Por Paola Carrillo / @Pao_cvi

Ilustraciones: Lorena Muñoz.

Desde su despacho en Guayaquil, Fabrizio Peralta Díaz, primer superintendente de Protección de Datos del país, comparte detalles sobre su labor actual y los planes para la oficina que se establecerá en Quito. Dice que a partir de su designación por parte del Consejo de Participación Ciudadana y Control Social y su posesión en la Asamblea Nacional, su agenda ha sido intensa. Ha mantenido reuniones con autoridades del Ministerio de Trabajo, Finanzas, la Dirección Nacional de Registros Públicos y de Inmobiliar. 

Hasta que se le otorgue el presupuesto correspondiente, colabora ad honorem con un equipo de cuatro abogados, quienes lo respaldan en la creación y estructuración institucional, que se conoce como la «parte adjetiva». Ha presentado al Ministerio de Trabajo la propuesta inicial para la contratación de entre 30 y 35 funcionarios, además de mantener diálogo con el Ministro de Finanzas respecto del presupuesto, del cual espera un informe. También ha tenido conversaciones con la Secretaria Técnica de Inmobiliar sobre la ubicación de la sede de la institución, la cual por reglamento debe ubicarse en Quito. Aunque aún aguarda confirmación, es probable que la Superintendencia ocupe unas oficinas de 320 metros cuadrados en el bloque naranja de la Plataforma Financiera, ubicada la avenida Amazonas. 

Respecto de las labores sustantivas de la institución, orientadas a la atención ciudadana y regulación, trabaja con un científico de datos y profesor universitario. Este experto ayudará a perfilar los cargos de los futuros colaboradores, partiendo de un enfoque técnico, para recabar datos e identificar sectores vulnerables a la seguridad y filtración de información personal. “Estamos empezando en cero, yo no tengo datos de nada”, dice Peralta. Por esto, asegura que empezará por levantar estadísticas.

En la Ley de Protección de Datos se dice que la Superintendencia regula, prevé y desarrolla. ¿Qué comprenden esas tres cosas en la práctica?

Regular es una misión propia de cualquier Superintendencia, aunque una cosa curiosa es que, en la Ley, la institución no se llama Superintendencia sino Autoridad de Protección de Datos Personales. Vamos a comenzar regulando aspectos jurídicos y otros que son bastante tecnológicos. Por eso es importante la solvencia del equipo técnico, porque va a establecer la base de las regulaciones. Hablando de prever, debemos desarrollar normativa, por ejemplo, en seguridad de la información. Siempre desde la neutralidad tecnológica, porque no podemos decirle a todos los sujetos regulados por la Ley que usen softwares específicos porque el mercado ofrece muchas soluciones. Lo que sí podemos, a través de la regulación técnica, es dar los parámetros que se deberían aplicar para proteger y evitar filtraciones de datos. En el país, se filtra información constantemente. ¿Qué está fallando? Seguramente los protocolos de seguridad y los sistemas, porque no se trata solamente de desarrollar o escribir en documentos. Hay que hacerlo en la práctica. Poco tiempo después de haber sido designado como Autoridad, trascendió una noticia de un hackeo a la base de datos de un centro comercial de Quito, que se había alimentado con los datos personales de unos 144.000 compradores que participaron en sorteos. ¿Por qué ocurrió esto? Seguramente, la administración debe tener políticas de seguridad. La pregunta es: ¿tiene los sistemas adecuados? Aquí, la Ley de Protección de Datos parte de un supuesto que es la responsabilidad proactiva. No le dice a los sujetos obligados los lineamientos como un listado. No es un checklist. Habla de responsabilidad proactiva y eso quiere decir adaptar las mejores prácticas en materia de datos personales. No es como en la Ley de Compañías que es muy específica, aquí hablamos de responsabilidad proactiva; entonces, ser proactivo también quiere decir no esperar la sanción del Superintendente. Esto conlleva un cambio de mentalidad que se basa mucho en la autorregulación. Hay una mayor asignación de responsabilidad a los sujetos obligados y también hay consecuencias duras a nivel económico cuando no hacen lo que tienen que hacer. 

