El proyecto de Ley Orgánica de Seguridad Digital se archivó. Ignorancia e intereses políticos se sobreponen a una discusión técnica urgente sobre la seguridad digital, que derive en un marco legal respetuoso de los ciberderechos.
Ecuador es el tercer país de la región con más ataques cibernéticos, sin embargo, no cuenta con una protección legal que garantice los derechos digitales de sus ciudadanos.
Expertos en legislación y derechos digitales apoyaron el archivo del proyecto de Ley y aseguraron que hubo desconocimiento, errores y contradicciones en la propuesta.
Por Paola Carrillo / @Pao_cvi
Ilustraciones: Lorena Muñoz
Por el momento, no se debatirá más el proyecto de Ley Orgánica de Seguridad Digital en Ecuador. La Asamblea Nacional tomó esta decisión por mayoría, el 6 de junio del 2024, en la sesión 922 del Pleno.
Ese día hubo dos votaciones: una para aprobar la propuesta, la cual recibió el apoyo de 38 legisladores (41 votaron en contra y 42 se abstuvieron); y otra que, que por pedido del asambleísta Carlos Vera, del conservador Partido Social Cristiano (PSC), solicitaba el archivo.
Con los votos de 75 asambleístas de los 121 que estuvieron presentes, el documento fue archivado y la moción que había presentado la presidenta de la Comisión de Soberanía, Integración y Seguridad Integral, Inés Alarcón, del partido oficialista Acción Democrática Nacional (ADN), quien lideró la construcción del informe para la aprobación, fue rechazada.
La crisis de seguridad en el pantano legislativo
“La seguridad digital no es un tema que deba pasar demasiado tiempo sin regulación porque sí afecta -y gravemente- al esfuerzo que hoy por hoy enfrenta el país en materia de seguridad en general”, dijo Diego Beltrán, abogado, miembro de la Asociación Ecuatoriana de Protección de Datos (AEPD) y profesor universitario, en entrevista con La Barra Espaciadora.
Según el informe Panorama de Amenazas 2023, de la empresa internacional de seguridad cibernética Kaspersky, con 25 años en la industria de la ciberseguridad, Ecuador está entre los tres países que sufren más ataques a dispositivos móviles, en América Latina, después de Brasil y México.
Solo entre agosto de 2022 y agosto de 2023, Kaspersky identificó en la región más de dos millones de ataques cibernéticos en América Latina. Los principales fueron programas que mostraban a los usuarios publicidad intrusiva y engañosa con la finalidad de robar datos comerciales, y aplicaciones fraudulentas que ofrecen préstamos y bloquean el dispositivo si la víctima no paga o se atrasa en el pago de las cuotas.
Beltrán insiste en que sí existe una “necesidad urgente de la Ley”, sin embargo, el proyecto que se estaba debatiendo en la Asamblea desde octubre del 2021 “adolecía de profundos problemas estructurales, porque no fue construido con una visión técnica adecuada”.
En efecto, el proyecto recibió cuestionamientos de distintos actores en el mismo momento en que la Comisión presentó el informe para el segundo debate en el Pleno. La aprobación del documento constaba en la agenda legislativa para el 7 de mayo de 2024, pero esa sesión se suspendió, luego de que varios representantes de distintos sectores de la sociedad civil e instituciones públicas comparecieron ante los asambleístas, entre ellos: el director nacional de Tecnologías de la Información de la Policía Nacional, Edwin Campoverde; el especialista en seguridad digital Fabián Iñiguez, y el secretario del directorio de la Cámara de Innovación y Tecnología Ecuatoriana (Citec), Diego Álvarez.
Las observaciones principales durante esa sesión fueron: la designación del ente rector de la Ley -que había pasado de ser el Ministerio de Telecomunicaciones a ser el Ministerio del Interior-; la inconformidad de un sector empresarial por las sanciones, que en el primer informe no figuraban, y la redundancia que mostraba el proyecto de Ley con la Ley Orgánica de Protección de Datos, ya vigente desde 2021.
Para el abogado Christian Espinosa-Velarde, “el proyecto no estaba pensado desde una perspectiva integracionista, lo que generó confusión”. El especialista en privacidad y protección de datos, tecnologías, medios y telecomunicaciones, y ciberseguridad, de la firma ECIJA Abogados, reconocida por Forbes como líder en economía digital, le dijo La Barra Espaciadora que “el tema [seguridad digital] es demasiado técnico para ser elaborado por personas que no dominan la materia”, aunque reconoció que los asambleístas hicieron esfuerzos por comprenderlo.
Sin embargo, “fue la Presidenta [Inés Alarcón] la que propuso que se ampliara el plazo para hacer reformas o recibir comentarios al proyecto. En todo caso, significa que hay un único interés de parte de ella de gestionar el modelo. No hay interés en la mesa, hay un desentendimiento, probablemente, de los demás actores y, simplemente, están siguiendo una visión política al respecto”, comentó Espinosa-Velarde.
¿Una telenovela política?
Más allá de la discusión técnica, luego de que el proyecto fue archivado, los asambleístas Isabel Alarcón (ADN) y Rafael Dávila, del partido Avanza y miembro de la comisión a cargo del proyecto, conversaron con La Barra Espaciadora y argumentaron que detrás de la decisión de archivar el documento hubo temas políticos.
