La filtración de datos de millones de ecuatorianos por parte de Novaestrat ha dejado en la vulnerabilidad a la población. El abogado en comercio internacional Ángel Satué de Córdova, docente de Cerem Business School y experto en compliance explica a GESTIÓN el impacto de dicha filtración y la importancia de que exista una normativa que proteja los datos de los ciudadanos.
¿Qué tan grave es una filtración de datos como la que ha ocurrido en Ecuador?
La gravedad viene dada por el tipo y cantidad de datos personales involucrados. Según lo que se conoce, la empresa habría expuesto presuntamente números de cédula, fechas de nacimiento, defunción y matrimonio. Nombres de cónyuges, padres y madres, direcciones de domicilio y el nivel de instrucción académica; información de propietarios de carros y datos sobre información laboral y crediticias; entre otros datos. Incluso, se habría dedicado a realizar tratamientos de datos como recreación de árboles genealógicos de cada persona.
Lo cierto es que lo que está en juego es la propia intimidad y vida privada de las personas. Esta es la gravedad en su sentido más pleno. Y hay que saber que el derecho a la protección de datos personales se desprende (y alcanza vida propia) del derecho a la intimidad, que reconoce la propia Declaración Universal de los Derechos Humanos, de 1948, o la Convención Americana sobre Derechos Humanos, de 1969.
¿Qué ha fallado?
Nunca debieron tratarse y almacenarse datos personales sin consentimiento, sin que se informe a los propietarios. Menos aún que se comercialicen los datos y que se desconozca qué tipo de datos han sido expuestos y la finalidad de los tratamientos realizados. Se puede decir que ha fallado todo.
¿Cuánto puede perjudicarnos?
Mucho. Pues pone en riesgo la imagen, la seguridad y la credibilidad de todo un país. Amenaza el clima de hacer negocios. Perjudica las inversiones en una economía digital y global.
¿Cuál debe ser la respuesta?
Busquemos el lado bueno a esta grave crisis. Si la reacción de las autoridades es la adecuada, el mensaje puede ser la de un país comprometido con la seguridad de los datos personales de sus ciudadanos y con el derecho de protección de datos personales.
¿Por qué es tan importante que exista una regulación sobre la entrega de datos?
La regulación es fundamental porque es la que garantiza la seguridad jurídica y la transparencia en todo lo relacionado con el derecho a la protección de datos personales. Ya en 2010 se inició el primer intento de tramitar la Ley de Protección a la Intimidad y a los Datos Personales, presentada por el asambleísta Vethowen Chica Arévalo. Se venía preparando, por tanto, una legislación específica sobre la materia, más allá de la sectorial vigente (Ley del Sistema Nacional del Registro de Datos Públicos, Ley de Comercio Electrónico, Firmas electrónicas y Mensajes de datos, Código Orgánico Integral Penal). Pero no se ha llegado a tiempo. Confiemos que en breve supere el trámite parlamentario el proyecto de Ley Orgánica de Protección de Datos.
¿Cómo debe ser dicha normativa?
Debe ser flexible y facilitar que las tecnologías y procedimientos estén sometidos a dos principios clave. Por un lado, el principio de rendición de cuentas (accountability) de todos los implicados en la gestión de los datos personales. Por otro lado, el principio de privacy by design, es decir, tener en cuenta la privacidad, siempre y por defecto, en todos los procesos de diseño de procesos, procedimientos, leyes y tecnologías.
Entonces es un requerimiento indispensable…
Hay que saber que el dato personal es el paradigma de la economía digital, más aún cuando vamos a un mundo conectado mediante la tecnología 5G: el Internet de las Cosas (IoT). Toda la energía del Estado, sociedad y empresas debe comprometerse con la protección de los datos personales.
¿Qué sería preciso que regulase dicha ley para que esto no ocurra de nuevo?
Bueno, el riesgo cero no existe. Pero sí se puede acortar al máximo la probabilidad de que ocurran ciertos riesgos y el impacto de los mismos. Esta es la clave que tiene un fuerte componente preventivo, pero también reactivo.
El proyecto de ley debería situarse dentro de los estándares europeos, muy garantistas para los ciudadanos frente a intrusiones, por ejemplo, del propio Estado, favoreciendo el principio de rendición de cuentas y autocontrol, un sistema de fuertes sanciones, de privacidad desde el diseño y por defecto.
¿Qué países sí tienen una legislación de este tipo?
Países de la región por delante en la regulación, sin duda, Argentina (2003) y Uruguay (2012). Perú y Colombia cuentan con una regulación específica para la protección de los datos personales y la privacidad de las personas, más allá de distintas normas sectoriales (comercio electrónico). Recientemente México, Chile y Honduras se incorporaron, o están a punto, al club de países que regulan la materia en una ley específica. Por supuesto, todos los países de la Unión Europea son un referente en la materia y ayuda mucho para conocer la consistencia del sistema de protección de datos de un país, consultar la lista de la Comisión Europea de ordenamientos jurídicos que ofrecen garantías asimilables a las del sistema europeo.
Tenemos claro el rol del Estado, pero ¿cuál es el rol de las empresas?
Deben formarse para ser capaces de implementar las diferentes regulaciones. Deben realizar auditorías sobre el impacto de los riesgos, sobre sus sistemas, procesos y tecnologías. Evaluar periódicamente los tipos de tratamiento que realizan, las herramientas que utilizan para realizarlos, obtener consentimientos de manera ágil y eficaz, afrontar posibles riesgos o pérdidas de datos en el caso por caso, ajustando sus procedimientos a los posibles casos en concreto, al volumen de datos implicados, su relevancia o sensibilidad.
¿Hay casos de filtraciones en otros países similares a este?
Cientos, miles. Todos los días. Tal vez, no tan impactantes el sentido de haber afectado a prácticamente toda la población de un mismo país. Pero como ejemplo, el pasado año, la cadena de hoteles Marriott sufrió un robo de datos personales de medio millón de viajeros. También otro que afectó a aproximadamente 100 millones de clientes de la empresa estadounidense Capital One, que fue objeto de un robo masivo de sus entornos cloud.
(*) Periodista por el Tecnológico de Monterrey. Trabajó en medios de comunicación impresos durante ocho años. Actualmente es relacionadora pública y gestora de contenidos. Colabora como freelance en publicaciones editoriales.
Revista Gestión no se responsabiliza por las opiniones ni comentarios publicados por sus colaboradores en este espacio, quienes son los responsables del contenido difundido. Si va a hacer uso de este artículo, por favor cite la fuente original. Artículo de información (I).
Encuentre contenido relacionado en nuestro archivo histórico:
Qué debe contener una ley de protección de datos en Ecuador
¿Qué propone la Ley Orgánica de Protección de Datos Personales en Ecuador?
Ciberseguridad en la era digital: tendencias y desafíos en el sector financiero
¿Está su negocio preparado para un ataque cibernético?
¿Por qué es importante asegurar la información de mi empresa?
Last modified on 2019-10-01