Si bien la regulación tiene que ver mucho con aspectos tecnológicos, ¿cómo entender y humanizar la protección de datos? Porque la Ley contempla distintos tipos de datos biométricos, de salud, sensibles… no solo los datos comerciales...

Yo creo que no es posible humanizar sin concienciar, sin educar. Yo tuve la suerte de ser educador universitario durante ocho años. Por eso creo que para humanizar hay que capacitar y esto va a llevar su tiempo. Hay muchas expectativas en cuanto a mi desempeño como superintendente. Yo estoy muy consciente de esas expectativas que, literalmente, me quitan el sueño. Tenemos que construir una cultura de la privacidad. Esa cultura de la privacidad muchas veces excede los límites de la Ley. Por ejemplo, y no me lo tome a mal, mi [número de] teléfono, que lo tengo casi 20 años, ahora está rodando como rifa de colegio, pero ninguna Ley puede impedirlo porque es una cuestión que va de la mano con la cultura. ¿Qué debería hacer yo si alguien me pide el número de otra persona? Debería llamarle y decirle: me están pidiendo tu teléfono, ¿me autorizas para que se lo dé? La Ley no puede entrar a regular nimiedades y tampoco llegar a extremos tales que son difíciles de realizarse en la práctica. Si no somos capaces de valorar el derecho a la privacidad del prójimo, va a ser mucho más difícil a nivel corporativo, donde rige otro tipo de intereses que son económicos. Los intereses económicos suelen ser muy grandes y si no tenemos una cultura de privacidad enraizada, vamos a tener que poner puras sanciones para que la gente entienda, y esa no es la idea. Yo no puedo renunciar a la facultad de sancionar. Lo que sí dije cuando presenté mi plan de trabajo en el Consejo de Participación Ciudadana fue que necesito, primero, construir una cultura de privacidad. Esto es más o menos como cuando hablamos de Inteligencia Artificial. Yo no soy un experto en ese tema, pero me interesa. En cuestiones éticas, el algoritmo que se emplea en una determinada aplicación, que utiliza inteligencia artificial, es un algoritmo que contiene un sesgo del desarrollador, entonces estamos hablando de cuestiones que no están en el ámbito jurídico, sino en lo ético y moral de las personas.

¿Cómo podría conformarse la estructura interinstitucional con la Superintendencia? Porque para concienciar, regular, etc. necesitará tener protocolos de acción con otros organismos…

Primero la Academia. Confío mucho en el poder de la educación y en la proyección que puede tener a través de las universidades. Ya he tenido un acercamiento con la Universidad San Francisco de Quito, pero no quiero decir que vaya a trabajar solamente con esa universidad. Fue la primera que me buscó con el objetivo de construir puentes. El Consejo de Participación Ciudadana y Control Social es un foro también apropiado para empoderar a los ciudadanos en este tema. Desde luego, los otros estamentos gubernamentales pueden aportar mucho. El día de mi posesión conversé con la directora de la Dirección Nacional de Registros Públicos (Dinarp). Ellos, me enteré ese día, están haciendo capacitaciones en temas de protección de datos. Comenzaron a hacerlo porque, como todavía no existía la Autoridad de Protección de Datos, tomaron esa iniciativa. He previsto reuniones con la Directora para coordinar de qué forma podemos trabajar en conjunto. 

El Estado y sus diferentes organismos acumulan cualquier cantidad de datos personales. Yo pienso que aquí hay cuestiones que ameritarían reformas legales o por lo menos un cambio de mentalidad para que prevalezca el derecho a la privacidad. Yo me cuestiono hasta ahora -y lo digo con mucho respeto, no quiero polemizar con ninguna institución- ¿por qué la información societaria (datos personales de quienes tienen participación en sociedades comerciales), que está regulada por la Ley de Compañías y por la Superintendencia de Compañías, Valores y Seguros, es de tan fácil acceso? Con el número de cédula, que es fácil de conseguir, se puede saber dónde ha tenido acciones, si ha sido miembro de algún directorio o representante legal. Esa información está en manos de una Superintendencia porque tiene que hacer su labor de control, pero, ¿por qué tiene que ser pública? ¿Por qué tiene que ser pública la información de cuánto he pagado de impuestos? 

