‘Me llegan correos de deudas vencidas de personas que no conozco’: mal manejo de datos personales se extiende a empresas de cobranzas en Ecuador

“Último comunicado. Comuníquese de manera urgente. Abone de manera urgente a su saldo vencido. Le informamos que, debido a su negativa de pago en repetidas ocasiones por su deuda con..., se procede a informar que estamos próximos a ejecutar su cuenta, en caso (de que) no tengamos respuesta positiva de sus pagos en esta semana”. Esto es parte de una notificación que recibió Xavier Z. en su correo electrónico en octubre pasado.

Afirma que la deuda que se está cobrando no es de él, sino de una mujer que no conoce, por $ 1.259 con un almacén de venta de electrodomésticos. Al principio pensó que se trataba de una equivocación y no le prestó atención al correo, pero luego le empezaron a llegar más notificaciones de la misma persona.

‘Cambié de número dos veces, pero empresas que ofrecen servicios lo consiguen’: sanciones por mal manejo de datos empezarán a regir en mayo del 2023

“Me comuniqué con el número que aparece en el correo. Les dije que no conocía a esa persona y no sabía por qué me estaban llegando esos correos. Me dijeron que supuestamente esa persona me había puesto como referencia y que, como ya no respondía las llamadas y correos, para que ella cancele la deuda, pues, me enviaron las notificaciones a mí. También me sorprendió que tenían mis nombres completos, mi número de cédula y mi número de teléfono”, señala.

La empresa de cobranza le aseguró que los datos de referencia supuestamente los había dado la persona dueña de la deuda: “Pero no conozco a esa mujer. Ellos sacaron la información de otro lado, de alguna base de datos”.

Algo parecido le pasó a Nury (nombre protegido). Ella trabaja en una entidad pública, y cuenta que en noviembre pasado le llegó una notificación a su dirección de correo electrónico personal y a la de su trabajo cobrando una deuda de una persona que no conoce. Afirma que lo sorprendente es que el e-mail también fue copiado a personas del departamento de talento humano de su trabajo, incluyendo a un colaborador que se jubiló en 2020.

Señala que hizo una breve investigación para obtener el RUC de la empresa de cobranza y de su representante legal, y cruzó información con el portal de la Superintendencia de Compañías. Esa empresa estaba vinculada, a su vez, a otras compañías que tenían procesos de compras públicas.

Estas empresas han participado en procesos de compras públicas para dar servicios de call center y gestionar cobranza o prestar servicios al cliente. Es decir, han tenido acceso a bases de datos de entidades públicas.

‘Me llaman y me escriben para ofrecerme servicios. Yo no he dado mi número’: a un año de vigencia de ley, datos personales e información financiera sigue filtrándose en Ecuador

Nury contestó el correo electrónico certificando que no conoce a la persona a la que le están cobrando la deuda y que se abstengan de enviarle a ella y a sus compañeros de trabajo ese tipo de notificaciones.

En tanto, Sergio O. cuenta que a su correo electrónico le han llegado notificaciones de una deuda que mantiene un familiar con un almacén de electrodomésticos. Sin embargo, afirma que su conocido “jamás” dio información sobre él ni datos de contacto: “Tampoco soy su garante. De hecho, nuestra relación es lejana y no mantenemos comunicación seguida”. Tuvo que llamar para que le dejaran de llegar esos correos, pero quedó con la intriga de saber cómo consiguieron su información.

Estos casos demuestran que la filtración de datos personales y su mal uso por parte de empresas continúan en Ecuador, pese a que hace más de un año y seis meses se aprobó la Ley Orgánica de Protección de Datos Personales (LOPDP).

Si bien la ley está vigente, todavía falta la aprobación de su reglamento, la designación del superintendente de Protección de Datos Personales y que las empresas e instituciones, públicas y privadas, establezcan la figura del delegado de protección de datos. No obstante, esto no significa que la normativa no pueda ser aplicada y, en especial, respetada, según afirman analistas consultados.

“Vemos con un grado de preocupación que se observa que muchas empresas están apostando a la inexistencia del reglamento y a la falta del superintendente. Es muy especulativo en este momento hablar de un número, pero hay un gran número de empresas que están reguladas por esta ley y que no están adaptadas a ella”, señala Diego Beltrán Bastidas, abogado y socio de la firma Solines & Asociados y docente especializado en protección de datos de la Universidad Internacional SEK.

No solo se debe exigir que se borren los datos en las bases de empresas en las cuales no se es cliente, sino que también se debe pedir a las compañías y entidades de las que sí se es usuario que se haga un uso correcto y responsable de la información.

¿Cuál es el perfil de un delegado de protección de datos?, especialización que tendrá gran demanda por parte de las empresas en Ecuador

Aunque la LOPDP está en vigencia, sus sanciones recién podrán ser aplicadas desde mayo de 2023, ya que la Asamblea aprobó una moratoria de dos años para que las empresas y entidades se adapten a la normativa.

“La moratoria apuntaba a dar plazo para establecer procesos que no son fáciles y son, en ciertos casos, costosos. Además, el objetivo no es sancionar, sino que se respete el derecho. Pero sí creo que la moratoria debió ser mucho más progresiva; por ejemplo, dar un plazo máximo para que el Ejecutivo envíe la terna, otro para la expedición del reglamento, es decir, establecer fechas límite”, dice Beltrán.

Para Cecilia Parra, experta en manejo de datos personales y country manager de Pridatect en Ecuador, hubiese sido ideal que el país empezara una normativa menos rígida o con menos puntos por valorar, porque la cultura ecuatoriana es muy diferente a la europea.

“Por ejemplo, en Estados Unidos la ley busca proteger los datos, pero también dan la oportunidad a los empresarios de trabajar con los datos siempre que se informe bien de la situación. En Ecuador debimos haber empezado uno o dos escalones menos e ir incrementando la rigidez de la normativa de a poco”, señala. (I)