesos para identificar la existencia de datos personales, los cuales pueden estar almacenados en cualquier medio físico o digital y sobre esta base, evaluar los riesgos de privacidad y tomar las acciones necesarias, que pueden ser: fortalecer los controles, evitar la captura de datos innecesarios, ajustar los procesos y sistemas, renegociar contratos, etc. 

La cantidad de frentes que deberán ser tratados por las organizaciones requieren que de equipos multidisciplinarios que incluyan profesionales del área legal, seguridad de la información, tecnología, procesos, riesgos, entre otros.

Un aspecto fundamental es el cambio de la cultura sobre la propiedad de los datos. Bajo esta Ley, una empresa puede hacer con los datos personales únicamente lo que el titular de estos de manera expresa autorice. Por esta razón, se debe usar los datos de manera estratégica, apoyándose en un gobierno de datos y, de esta forma, crear la confianza digital que las organizaciones buscan y así, poder fortalecer las estrategias de fidelización de los clientes. El uso adecuado y legítimo de los datos personales se traducirá en beneficios para la organización.