El pasado 28 de marzo, el abogado Fabrizio Peralta Díaz fue designado como Superintendente de Protección de Datos, por el Consejo de Participación Ciudadana y Control Social (CPCCS).

La nueva autoridad ha dicho que conformará la institución en 90 días, una vez que la Asamblea Nacional lo posesione oficialmente.


Por Paola Carrillo / @Pao_cvi

Tuvieron que pasar tres años después de que la Ley Orgánica de Protección de Datos Personales entrara en vigencia en Ecuador, para que el Consejo de Participación Ciudadana y Control Social (CPCCS) designara a Fabrizio Peralta Díaz como Superintendente de Protección de Datos.

La decisión se conoció el 28 de marzo, en sesión extraordinaria, un día después de la exposición pública de los planes de trabajo de los tres candidatos que conformaron la terna para ocupar el cargo.

La nueva autoridad es la encargada de poner en práctica esa Ley. Pero, ¿existen las condiciones para hacerlo?

Como parte de su plan, Fabrizio Peralta Díaz –abogado especializado en Derecho Informático y árbitro especializado en tecnología del Centro de Arbitraje IBTdijo en su exposición pública que espera crear la institución en 90 días, a partir de su posesión oficial por parte de la Asamblea Nacional.

En ese período, siempre y cuando se le asignen los recursos necesarios, creará y aprobará un Estatuto Orgánico Funcional y contratará al personal. “No hay presupuesto”, anunció Peralta Díaz, quien además es socio de la firma Consulegis Abogados, y agregó que planea ser consecuente con la austeridad que vive el país.

En este sentido, Lorena Naranjo Godoy, directora de la Maestría en Derecho Digital de la Universidad de las Américas (UDLA) y abogada especializada en derecho digital y protección de datos personales, explicó que al momento hay dos limbos en la designación de la autoridad. Uno de ellos, el presupuesto que se asignará, y el otro, el tiempo que se va a tardar la Asamblea Nacional en la posesión definitiva. 

Para ella, es necesario que el Estado garantice la asignación de recursos y la creación efectiva de la institución, ya que se trata de un derecho fundamental: la protección de datos de las y los ciudadanos

La protección de datos: un derecho constitucional

A pesar de que la Ley Orgánica de Protección de Datos Personales está vigente desde mayo de 2021, no se ha puesto en marcha pues no se había nombrado al Superintendente de Protección de Datos.

Para Luis Enríquez Álvarez, excandidato de la terna propuesta para esta entidad, el mayor reto del nuevo superintendente será “crear una institución que no existe, en un país en el que no hay cultura de protección de datos”. 

Enríquez considera que la autoridad debe tener una visión de resolución de problemas con una estrategia “preventiva, proactiva y reactiva”. Para este abogado, analista cuantitativo de riesgos de protección de datos y profesor universitario, el corazón y pilar fundamental de la Ley de Protección de Datos Personales es la gestión de riesgos. “La autoridad debe ser eficiente, eficaz, y trabajar por la calidad de los procesos, si no es así, se convertirá en la primera amenaza de la protección de datos”, advirtió.

Desde la designación de Fabrizio Peralta Díaz, el equipo periodístico de La Barra Espaciadora intentó contactarlo. A través de la red X, el abogdo respondió: «Le pido, por favor, esperar a que primero empiecen oficialmente mis funciones y, luego, poder organizar al pequeño equipo de colaboradores con el que tendré que empezar a echar a andar una institución que, de momento, tan solo existe en el papel».

Sin embargo, de acuerdo con su exposición pública frente al CPCCS, su proyección para la Superintendencia es que sea una institución “accesible y proactiva que difunda y proteja los derechos, con mecanismos de participación”. Así, Peralta asegura que va a generar herramientas y políticas que empoderen a las y los ciudadanos y que fomenten la educación en la sociedad y en las personas e instituciones públicas y privadas encargadas de tratar los datos.

“Los titulares de los datos siempre son sus dueños, no las instituciones”, dijo Peralta Díaz, y aseguró que aunque no es partidario de las sanciones, las aplicará cuando sea necesario, pero que prefiere recurrir al diálogo con diferentes gremios para que, por su legitimidad, refuercen la necesidad de la protección de datos.

Todas las regulaciones y sanciones de la Ley están especificadas en su Reglamento General. El documento señala que las instituciones debían haber hecho ajustes para cumplir la norma hasta mayo de 2023.

Diego Beltrán Bastidas, socio principal de Beltrán Bastidas y abogados, profesor universitario y miembro de la Asociación Ecuatoriana de Protección de Datos (AEPD), dice que “las empresas privadas que han empezado con procesos de adaptación a la Ley se han incrementado sustancialmente y se han diversificado”. 

Como ejemplo, añade que ya no son solo entidades financieras o de tecnología las que buscan asesoramiento, sino que también se están alineando a la Ley instituciones educativas, empresas de retail y de otras industrias. A pesar de esto, “el porcentaje de las instituciones que están tomando acciones no llegan ni al 10% del total”, explica. Según el experto, el panorama del sector público es distinto pues “las instituciones del Estado que están haciendo adaptaciones son, con suerte, el 3%”.

Para Beltrán, la reciente designación del Superintendente de Protección de Datos “debería incrementar la cantidad de entidades públicas y organizaciones privadas que aprieten el acelerador en sus procesos de adaptación”. Desde su mirada, es necesario empezar a hablar de un concepto de “responsabilidad digital” de las empresas, que va más allá de evitar las sanciones y que “se enfoca en generar confianza y fidelización, a través del cumplimiento adecuado del derecho constitucional que es la protección de datos personales”.     

