En Ecuador, desde el 26 de mayo próximo, las empresas y organizaciones podrían ser objeto de procesos sancionatorios por falta de aplicación de las disposiciones contempladas en la Ley de Protección de Datos Personales, como tener el permiso del titular para el manejo de sus datos personales en sus plataformas.

Si cliente no autoriza uso de sus datos personales puede quedarse sin algún servicio o beneficio, en pocos días regirán sanciones

Diego Bassante, ecuatoriano y líder de asuntos gubernamentales y regulatorios de IBM en la región, rescata el hecho de que el Ecuador tenga una normativa que permita afianzar la seguridad en el manejo de los datos personales, pero que lo más importante en todo este proceso es implementar un cambio cultural en las personas y en las organizaciones. Qué datos expongo en las redes sociales y qué mecanismos de seguridad implementan las compañías para proteger a sus clientes.

¿Cómo está el Ecuador con relación a la aplicación de la Ley de Protección de Datos?

Publicidad

El tratamiento de datos personales es necesario e inevitable en la economía actual y todos estamos afectados, como IBM celebramos y como ecuatoriano celebro que en el Ecuador exista una ley que protege los datos personales, que si bien se demoró una década, pero es saludable.

¿Por qué debemos tener especial cuidado en el manejo de los datos personales como ciudadanos?

Lo que la ley hace es habilitar a que los ciudadanos puedan disponer de sus datos personales, a través de lo que se conoce como los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición de los datos personales). Esta ley no nos propone un cambio tecnológico, un cambio de procesos, un cambio de dirección de inversiones en las organizaciones, sino un cambio cultural y en virtud de ello la ley estipuló un tiempo que vence este 26 de mayo de 2023, para que las organizaciones públicas y privadas puedan adaptar la ley.

Publicidad

¿Qué datos debemos proteger y cómo deben actuar las empresas?

Frente a la ley hay tres áreas en las que se debe actuar como organización: el cambio cultural; la parte administrativa y financiera de las empresas donde debe destinar recursos, tiempo y energía para la protección de los datos personales, eso significa capacitación al personal. Además, la ley tiene una figura nueva como es el delegado de la protección de datos personales, que es el responsable del manejo y del asesoramiento de la empresa en el cumplimiento de la ley. En IBM, tenemos experiencia en esto y cumplimos con las leyes de protección de datos personales en más de 175 países, y creemos que en el caso ecuatoriano las empresas y organizaciones deben implementar la noción del cumplimiento continuo de la ley, pues deben implementar la privacidad por defecto en el diseño de los productos y servicios como organización y la capacitación que es importante.

Publicidad

¿Con esta ley a qué están abocadas las empresas?

Identificar sus bases de datos, pues una de las cosas que dice la ley ecuatoriana es que las organizaciones deben registrar las bases de datos y para ello cada empresa debe señalar cuáles son y dónde están.

¿Para obtener esas bases de datos debe contar con el consentimiento expreso de los ciudadanos o usuarios?

Por supuesto, pero no solo debe tener el consentimiento, sino tiene que cumplir con el principio de la finalidad, el tratamiento y el principio de información. La finalidad y tratamiento se refiere a que los datos personales deben ser utilizados para determinados asuntos explícitos y legítimos; de hecho, una de las violaciones a la ley podría ser el uso de los datos para un fin distinto al autorizado. Una empresa puede tener el consentimiento para usar esos datos, pero no es un cheque en blanco. En el principio de información se refiere al hecho de que el titular de los datos tenga toda la información completa de cuál será el fin de sus datos.

Publicidad

¿A más de ello, el consentimiento de los datos personales tiene un tiempo de uso?

Exactamente, y no solamente es el tiempo, sino también la cantidad y el tipo de datos que se recogen; esto se conoce como el principio de minimización de datos, es decir, se deben recoger los datos personales en la medida de lo necesario. Por ejemplo, una empresa telefónica no puede solicitar datos sobre su situación de salud; en otras palabras, no hay que pedir más datos de los que son necesarios y no hay que almacenarlos por un tiempo superior a lo necesario.

