‘Me llaman y me escriben para ofrecerme servicios. Yo no he dado mi número’: a un año de vigencia de ley, datos personales e información financiera sigue filtrándose en Ecuador

Carlos Manzano cuenta que durante el mes de abril pasado recibió al menos ocho mensajes vía WhatsApp de personas identificadas con ciertas empresas para ofrecerle distintos servicios. Telefónicas, bancos, concesionarias, farmacéuticas y hasta universidades le escribieron. Carlos asegura que él no les ha dado su número telefónico y no sabe cómo lo consiguieron.

“Un mensaje respondí preguntando cómo consiguieron mi número y solo me dijeron que eran trabajadores y que le habían dado una base de datos. Incluso tenían mi número de cédula”, dice. A estos mensajes se suman las llamadas constantes: “Unas veces son grabadoras y otras personas. Yo solo cuelgo y bloqueo el número. No sé quién les dio mi número”. Para cuidar información sensible de los usuarios, y evitar situaciones como las de Carlos, en mayo de 2021 la Asamblea Nacional aprobó la Ley Orgánica de Protección de Datos Personales (LOPDP).

Sin embargo, este cuerpo legal en este año de vigencia no ha logrado frenar la filtración y utilización sin consentimiento de los datos personales de los usuarios en el Ecuador. Falta de campañas informativas que den a conocer la existencia de la norma, una mayor conciencia sobre la importancia del cuidado de los datos personales tanto en ciudadanos como empresas y la falta de estructuración de la Superintendencia Protección de Datos Personales es parte del problema, coinciden analistas consultados.

¿En qué consiste la Ley Orgánica de Datos Personales de Ecuador?

Para Cecilia Parra, experta en manejo de datos personales y Country Manager de Pridatect en Ecuador, el periodo de dos años que da la LOPDP para aplicar los procedimientos sancionatorios y que las empresas (tanto privadas como públicas) y el Estado se adapten a la normativa ha creado una especie de moratoria tácita.

“Hay muy pocos gerentes de empresas que han empezado a investigar sobre la protección de datos, a trabajar en un programa de protección de datos donde incluyan dentro de sus procesos el no mal utilizar la información, sino en trabajar en generar confianza en sus clientes. Yo creo que, con suerte, un 5 % de empresas en el Ecuador están trabajando en esto”, dice.

Añade que hay compañías que sí tienen conocimiento de la LOPDP, pero que han tomado la decisión de esperar la aplicación del régimen sancionatorio (mayo del 2023) para recién empezar a trabajar sobre la protección de los datos de sus usuarios. Sin embargo, la estructuración de un programa para cuidar esta información no se logra “de la noche a la mañana”. “Cuando vean sanciones a una o dos empresas allí las otras compañías temblarán. Aunque el régimen sancionatorio también dependerá si los usuarios se empoderan y empiezan a denunciar a los call centers, por ejemplo. Por el momento estos call centers seguirán insistiendo”, afirma.

La especialista indica que la filtración de los datos se puede dar de diversas formas. Una de las más recurrentes es que empleados que fueron despedidos o renunciaron se llevan la base de datos de su anterior empresa para trabajar con ella en otra compañía o las venden. Esto se ha “normalizado” y se desconoce que es un delito. Además, esto lo pueden hacer debido a la fragilidad de la protección de los datos que tienen las empresas.

La LOPDP obliga a las empresas a cuidar esta información de terceros, incluso de sus proveedores. Las sanciones leves van desde 0,1 % a 0,7 % del volumen del negocio o las graves de 0,7 % a 1 % del volumen del negocio. Además, los funcionarios públicos cuya acción u omisión hayan incurrido en alguna infracción tendrán sanciones que van desde un salario básico unificado (SUB) hasta los veinte SUB.

Otro punto que ahonda en la problemática es la falta de empoderamiento de los datos por parte de los usuarios. Por ejemplo, si en una farmacia solicita el correo electrónico para el envío de la factura, solo debe ser destinado para eso, pero luego el usuario empieza a recibir publicidad y esto lo ve como normal cuando no lo es. La persona puede no solo exigir que no la contacten para el envío de publicidad u ofrecimiento de servicios, sino exigir que su información sea borrada de la base de datos.

También hay un descuido por parte del usuario que comparte datos sin antes saber para qué los utilizarán, dice Daniel Tenorio, experto en seguridad informática. Cuenta que, por ejemplo, las personas dan sus correos electrónicos o números de celular a compañías que venden artículos por catálogo o transacciones a través de plataformas como WhatsApp, donde incluso se envían fotos de tarjetas de crédito o débito.

La LOPDP dispone la creación de la Superintendencia de Protección de Datos y el titular de esta institución debe salir de una terna enviada por el presidente de la República. Sin embargo, hasta el momento, no se ha estructurado este ente de control y tampoco “hay fecha” para el envío de la terna, según Eduardo Bonilla, secretario general de Comunicación de la Presidencia. El Consejo de Participación Ciudadana y Control Social es el ente encargado de designarlo y ya aprobó el reglamento para su elección a inicios de marzo.

A casi un año de la aprobación de la Ley de Protección de Datos, Ecuador aún no cuenta con su superintendente

Para Tenorio, es importante que se concrete la creación de este ente, ya que la entidad podría elaborar marcos guías y, especialmente, empezar a exigir el cumplimiento de la normativa. “Esta superintendencia es la encargada de poner el tablero sobre la mesa y empezar a realizar las mediciones”.

Lo que tampoco se ha desarrollado es el reglamento de la LOPDP que permitirá desarrollar aún más la normativa, dice Diego Beltrán Bastidas, abogado y socio fundador de la Asociación Ecuatoriana de Protección de Datos. Aunque aclara que la ley no necesita del reglamento para ser perfectamente aplicable.

“Esta especie de moratoria de dos años se ha entendido mal, ya que esto es solo para el régimen administrativo sancionatorio y no significa que la ley haya entrado en una especie de congeladora y que no sea aplicable. Hay disposición específica en la propia norma que habla sobre los mecanismos civiles, constitucionales y penales para exigir el cumplimiento de los derechos desde la entrada en vigencia de la ley”, sostiene.

Es por esto, afirma el experto, que actualmente continúa una especie de complacencia de parte de los usuarios con la forma en la que se han tratado los datos de carácter personal desde entidades públicas y privadas. Añade que no existen reparos en compartir datos de facturación, números de cédula o de teléfono, que sean grabados en cámaras de seguridad en bancos, hoteles o establecimientos turísticos.

“En la cultura del ecuatoriano no se cuestiona si todo esto es lícito y a lo máximo, cuando ya se vuelve incómodo, lo que hacemos es bloquear los números cuando las llamadas o mensajes son insistentes. Son medidas reactivas”, afirma Beltrán.

Otro de los problemas que observa el experto es que la mayoría de empresas ecuatorianas que no son de tecnología o telecomunicaciones consideran que la LOPDP tiene relación con un tema más de seguridad informática que de un tema de ejercicio de derechos por parte de los titulares de los datos: “Sin embargo, la norma impacta absolutamente a toda empresa que tenga datos de sus clientes o incluso de sus propios empleados. Esto incluye, básicamente, a todo el sector productivo”.

Los especialistas coinciden en que la implementación de la LOPDP en las empresas no solo es la adquisición de un software, sino la concreción de todo un entorno de protección de datos que incluso conlleva la firma de acuerdos de confidencialidad hasta con su propio personal. “Es todo un lineamiento para la manipulación de datos de acuerdo con el giro de las compañías. Es toda una arquitectura de trabajo para resguardar estos datos”, afirma Tenorio. (I)