No hay que olvidar que estamos más allá de la cultura de la privacidad, que vivimos en una sociedad, lamentablemente, afectada por un grave problema de inseguridad. Si yo consigo el número de cédula de alguien, me meto en la página web del SRI, le agrego 001, puedo saber cuánto pagó de impuestos. No necesariamente cuánto facturó, pero con una regla de tres puedo saberlo. Para un delincuente sofisticado eso es, más o menos, ponerle precio a la cabeza de alguien. Y toda la otra información que uno puede conseguir porque circula ampliamente… 

La cédula de ciudadanía abre las puertas a demasiada información de la vida privada de las personas. No tengo en este momento una idea de cómo podemos reformular aquello. Hay muchas cosas que ameritan replantearse a nivel institucional lo que estamos haciendo con los datos de los ciudadanos, pero esto no es una cuestión que se pueda resolver en un día. Hay que atacar más que nada a aquellas entidades del Estado que por la razón o el objetivo que persiguen manejan más datos de personas. Por ejemplo, el Ministerio de Educación maneja la información de los maestros que trabajan para el Estado. El Ministerio de Salud tiene información sensible que puede dar lugar a la discriminación. 

En el sector privado yo me pregunto: los laboratorios, donde nos hacemos los exámenes médicos, ¿qué hacen con esa información? ¿Comparten la información con las compañías de seguros? Son solo hipótesis. ¿Qué hacen los médicos con nuestras fichas médicas? También hay que tener en cuenta que todavía hay mucha información nuestra que tiene soporte en papel. Tenemos muchísimo por hacer, muchísimo.

¿Cómo van a funcionar las denuncias? ¿Las personas van a poder acudir a la Superintendencia a denunciar una situación relacionada con la privacidad de datos? Por ejemplo, veíamos el comentario de una chica en Facebook que contaba que una clínica mandó unos resultados de unos exámenes sensibles a su mamá y le causó mucho malestar…

Sí, va a ser un lugar donde se van a receptar denuncias pero, en este momento, yo no tengo estructura para actuar. Esta es una extensión pública. Entonces, debemos tener un reglamento para esas denuncias, para canalizarlas, porque todos los aspectos que tienen que ver con las administraciones públicas son aspectos que deben estar normados, tienen que existir reglamentos. Yo no puedo actuar a mi discrecionalidad porque, de hecho, la discrecionalidad en el ámbito público tiene unas connotaciones muy limitadas. Técnicamente, de una manera informal, sí podría requerir eventualmente información de la persona denunciada, pero tengo un problema de gestión de esos datos. ¿Cómo los analizamos? Ahora bien, eso no quita que esta institución que filtró la información no tenga una responsabilidad civil por daño moral. Eso requiere una acción judicial que yo sé que es desgastante, pero es el camino que señala la Ley, porque esta persona cuya información fue divulgada seguramente ha sentido depresión, culpa, que se han manifestado físicamente y está sufriendo. Y ese sufrimiento es el daño moral. Entonces, ese es el panorama, porque la Autoridad no puede ir más allá de una multa, no puede establecer una indemnización, pero la persona puede poner un juicio. 

Fabrizio Peralta Díaz
Ilustración: Lorena Muñoz.

En temas de seguridad nacional, ¿cómo va a actuar la Superintendencia? ¿Cómo lograr que los datos estén a salvo no solo de particulares, sino también de los gobiernos actuales o futuros que puedan acceder a teléfonos celulares y otros datos privados?