¿En cuestiones de seguridad, cómo un ciudadano puede estar seguro de que sus datos personales no sean usados fuera de la frontera?

Nosotros desde IBM estamos enfocados en que una Ley de Datos Personales debe proteger para que pueda haber un flujo de datos libre y seguro, que permita no solo el negocio, sino también la innovación. Esto viene atado a la ciberseguridad, porque no se puede proteger los datos si no tengo un sistema de ciberseguridad en mi empresa; entonces, esto significa que cada organización debe tener sistemas para administrar y controlar el quién, qué y por qué. El equipo de seguridad en IBM monitorea más de 150.000 millones de eventos de seguridad por día, y para contener una filtración de datos en América Latina una empresa se tarda en promedio 331 días.

¿Ustedes tienen información sobre cómo avanzó el Ecuador respecto a la protección de datos, pues en este mes empiezan las sanciones para aquellas empresas que no apliquen la ley?

No tenemos estudios específicos sobre las empresas ecuatorianas en cuanto al cumplimiento de la ley, pero lo que sí sabemos es que las empresas que implementan sistemas de seguridad en el manejo de sus datos, que utilizan la tecnología en el cambio cultural, sí son un porcentaje mayor. Un estudio reciente de IBM revela que a nivel global las organizaciones que desplegaron completamente la automatización y la inteligencia artificial en el manejo de la seguridad de sus datos lograron un ahorro de 65,2 % frente a las empresas que no lo hicieron y tienen una posibilidad de detectar y contener los ciberataques 2,5 meses más rápido.

¿Las empresas en qué se pueden apoyar en IBM, que potencian en manejo de datos personales?

Podemos potenciar las vulnerabilidades que tiene una organización, es decir, podemos ayudar a detectar las configuraciones incorrectas y otros errores de hardware y software en las fuentes de datos que mantiene una organización, e inclusive si los datos van a ser procesados por nuevas tecnologías poderosas como inteligencia artificial, los usuarios deben ser informados sobre estas tecnologías; además, los sistemas que se utilizan para el manejo de datos deben ser transparentes, explicables y deben poder mitigar sesgos dañinos e inapropiados. Podemos implementar técnicas como el llamado cifrado, que puede evitar ataques y si los hay, los atacantes no puedan obtener nada de valor con lo que puedan extorsionar.

¿Qué hay para los ciudadanos que no tienen empresas?

Hay un trabajo también para los ciudadanos, es decir, el cuidado de los datos personales no es exclusivo de las empresas, sino que también como titulares de los datos también tenemos una responsabilidad de cuidar los datos. Tenemos que empezar implementando acciones sencillas, por ejemplo, no divulgar demasiada información en redes sociales. Las personas tenemos que ser los primeros guardianes de nuestros datos, por ejemplo, en diferentes plataformas cuando una persona se olvida la plataforma se pregunta cuál fue su primera escuela, cuál fue la marca de tu primer vehículo, etc., y si tengo toda esa información pública distribuida en internet, voy a estar expuesto a una vulnerabilidad.

¿Cuáles son las recomendaciones que podemos dar a la ciudadanía en cuanto a la aplicación de la Ley de Protección de Datos, qué cuidados debemos tener?

Para poder tener esas antenas puestas y estar alertas a esas situaciones debemos tener esa consciencia del cambio cultural que no solo debe ser a nivel empresarial, sino también a nivel individual y es una concientización de que como ciudadano soy titular de mis datos personales y entiendo que algunos datos son sensibles, y tomo acciones para protegerlos, no los publico ni los entrego a quienes no creo que deban tenerlos; pero en definitiva, las empresas deben ver esa normativa como un apoyo para su operación, como un canal para construir la confianza de los usuarios.

¿Qué falta en el Ecuador para implementar plenamente la normativa vigente desde el 2021?

Lo que falta en el país es la designación de la autoridad de control, la designación del superintendente que está contemplado en la ley, para lo cual el presidente de la República debe remitir la terna respectiva al Consejo de Participación Ciudadana y Control Social para su selección. Con ello, estará marcada la cancha. (I)