La protección de datos personales se ha venido discutiendo en diferentes foros y nos hemos dado cuenta de que es un asunto complejo, al que Ecuador entrará vertiginosamente cuando el proyecto de ley (en adelante referido como LPDP) se apruebe en la Asamblea Nacional. En miras a que esto suceda más pronto que tarde, es tiempo de analizar la aplicación de una ley con las características del proyecto que tenemos, y cómo hacer para velar por su cumplimiento sin afectar las actividades económicas.
Como premisa, es necesario entender que la LPDP no debe ser vista con una finalidad sancionadora o recaudatoria. No se debe olvidar que la fuente de toma de decisiones en el siglo XXI ha pasado de ser un asunto de intuición a un análisis estadístico de datos. Los ciudadanos ecuatorianos necesitamos mejorar nuestra capacidad estadística, con el fin de permitir un desarrollo sostenido de bienes y servicios, tanto en los sectores tradicionales como dentro de los ecosistemas digitales.
En este sentido, la aplicación de la LPDP tiende a ser un asunto de análisis para la creación de criterios en cuanto a: i) Qué se considera un dato personal más allá de su definición; ii) Cuál es el alcance del tratamiento; iii) Cómo se puede ejercer la potestad sancionadora.
La definición propuesta en la LPDP puede resultar confusa: “(…) representación simbólica de atributos o variables cualitativas y cuantitativas concerniente a una persona natural (…)”. El dato de carácter personal sujeto a la Ley no puede ser determinado de esta manera, pues estaríamos frente a cualquier dato. En esencia, el dato protegido por la Ley no es “concerniente a” una persona natural. El dato protegido por la Ley debe de por sí volver identificable o identificar la identidad de su titular. Pues un dato que “me concierne” no me vuelve identificable ni me identifica, como pueden ser mi color de ojos, estatura, edad o talla de zapato.
La naturaleza del tratamiento de datos personales y su alcance también juegan un rol importante. Para esto, la LPDP establece los principios sobre los cuales el tratamiento debe realizarse, cuyo entendimiento y aplicación completan las disposiciones legales en cuanto a un posible incumplimiento por parte de un responsable o encargado del tratamiento.
El tratamiento de datos personales de manera transversal debe cumplir con los principios de proporcionalidad y calidad. LA LPDP establece que el tratamiento de datos personales debe ser adecuado, oportuno, relevante y no excesivo. Es decir, si una empresa presta un servicio de linterna a través de una aplicación móvil, no sería proporcional que esta acceda a la agenda, contactos, ubicación, acelerómetro y datos médicos de los wereables conectados. Es decir, el recabo de los datos debe tener una relación con la actividad de quien los recaba y con el servicio que se presta.
El tratamiento debe ser legítimo, por lo que debe darse por obligación legal, orden judicial, disposición contractual o por el consentimiento.
La legitimidad también puede provenir del interés legítimo, cuyo principio se refiere al derecho del responsable del tratamiento para tratar datos personales, en virtud del vínculo que este tiene con el interesado y a la expectativa tácita pero razonable que tiene este último del responsable. Esto ocurre, por ejemplo, en tratamiento de datos personales para evitar fraudes, con fines de mercadotecnia o cuando el responsable se encuentra garantizando la seguridad de las redes de comunicación.
¿QUÉ OCURRE CUANDO UN DATO SE ENCUENTRA ANONIMIZADO, CIFRADO O DE ALGUNA MANERA DESVINCULADO DE SU TITULAR?
Por principio, el dato personal es únicamente el dato que identifica o vuelve identificable a su titular a través de esfuerzos razonables. Esta razonabilidad proviene del estado de la técnica y de los costos relacionados con dicha identificación. Por lo tanto, la LPDP no debe ser aplicada en ningún caso donde no exista prueba en contrario que determine que los esfuerzos de anonimización, cifrado o proceso de desagregación del titular, no han sido suficientes con base en: la sensibilidad de los datos, a la actividad económica del responsable del tratamiento y el costo que se requiere para desmantelar este proceso e identificar al titular de uno de los datos.
