Por Lucía Camacho*

La Ley Orgánica de Protección de Datos en Ecuador, sancionada en 2021 y reglamentada dos años después, fijó expectativas muy altas sobre su impacto. Y aunque su entrada en vigencia ha supuesto el reconocimiento de fórmulas garantistas de protección que a otros países de la región les tomó mucho tiempo adoptar, la interrogante ahora es si la autoridad de protección de datos está lista para asegurar que la normativa se cumpla.

La experiencia de los países vecinos más curtidos en la materia puede contribuir a responder a esta pregunta, que apunta a dos riesgos clave: el primero es el de interinidad en el cargo; el segundo, la falta de capacidades de la autoridad para hacer valer su rol frente a otros actores dominantes.

El riesgo de interinidad o de ausencia de una cabeza visible en la Superintendencia de Datos no es imaginario. Si, como sucede en Argentina y Colombia, su nombramiento depende de la iniciativa del Ejecutivo, se corre el riesgo de que la propuesta simplemente no llegue. Que el cargo permanezca bajo un mandato provisional trunca la posibilidad de proyectar una visión y objetivos institucionales claros, y un plan de trabajo programático sobre qué será priorizado o no. Más importante aún, retrasa la creación de las reglas internas de la entidad. En interinato, las instituciones —por garantistas que sean en el papel— pueden volverse huecas.

El riesgo de tener una autoridad de protección de datos sin capacidades suficientes, sin´dientes´, amenaza la aplicacion de normativas ambiciosas. Este es un problema que incluso aqueja a otras normativas en el mundo, tanto o más robustas que la ecuatoriana, como sucede con el régimen de protección de datos en Europa.

Ley de Datos Personales
Mesas de diálogo para las cocreación de la Guía para el tratamiento de los datos personales en la Administración Pública Central. Foto: Ministerio de Telecomunicaciones.

En América Latina muy pocas autoridades cuentan con capacidad jurídica y técnica para investigar y sancionar a las Big Tech, domiciliadas en otros países y cuyas actividades de tratamiento de datos son poco transparentes. No tener capacidad para exigir que actores poderosos cumplan la ley genera sensación de impotencia entre las personas, que ven en la protección de datos un instrumento para frenar el apetito y abuso creciente en la explotación de su información personal por las empresas de Silicon Valley.

Pero la falta de dientes tambien puede ser evidente no solo respecto de la vigilancia de actores poderosos del sector privado, sino también frente al control de las instituciones públicas. Este no es un asunto menor si consideramos que el Estado posee casi toda nuestra información personal más relevante: registro civil y nacimiento, educación, trabajo y pensiones, vínculos familiares, tributación, acceso a beneficios sociales, situación migratoria, salud, entre otros. El uso abusivo, la filtración de esos datos, incluso la recolección de información innecesaria o su utilización para fines que no fueron previamente informados debería merecer un escrutinio estricto. Es ahí donde la verdadera independencia de la autoridad de protección de datos será puesta a prueba.

Sin embargo, es común en la region que las autoridades de protección de datos no tengan facultades robustas de supevisión y control respecto de otras entidades públicas. O que, teniéndolas, se limiten a examinar el actuar de ciertos funcionarios públicos, sin considerar prácticas o políticas de tratamiento de datos institucionales que puedan llegar a ser abusivas.

Otro riesgo es el de la presión por parte del Ejecutivo u otro poder del Estado, con la finalidad de disuadir o manipular a la autoridad de protección de datos en el cumplimiento de sus funciones. La ley afirma la independencia de la autoridad, pero es en la práctica donde podremos comprobar qué tan efectivo es el blindaje del marco jurídico.

Las expectativas en Ecuador son altas. Sin embargo, también hay que estar alerta. Por ahora, se advierte que, tras dos años de la entrada en vigencia de la ley, la silla de la autoridad de protección de datos sigue vacía. Se necesita un nombramiento que conduzca rápidamente a la expedición del régimen interno de la entidad para que esta haga lo que tiene que hacer, en un período que además es crítico para que las personas y las instituciones avancen en la curva de aprendizaje sobre el contenido de un marco legislativo novedoso.

Pero, ojo que del afán no queda sino el cansancio. El nombramiento de una autoridad de protección de datos no debería tomarse a la ligera. La persona que ejerza dicho rol debe tener una trayectoria académica meritoria, así como de servicio público destacable. Pero, sobre todo, una visión comprometida tanto con el derecho a la privacidad y la protección de datos de las personas, como con la aplicación uniforme de la ley frente a todas las partes. Un perfil así amerita una búsqueda meditada para encontrar a quien debiese dejar una vara alta para la protección de datos en el país.

DESCARGA AQUÍ EL REGLAMENTO A LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES

*Columnista invitada. Este artículo es el resultado de una alianza entre La Barra Espaciadora y Derechos Digitales.


Explora el mapa Amazonía viva