Durante una jornada laboral, Julia, de 50 años, recibió hace dos semanas un mensaje de WhatsApp de un desconocido: “¿Cómo estas? ¿Sabías que un plan médico es una de las mejores decisiones financieras que puedes tomar?”. Adjuntaba la propaganda de una firma de medicina prepagada.

La mujer extrañada por el mensaje preguntó.

-”Perdón, ¿me podría decir cómo tiene mi número, que es privado?”.

-”Tengo este número en nuestra base de datos. Tal vez usted ya es clienta”, le dijo el vendedor.

Publicidad

-”No soy cliente ni he pedido información”, replicó la mujer, quien pidió que se la borre de esos registros comerciales.

Otras empresas, en cambio, se comunican a través de llamadas, mensajes SMS y correos electrónicos, que también generan malestar en las personas que contactan y que no han dado su consentimiento para que terceros tengan su información con fines comerciales: número de cédula de identidad, nombres completos, número telefónico, correos electrónicos, entre otros datos.

El 13 de junio pasado, una llamada comercial ingresó al celular de un hombre de 33 años. “Le saludamos del Banco Solidario, usted tiene una tarjeta (de crédito) preaprobada con nosotros”, dijo una mujer al ciudadano. Este le preguntó cómo obtuvo su número de teléfono. La respuesta fue que consultan una base de datos.

Estas prácticas continúan en el país, pese a que hay una normativa vigente que regula el tratamiento de este tipo de información: la Ley de Protección de Datos Personales, aprobada el 10 de mayo por la Asamblea.

Publicidad

En el artículo 7 de la ley, se destaca que el tratamiento de los datos personales será legítimo cuando el portador de esa información cuente con el consentimiento del titular de los datos, es decir, el ciudadano al que pertenezca esa data, y que ese permiso será válido siempre que el titular lo haya emitido de forma libre e informada.

La ley también establece la creación de una Superintendencia de Protección de Datos que velará por el cumplimiento de la ley y la aplicación del régimen sancionatorio que entrará en vigencia en dos años y que contempla multas para los servidores públicos y empleados privados que incurran en un tratamiento inadecuado de la información personal.

  • “Los servidores o funcionarios del sector público por cuya acción u omisión hayan incurrido en alguna de las infracciones graves en la presente ley serán sancionados con una multa de entre 10 a 20 salarios básicos unificados del trabajador en general, sin perjuicio de la responsabilidad extracontractual del Estado”, según el artículo 72 de la Ley de Protección de Datos Personales.
  • “Si el responsable, encargado del tratamiento de datos personales o de ser el caso un tercero, es una entidad de derecho privado o una empresa pública se aplicará una multa de entre el 0,7% y el 1% calculada sobre su volumen de negocios, correspondiente al ejercicio económico inmediatamente anterior al de la imposición de la multa”.

Lorena Naranjo, titular de la Dirección Nacional de Registro de Datos Públicos (Dinardap, institución que participó en la construcción de la Ley de Protección de Datos) entre octubre del 2017 y junio del 2021, también ha recibido llamadas de empresas que le han ofrecido viajes, por ejemplo. Ella explica que las compañías y otras entidades que trabajen con datos personales tienen esos dos años para regularizar sus bases de datos: “En este momento tienen que hacer un proceso de transparencia, es decir, notificarles (a los ciudadanos que constan en sus bases de datos) para qué va a ser usada su información, cuál es el destino, la forma de tratamiento”.

El ciudadano contactado decidirá si acepta o no el uso de sus datos, como lo recoge el Derecho a la Oposición, que consta en el artículo 16 de la ley. Esta se empezó a trabajar ante la necesidad de una norma específica para el cuidado de información delicada que, en ocasiones, se ha comercializado en un mercado negro de bases de datos en internet y por el riesgo de filtraciones como la que ocurrió en el 2019.