Contexto y leyes ecuatorianas

Para Naranjo Godoy, la institucionalidad puede entenderse desde el sistema OSI, una forma fragmentada que ayuda a entender el mundo digital por capas. Una capa es el aparataje tecnológico: antenas, cables y sistemas de conexión, regulados por la Ley de Telecomunicaciones, a través de la Agencia de Regulación y Control de las Telecomunicaciones (Arcotel). Otra capa son los programas (softwares) que permiten el funcionamiento de páginas web y aplicaciones móviles, reguladas por la Ley de Comercio Electrónico. Asimismo, está la Ley Orgánica para la Transformación Digital que fundamenta las acciones del país en términos de innovaciones digitales e implementación de tecnologías. Finalmente, hay dos capas que deben garantizar el derecho a la protección de datos de las personas. Estas son la Ley de Protección de Datos, a través de la Superintendencia de Protección de Datos, y la Constitución

En la actualidad, “la información es un activo muy valioso para las organizaciones”, dice Naranjo Godoy. Desde la perspectiva legal, ella explica que el primer derecho digital que se reconoce en la Constitución de Ecuador es la protección de datos personales, lo que fundamenta la creación de la Ley Orgánica de Protección de Datos Personales y la Superintendencia de Protección de Datos Personales como órgano rector de la Ley, “que cuida a las personas que están en el centro de todo”.

En estos tiempos, “puedo decidir no estar en redes sociales, pero no puedo dejar de tener cédula de identidad”, reflexiona Rafael Bonifaz, líder del programa latinoamericano de Seguridad y Resiliencia Digital, de la organización Derechos Digitales, con sede en Chile. Según él, la protección de datos, que debe asegurar el Estado, va más allá del autocuidado y la alfabetización digital, pues la confidencialidad de la información pública está en manos de instituciones que han presentado grandes fallos. Bonifaz recuerda la permanente clonación de placas de autos del sistema de la Agencia Nacional de Tránsito (ANT), para citar un ejemplo.

Para Bonifaz, el panorama que le espera al nuevo Superintendente de Protección de Datos Personales “es complejo y hay varios frentes por los que se debería empezar”. Desde su perspectiva, lo primero es analizar la gestión que están realizando las instituciones del Estado. 

Bonifaz sugiere minimizar la cantidad de datos que se pide para realizar trámites. Comprar una tarjeta de transporte en el Metro de Quito -dice- depende de la entrega de muchos datos, en comparación con otros países en los que se puede adquirir el mismo servicio de forma anónima. 

Otro frente en el que debe trabajar el Superintendente, desde la mirada de Bonifaz, es regular al sector privado y el tratamiento que están dando las empresas a los datos personales en diferentes procesos ligados a la facturación, entre otros, que “obligan al usuario a aceptar que [esas empresas] usen su información”. 

Ciberseguridad estatal         

El pasado 20 de marzo, el presidente Daniel Noboa participó virtualmente en la Cumbre por la Democracia, realizada en Corea del Sur. En su intervención, según comunicó la Presidencia de la República, reconoció que “los delitos informáticos y la información falsa pueden poner en riesgo la democracia”. Además, dijo que está en funcionamiento el Centro de Respuesta a Emergencias Informáticas (EcuCert), de Arcotel, el cual tiene el propósito de “prevenir y gestionar incidentes de seguridad informática, mediante el monitoreo y la generación de alertas sobre campañas maliciosas reportadas en Ecuador”.

Esta institución del Estado funciona desde 2014 y, de acuerdo con información de su página web, está encargada de generar análisis de vulnerabilidades y estadísticas en torno a la Seguridad de Redes de Telecomunicaciones. 

Se consultó al departamento de Comunicación de Arcotel por más información sobre el trabajo que realiza EcuCert, sus metas y logros, sin embargo, hasta la publicación de este reportaje no obtuvimos respuesta.

¿Qué tipos de datos se protegen en la Ley?

“La Ley protege todos los datos que te identifican o te hacen identificable”, explica Lorena Naranjo Godoy, quien tmbién fue parte del equipo de expertos que elaboró la propuesta para el proyecto de Ley. “Esto incluye la información contenida en los documentos de identificación, como la cédula, el pasaporte, la licencia, la papeleta de votación y otros”. Hay contenidos que “aparentemente no son datos pero que, si se los relaciona, se pueden obtener características más complejas como la geolocalización, la orientación sexual, la ideología, etc.». 

También se recogen en la Ley los llamados «datos sensibles”, que incluyen información que debe ser protegida doblemente porque, «en malas manos, es susceptible a generar discriminación y vulneraciones a los titulares de los mismos”. Según la normativa, en este tipo constan: “Datos relativos a etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos y datos genéticos».       

En el artículo 4 de la Ley, se encuentran las definiciones de otros datos específicos como datos biométricos –que comprenden todo aquello que recoge nuestras características físicas o fisiológicas, o nuestras conductas, como imágenes faciales o datos dactiloscópicos, entre otros. También están los datos genéticos, que comprenden la información sobre nuestrs crcterístics características genéticas heredadas o adquiridas. Están los datos personales crediticios, que revelan nuestro comportamiento económico para analizar nuestra capacidad finnciera, de acceso a créditos, etcétera. Están también los datos relativos a la salud -que incluyen salud física o mental, la prestación de servicios de atención sanitaria y todo aquello que revele información sobre nuestro estado de salud.

Puedes revisar la Ley Orgánica de Protección de Datos Personales aquí.

La sección Ciberespacio, de La Barra Espaciadora, es posible gracias al apoyo de Derechos Digitales.

Explora el mapa Amazonía viva