¿QUÉ PASA CON LOS DATOS RECABADOS DE TARJETAS DE PRESENTACIÓN O PÁGINAS WEB PROFESIONALES?
Diferentes jurisdicciones han estado discutiendo sobre la aplicación de las normas de protección de datos con respecto a aquellos que pueden constituir un dato personal, pero a la vez son datos comerciales.
Por ejemplo, los datos que un médico pone en su tarjeta de presentación o en su página web del dispensario médico donde labora: nombre, apellido, teléfono y dirección… podrían ser considerados en su totalidad o en su mayoría un dato personal. En el caso del médico, inclusive, su número de cédula es también su número de licencia profesional. Sin embargo, la naturaleza de la puesta a disposición de dicha información y el tratamiento que en diferentes portales que indexan profesionales pueden dar a dichos datos, no debería constituir una violación a la LPDP sin que exista de por medio un análisis e investigación que, fuera de toda duda razonable, pruebe que desde su fuente de recabo el dato constituyó un dato personal y no un dato comercial o profesional.
¿A QUÉ SE REFIERE LA RESPONSABILIDAD PROACTIVA?
El principio de responsabilidad proactiva se refiere a los esfuerzos constantes que los responsables del tratamiento deben hacer para mantener estándares de protección de los datos personales, relacionados con el estado de la técnica y con la sensibilidad de los datos que mantienen.
Ahora bien, el estado de la técnica es un concepto muy abierto que es difícil de determinar en cuanto a su cumplimiento. Una compañía de buró de créditos tiene diferentes recursos que un retail que vende sus artículos con crédito directo. Se puede considerar que en sensibilidad de datos mantienen un nivel equiparable, pero sería un error esperar que ambos inviertan la misma cantidad de dinero en la protección de los datos personales que manejan de los usuarios, pues terminarían proporcionando un obstáculo tácito al negocio del retail, peor aún en caso de que el retail sea sancionado según el régimen que se establece en la LPDP.
Si queremos ver a la LPDP como una herramienta importante para alcanzar prácticas adecuadas en un mediano plazo, permitiendo que las compañías adecúen sus procesos a estas, se requiere que la Ley sea menos exigente, menos punitiva y más comprometida con facilitar el cumplimiento.
El régimen sancionador actualmente propuesto es desproporcionado para la realidad económica ecuatoriana, considerando que de manera transversal, la caja que queda en la contabilidad de la empresa normal se ve ya sumamente perjudicada por obligaciones laborales, pago de impuestos sobre facturación no sobre recaudación, tarifas regulatorias varias, provisiones contables, entre otros aspectos que no se consideran. Es decir, una infracción leve puede quebrar o sacar del mercado a cualquier compañía, grande o pequeña, de todos los sectores de la economía.
No olvidemos que los datos personales se los recaba actualmente desde fines de facturación hasta para determinar necesidades básicas de la sociedad y tomar decisiones para suplirlas. Todos somos susceptibles a cometer errores, pero no a que estos cuesten la supervivencia de las actividades, en un mundo donde el procesamiento de datos ha sido visto y analizado, incluso, como una necesidad esencial para entrar en el mercado.
(*)Socio de Heka Law Firm con más de 10 años de experiencia en las áreas corporativa y TMT donde asesora a clientes nacionales y extranjeros en las distintas industrias. Obtuvo una especialización en Derecho de las Telecomunicaciones, Protección de Datos, Audiovisual y Sociedad de la Información por la Universidad Carlos III de Madrid.
Revista Gestión no se responsabiliza por las opiniones ni comentarios publicados por sus colaboradores en este espacio, quienes son los responsables del contenido difundido. Si va a hacer uso de este artículo, por favor cite la fuente original. Artículo de información (I).
Encuentre contenido relacionado en nuestro archivo histórico:
Amazon, Google y Facebook: ¿los nuevos amos de la cultura?
Cómo algunas empresas usan datos de nuestro teléfono para decidir cuánto cobrarnos
Por qué los empresarios deben interesarse por la ciencia
Lo que el dinero no debería comprar según Michael Sandel, un Sócrates de la era digital
Justicia digital: ¿nuevas soluciones para viejos problemas?
Last modified on 2020-11-27