En contexto, un día antes de la sesión 922, el presidente de la República, Daniel Noboa, vetó totalmente otro proyecto de Ley que había presentado la Asamblea y que permitía la entrega directa de recursos a los Gobiernos Autónomos Descentralizados (GAD), sin pasar por la decisión del Ministerio de Economía y Finanzas, como ocurre en la actualidad.
Según Dávila, esta fue la razón por la cual las bancadas de Revolución Ciudadana (RC) y PSC bloquearon el proyecto como una forma de “castigar al gobierno” de Noboa. El asambleísta recalcó que “más temprano que tarde se va a aprobar una ley para la seguridad digital” porque, según recordó, este asunto era parte de la agenda legislativa que había anunciado el presidente de la Asamblea Nacional, Henry Kronfle, al asumir su función.
“Una pena lo que sucedió en el pleno de la Asamblea Nacional, lamentablemente por pugnas políticas (…); todos estamos expuestos de una u otra manera en las plataformas digitales”, dijo Alarcón. La legisladora aseguró que con este proyecto se pretendía “crear protocolos, controlar y poner sanciones a las empresas que no brindan la seguridad necesaria en el ámbito digital”.
“No busquen justificación política cuando hay errores de procedimiento interno”, respondió el asambleísta Leonardo Berrezueta, del partido RC. No obstante, el pasado 20 de mayo, dos semanas antes de que se archivara el proyecto de Ley, el mismo Berrezueta le dijo a La Barra Espaciadora que apoyaba su aprobación porque lo importante, según él, era “tener un marco regulatorio en materia de seguridad digital porque nunca antes ha existido en el país”.
Esta vez, el mismo asambleísta Berrezueta señaló que cuando se presentó el informe para segundo debate, “la exposición de motivos era una copia y calco de la Ley de Seguridad Privada; ni siquiera se dieron el trabajo en la comisión, los asesores, la Presidencia, de cambiar el título de la Ley”.
La Barra Espaciadora revisó y comparó la exposición de motivos del proyecto de Ley de Seguridad Digital con la exposición de motivos que se presentó, en su momento, en la Ley de Seguridad Privada, y verificó que, en efecto, hay párrafos (7 y 8) que fueron copiados, que aluden a una “Ley de Vigilancia y Seguridad Digital” que no existe, y que en el texto original figuraba como “Ley de Vigilancia y Seguridad Privada”. Sin embargo, aparte de estos fragmentos, el proyecto presenta un contexto distinto sobre la seguridad digital y no constituye una copia exacta.
“Ecuador cuenta con un ecosistema normativo que cubre algunos aspectos de seguridad digital”, explicó Beltrán y puso como ejemplo la Ley de Transformación Digital, la Ley Orgánica de Protección de Datos (que aún no se puede aplicar porque no se ha entregado el presupuesto a la Autoridad a cargo) y algunas reformas que se han realizado al Código Integral Penal (art 178, art 229, art 470 y otros).
Con el archivo del proyecto de Ley, el país no tiene una norma específica para la seguridad digital y, según Beltrán, este “no puede ser discutido de nuevo hasta dentro de un año”. Ante esto, la asambleísta Alarcón comentó a La Barra Espaciadora que, por su parte, presentará “una nueva propuesta con el mismo espíritu para que sea revisada por la próxima Asamblea”.
La seguridad digital y el Convenio de Budapest
Desde 2004, está en vigor el Convenio de Budapest, también conocido como Convenio sobre la ciberdelincuencia, promovido por el Comité de Ministros del Consejo de Europa. Ecuador fue invitado a suscribir este instrumento internacional desde el 2019, pero todavía no lo ha hecho.
Santiago Acurio, catedrático y miembro fundador de la Asociación Ecuatoriana de Ciberseguridad (Aeci), explicó a este medio que el Convenio es un espacio común para que los delitos informáticos de tipo transnacional sean abordados con uniformidad. De esa forma es más sencillo pedir información a empresas internacionales o a otras naciones para investigar hechos y tener una acción más amplia.
Para Acurio, esto aportaría como un marco de seguridad digital para que el país se alinee con el mundo. Esto “requiere que haya normas claras, modificaciones en el Código Penal (algunas ya se hicieron en el 2020 y 2023) y una visión que apunte a la cultura de la seguridad y en la capacidad, no solo de prevenir ataques, si no también de responder y remediar”, dijo.
Por ahora, la suscripción de Ecuador al Convenio no será tan rápida pues debe pasar por un proceso. “Para suscribir cualquier tratado internacional -explicó Acurio- se debe consultar primero a la Corte Constitucional y luego, si es necesario, elaborar un proyecto de ley en la Asamblea Nacional”.
En marzo del 2024, la Corte Constitucional emitió un informe en el que concluye que la suscripción del convenio sí requiere la aprobación de la Asamblea Nacional. La asambleísta Alarcón, que sigue de cerca este tema, confirmó que el informe está en el Consejo de Administración Legislativa (CAL) y debe pasar a la Comisión de Relaciones Internacionales y Movilidad Humana para su análisis.
Al momento, en Latinoamérica, los países que han suscrito el Convenio de Budapest son Chile, Colombia, Costa Rica, Cuba, El Salvador, Guatemala, Honduras, México, Nicaragua, Panamá, Paraguay, Perú, República Dominicana.
Además, entre los países que ya han aprobado leyes que regulan la seguridad digital y la protección de datos están Argentina, Perú, Chile, Brasil, Colombia y Uruguay. ¿Cuándo aparecerá Ecuador en estas listas?
La sección Ciberespacio, de La Barra Espaciadora, es posible gracias al apoyo de Derechos Digitales.