Cuando un gobierno decide pinchar el teléfono de una persona lo hace porque existe una orden judicial, así debería ser. Mis competencias no llegan hasta el ámbito de la seguridad nacional porque la seguridad nacional tiene su propia órbita normativa y de competencias en las que yo no tengo injerencia. El artículo 2 de la Ley dice cuáles son las exclusiones al ámbito de aplicación; si vemos la letra E dice: «datos personales cuyo tratamiento se encuentra regulado en normativas especializadas de igual o mayor jerarquía. En materia de, entre otros, gestión de riesgos, desastres naturales y Seguridad y Defensa del Estado».

Hay un tema que me preocupa y eso no tiene que ver con seguridad y defensa del Estado, pero sí tiene que ver con seguridad pública, y son las cámaras de seguridad. El dato personal por excelencia -y a la gente se le pasa esto por alto- no es solamente la cédula, los nombres, el correo electrónico personal, el teléfono móvil. Mi cara es un dato personal. Hoy hasta se puede determinar, a través de algoritmos, la manera en que me muevo. Por mis movimientos se puede saber quién soy. Todos tenemos un patrón incluso en nuestro lenguaje no verbal.

Eso es un tema que aún tengo que estudiarlo, sigo cuestionándome sobre cosas que son tan cotidianas que antes no me cuestionaba. Por ejemplo, los organismos municipales, de forma concurrente con la Policía Nacional, instalan sus propios circuitos de cámaras para monitoreo. ¿Qué hacen con esa información?

Hace un año y medio o dos, se hizo público un video de una pareja teniendo relaciones sexuales en una de las cabinas de la aerovía, en Guayaquil. ¿Cómo se filtró esa información y por qué? Dijeron que habían despedido a los involucrados, porque no podían ser otras personas que los controladores de los sistemas. No hubo ninguna responsabilidad, se redujo a una una sanción para el responsable del tratamiento de los datos personales. 

¿Las funciones de la Superintendencia van a trascender fronteras, por ejemplo, con empresas que estén en otros países y que también manejen datos de Ecuador?

El artículo 3 de la Ley de Protección de Datos dice que se aplica la Ley más allá del territorio, cuando se realiza el tratamiento de datos personales de titulares que residen en el Ecuador, por parte de un responsable encargado no establecido en el país. Por regla general, la transferencia de datos a territorios extranjeros debe ser aprobada por la Autoridad de datos personales, salvo que exista consentimiento exprés inequívoco por parte del titular, con el conocimiento del uso ulterior de esos datos. Todo camina también hacia la integración normativa a nivel supranacional. Entonces, por ejemplo, en España que están muy avanzados, existe un listado de países que tienen nivel adecuado de tratamiento de datos personales. Desde luego, Ecuador no está allí. Con esos territorios se pueden hacer transferencias de datos personales con menos controles que aquellos que no consten. 

Usted dijo en la exposición que hizo en el Consejo de Participación que esperaba que en 90 días, desde su posesión, arranque esta Superintendencia. ¿Cree que eso es posible? 

Yo creo que sí voy a poder cumplir dentro de esos 90 días. Por lo menos prender la luz y tener presencia. Ahora, si ya vamos a hablar de la parte efectiva, del hacer de la institución, quizás esos 90 días no me alcanzan. Tenemos que editar el reglamento, las regulaciones, eso sí nos va a tomar más tiempo. Con una base de funcionarios y con un lugar donde trabajar, la tarea -no es que quiero decir que va a ser sencilla pero- se va a poder comenzar a ejecutar.

Ahora estoy concentrado en sacar adelante la parte sustantiva de la institución, recabar la información técnica para armar las regulaciones, porque todo está por hacerse. Soy un fiel creyente del trabajo en equipo. El líder no hace nada sin un equipo correcto.

La sección Ciberespacio, de La Barra Espaciadora, es posible gracias al apoyo de Derechos Digitales.


Explora el mapa Amazonía viva


Fabrizio Peralta Díaz