En plena era del manejo de datos de un modo masivo, con nuestra identidad digital colgada de un modo perenne en la “nube”, empresas como Google, Facebook, Apple o Twitter se han convertido en portadoras de información exhaustiva sobre nuestros gustos, afinidades, opiniones políticas, hábitos de consumo e, incluso, preferencias sexuales.
Definidos en numerosas ocasiones como “el petróleo del siglo XXI” o la “gran materia prima de nuestra era”, los datos de carácter personal están de rabiosa actualidad. Hitos como las recientes comparecencias de Mark Zuckerberg ante el Congreso de los EEUU y el Parlamento Europeo a causa del escándalo de Cambridge Analytica -en el cual, esta consultora, a través de un sencillo test de personalidad en Facebook, recolectó datos de millones de usuarios para utilizarlos con fines políticos-, la llegada del Reglamento General de Protección de Datos de la Unión Europea (conocido como “RGPD”), de obligado cumplimiento desde el 25 de mayo, o, en el caso de Ecuador, el presente desarrollo de lo que será la primera Ley de Protección de Datos, han puesto el foco en una materia en revisión legislativa a nivel mundial por una sencilla razón: nuestra forma de actuar. Ya no se usa Internet para informarnos, sino para informar sobre nosotros mismos.
En este sentido, es importante tener en cuenta que el dato personal no es necesariamente un dato íntimo, sino que basta “cualquier información de la persona que sea identificada o identificable”. Por lo tanto, una dirección de correo electrónico, un número de teléfono o una dirección IP serán considerados datos de carácter de personal. Solo escapará del concepto de dato de carácter personal toda información que no pueda asociarse a una persona física, o que no permita identificarla sin realizar un esfuerzo más allá de lo razonable.
Foto: Mark Zuckerberg, CEO de Facebook, testificando ante el Senado de Estados Unidos.
De cara a romper con una regulación que siempre ha estado vinculada con la naturaleza personalísima de este derecho, al estar relacionado con la intimidad y la privacidad, se podría plantear la posibilidad de regularlo como un derecho de contenido económico, tal y como ya ha planteado numerosa doctrina europea. De hecho, esa desvinculación de la protección de datos como un derecho personalísimo ya se ha producido en países como Uruguay, cuya legislación también reconoce a las empresas como titulares del derecho a la protección de datos. Sin embargo, esta opción no resulta recomendable para un país en el que esta materia va a ser legislada por primera vez.
Porque con casi tres décadas de regulación exhaustiva en Europa, el derecho a la protección de datos es un tema prácticamente inédito en Ecuador. Por ello, es fundamental legislar de un modo responsable y que las empresas empiecen a estar familiarizadas con esta materia e incluso con la regulación europea, ya que el RGPD cuenta con ámbito de aplicación extraterritorial: la oferta de bienes y servicios a ciudadanos que se encuentren en el territorio de la UE, sean europeos o no, por parte de responsables y encargados del tratamiento extracomunitarios conlleva que se les aplique el Reglamento Europeo. La cuestión no es baladí, ya que numerosas empresas ecuatorianas podrían estar sometidas a su regulación.
Con lo expuesto, en una Ley de Protección de Datos es fundamental que el proteccionismo esté equilibrado con el libre comercio y el flujo de información en Internet, prestando atención, no solo a los entes privados, sino al uso que las administraciones públicas puedan hacer de estos datos de carácter personal. Sin una cultura desarrollada en términos de protección de datos, la futura legislación ecuatoriana no puede ser tan tuitiva como el RGDP, que cuenta entre sus principales novedades para las empresas como responsables del tratamiento, con una responsabilidad proactiva que conlleva que ellas mismas sean quienes tengan que demostrar en todo momento que el tratamiento de datos que llevan a cabo es conforme a la normativa.
Foto: Reglamento General de Protección de Datos (RGPD) aprobada por la Unión Europea.
El centro de toda regulación en materia de protección de datos está en el consentimiento de los titulares (“afectados o “interesados”) para que sus datos sean tratados de un modo lícito, al margen de una serie de excepciones que siempre deben de estar delimitadas legalmente, así como en establecer unos principios rectores que eviten excesos en la recogida y tratamiento de datos, entre los que han de primar la transparencia, la información clara al titular del tratamiento al que van a ser sometidos sus datos, así como la exigencia de seguir criterios de racionalidad y proporcionalidad en el mismo. De este modo, el consentimiento prestado por el titular deberá ser, preferiblemente, claro y expreso –especialmente cuando se vaya a tratar “datos sensibles” o de titulares que requieran de una especial protección como los menores- ya que en el pasado se han cometido una serie de abusos en nombre del consentimiento tácito.
Una vez obtenido el consentimiento, es fundamental que se produzca una adecuada ponderación entre los derechos de los usuarios, entre los cuales, a los tradicionales derechos ARCO presentes en toda regulación sobre protección de datos -estos son, los derechos de acceso, rectificación, cancelación y oposición- se han añadido el controvertido derecho al olvido y el derecho a la portabilidad de datos.
Si bien ya contaba con una amplia base jurisprudencial, el derecho al olvido es una de las novedades que más polémica ha generado. Consistente en la posibilidad que se concede a los afectados de solicitar directamente a los motores de búsqueda que dejen de indexar su nombre en aquellos resultados en los que la información vinculada no sea pertinente, esté desactualizada o sea excesiva para el cumplimiento del derecho a la libertad de información o expresión, este derecho fue ejercido por primera vez por el español Mario Costeja, quien, paradójicamente, se ha convertido en toda una institución en Internet en su lucha por ejercer su derecho a pasar desapercibido.
Por último, entre los aspectos más relevantes, cabe destacar un régimen sancionatorio lo suficientemente severo para que los responsables y encargados del tratamiento no se vean incentivados a incumplir la normativa, por resultarles más barato pagar las sanciones que establecer los mecanismos de control, seguridad y, en general, de “compliance” de la normativa.
Por todo lo expuesto, en el desarrollo de una Ley de Protección de Datos en Ecuador es imprescindible un proceso previo de sensibilización para que los responsables de su implementación sepan su objeto y alcance, así como la concesión de un tiempo prudencial para su implementación, ya que, con dos años de preparación, las autoridades de varios países de la UE no han conseguido estar preparadas para el pasado 25 de mayo.
* Abogado del área de Nuevas Tecnologías de Solines & Asociados.
Revista Gestión no se responsabiliza por las opiniones ni comentarios publicados por sus colaboradores en este espacio, quienes son los responsables del contenido difundido. Si va a hacer uso de este artículo, por favor cite la fuente original.
Encuentre contenido relacionado en nuestro archivo histórico:
El amplio aporte de las instituciones educativas en la formación financiera
41% de la población no tiene educación financiera en el país
La industria de software no despega en Ecuador
Las industrias creativas en la economía ecuatoriana (I)
Las lecciones de la revolución bolchevique un siglo después
Las cifras de empleo confirmaron la baja calidad del crecimiento económico
Last modified on 2018-06-12