Publicidad

El 16 de septiembre de ese año se difundió la noticia de una filtración masiva de datos personales de Ecuador. En ese entonces, autoridades descartaron ataques de ciberseguridad a instituciones e informaron que había una investigación judicial en curso.

El marco jurídico nacional contempla penas de hasta cinco años de cárcel para los responsables de filtraciones de datos personales. La fiscal Sobeida Conforme, del área de ingresos de denuncias de la Fiscalía del Guayas, refiere los artículos 178 (violación a la intimidad) y 229 (revelación ilegal de bases de datos) del Código Orgánico Integral Penal (COIP).

“El 178 tiene como finalidad reprimir a la persona, es más individual. Si yo tengo la información de una persona, no tengo autorización y la difundo, entonces hay violación a la intimidad. En cambio, el 229 responde a personas de instituciones, sector corporativo, para las personas encargadas de controlar esos registros”, explica.

Foto: Cortesía

Según la Fiscalía, del 1 de enero al 18 de junio de este año, se han presentado 986 denuncias correspondientes al art. 178 y 19 por el art. 229. En el 2020, se registraron 2.002 y 30 denuncias, en ese mismo orden.

Publicidad

Con el número de la cédula de identidad, nombres completos, correo electrónico, contacto telefónico y otros datos que los delincuentes pueden hallar en internet, los ciudadanos quedan expuestos a varios riesgos, explica Rafael Bonifaz, experto en seguridad informática.

“(Delincuentes) pueden hacer ingeniería social (investigación) y se pueden hacer pasar por el banco o por otra institución, y decirle que usted se ganó un viaje (para obtener información como el nombre de usuario y la clave de la banca digital)”, alerta el informático.

Mirian, de 39 años, fue blanco de una organización delictiva que consigue los datos personales de ciudadanos para tomar el control de cuentas bancarias. Ella contestó llamadas y mensajes de una mujer, reprodujo un audio y abrió una foto, por WhatsApp, el 26 de enero.

“Al día siguiente de las llamadas, cambié de número y cuando entré a la aplicación del banco vi que se transfirieron casi $ 5.000”, contó.

Correo malicioso para estafar a usuario de banco.

Otra estrategia que usan delincuentes para estafar a clientes de bancos es el envío de correos electrónicos que suplantan la imagen de instituciones bancarias, para engañarlos y que entreguen su nombre de usuario y contraseña de la plataforma digital donde administran su dinero.

Para combatir estos intentos de estafa, las entidad financieras difunden consejos en redes sociales.

Datos a la deriva

La filtración de datos más reciente que se mediatizó ocurrió en febrero. El día 18 de ese mes, Banco Pichincha informó que hubo un acceso no autorizado a sistemas de un proveedor de servicios de mercadeo en un programa de millas.

EL UNIVERSO halló varios archivos que tienen datos que estarían relacionados con esa filtración, en un fichero de la web oscura. En esos registros de más de 30.000 personas, en los que consta una periodista del rotativo, hay números de cédula, nombres, correos electrónicos, entre otros detalles.

Este Diario solicitó una entrevista al banco para conocer si se presentó una denuncia, si recomendaron medidas preventivas o si se entregó alguna compensación. La entrevista quedó pendiente.

Banco Solidario y la Superintendencia de Bancos tampoco atendieron un pedido de entrevista con este medio.

¡Alerta con ofertas de ganancias altas en tiempo récord! Reclutadores de empresa buscan a menores de edad y a jóvenes en redes sociales

La Asociación de Bancos Privados del Ecuador (Asobanca), sin embargo, aseguró en un comunicado que los miembros de esta entidad cumplen con las normas de protección de datos y de seguridad de la información: “Por ejemplo, que los bancos deben tener de manera obligatoria un área específica de seguridad de la información, lo cual evita la transgresión (...)”.

Este gremio también enfatizó que “los bancos no ceden información a terceros o a personas que no tengan la autorización del titular”. (I)