Durante una sesión organizada por la Facultad de Derecho, tres especialistas en la materia brindaron diferentes perspectivas de la norma, con enfoques de carácter técnico, jurídico y comparado con el RGPD europeo.
En torno a los puntos clave de la nueva Ley de Protección de Datos en Ecuador giró una masterclass organizada por la Universidad Internacional de La Rioja (UNIR).
En ella participaron Alejandro Varas, ingeniero informático, y José Paúl Mendoza Villegas, director de Derecho Digital e Innovación Legal, ambos vinculados a la firma M. Bodero & Asociados; junto con Lidia Suárez Espino, doctora en Derecho Constitucional y docente en UNIR como especialista en derechos fundamentales y libertades públicas en la Maestría online en Protección de Datos.
Entre los tres expertos ofrecieron una visión integral, práctica y técnica del impacto de la reciente norma jurídica. Además, evaluaron las similitudes y diferencias respecto al Reglamento Europeo de Protección de Datos.
La sesión emitida vía streaming fue moderada por Patricia Mendoza, directora de la vertical jurídico tecnológica de la Facultad de Derecho en UNIR, que dio paso en primer lugar a Alejandro Varas, para ofrecer un punto de vista técnico y práctico de la ley en el ámbito empresarial, y que tituló su presentación ‘¿Qué están pasando con tus datos?’
El tratamiento en las empresas
La primera consideración que planteó Alejandro Varas fue el adecuado tratamiento de los datos desde la necesidad del negocio. Así, señaló que, aunque el nivel de seguridad entre pequeñas empresas y grandes corporaciones es distinto, “ambas deben analizar la ley, tomar las soluciones tecnológicas necesarias acorde con el tamaño organizacional y cumplirla”.
José Paúl Mendoza Villegas, Alejandro Varas y Lidia Suárez Espino formaron la terna de expertos para abordar las claves de la Ley Orgánica de Protección de Datos Personales en Ecuador.
El especialista puso en valor la implementación de un sistema de protección de datos personales como algo prioritario en cualquier actividad económica. “No solo es importante tener reglas claras puertas adentro, sino que el mundo sepa que se trata de una empresa confiable, con políticas serias y estrictas a la hora del tratamiento de datos, bajo el principio de la privacidad. Cuanta más seguridad sienta un cliente, más fuerte va a ser la relación”, afirmó.
En este sentido incidió en el uso de herramientas para evitar el robo de información, a lo cual debe adherirse una cultura distinta que haga entender los beneficios de ajustarse a la norma. “La idea es poder descartar los datos ‘basura’, y entender los que son relevantes para mi negocio, evaluarlos y hacer que trabajen legalmente a mi favor, al mismo tiempo que no suponga un perjuicio para quien me los entregó. Esto impacta positivamente dentro de la organización y nos abre oportunidades mucho más grandes de las que podemos visualizar”.
Las empresas necesitan un traje a medida que les permita dar respuesta a qué monitorear y proteger, para que la información recibida conforme al tratamiento esté siempre cuidada y no expuesta a ataques internos y externos. Alejandro Varas, ingeniero informático
Al referirse a la ciberseguridad empresarial, Varas habló de plan de acción, con un software específico y actores clave bien definidos para su evaluación y ejecución, incluido aliados estratégicos. “Este traje a medida tiene que dar respuesta a qué monitorear y proteger, para que la información recibida conforme al tratamiento esté siempre cuidada y no expuesta a ataques internos y externos”, subrayó. Además, en caso de incidentes -continuó- el plan debe contemplar a qué órgano regulador informar para prevenir problemas o sanciones.
LOPDP y su referente RGPD
Sobre la Ley Orgánica de Protección de Datos Personales (LOPDP) en Ecuador profundizó José Paul Mendoza, que fue desgranando su desarrollo y comparándola con su gran referente, el Reglamento General de Protección de Datos (RGPD) español. Hizo un recorrido desde su primera contemplación en la constitución en 2008 hasta la actualidad, y advirtió que aún vigente desde mayo del 2021, “no existe un reglamento general ni tampoco ha sido asignada una superintendencia, aunque en breve se espera una resolución positiva”, afirmó.
Del proceso legislativo enfatizó en cómo la tendencia del regulador va dirigida a proteger los usuarios conforme avanza la tecnología. Con precisión se refirió al objeto de la ley de “regular el acceso y decisión sobre información y datos de carácter personal desarrollando principios, derechos, mecanismos y tutela”.
José Paúl Mendoza Villegas, director de Derecho Digital e Innovación Legal, en M. Bodero & Asociados.
Acerca de cómo está conformado el sistema de protección de datos explicó las funciones de los actores implicados: titular; responsable del tratamiento (“a diferencia del RGPD, que es explícito, en la LOPDP no existe la figura del corresponsable, definiéndose la finalidad del tratamiento sola o conjuntamente”); encargado del tratamiento; delegado de protección de datos personales; y autoridad de la protección de datos personales.
También disertó acerca del principio de autodeterminación informativa de obligar al responsable de la información a comunicar sobre su uso, “de tal manera que el titular pueda decidir qué hacer y hacer valer algunos derechos previstos en la ley”, señaló el abogado, quien también es magister en Derecho Digital con UNIR.
Derechos y sanciones
Mendoza quiso ofrecer diversas definiciones relativas al tema, como las referentes a datos sensibles o a base de datos – “los cuales pueden ser sobre salud física 0 mental”-, y que derivaron en interrogantes. El experto se preguntó sobre cómo afrontar factores de legitimidad y defensa si fueran expuestos nuestros datos recogidos en una BBDD de acceso público. Las respuestas las apoyó en las bases de legitimación para el tratamiento de datos, inspirado en el RGPD, y que entre sus ocho artículos se encuentran los del consentimiento, las obligaciones contractuales, los intereses vitales y la orden judicial.
José Paúl Mendoza Villegas en un momento de su exposición.
De los derechos (ARCO-POL) que construyen la ley, Mendoza siguió en su línea de comparación legislativa. “En el RGPD el derecho a la limitación del tratamiento o el de supresión, que en Ecuador se llama derecho de eliminación, tiene sus excepciones específicas”, señaló.
Respecto a las sanciones administrativas, “con el RGPD pueden llegar hasta 20 millones de euros o un 4% de cuantía sobre el volumen de negocio. Esta contundencia no lo es tanto en Ecuador, aplicadas en particulares sobre salarios básicos, máximo hasta 10 en el caso privado y 20 en el público, y para las empresas un máximo del 1% sobre el volumen de negocio en ambos sectores”, llegó a sintetizar. Tampoco obvió que la ley contempla multas a los responsables y a los encargados del tratamiento, por ejemplo, cuando los segundos impiden a los responsables el acceso a los datos teniendo la solicitud de un titular.
Las sanciones administrativas que impone la LOPDP en Ecuador aplicadas en particulares sobre salarios básicos, van de un máximo hasta 10 en el caso privado y 20 en el público, y para las empresas un máximo del 1% sobre el volumen de negocio tanto público como privado. José Paúl Mendoza Villegas, abogado experto en derecho digital
José Paul Mendoza cerró su intervención con algunas recomendaciones de cómo implementar protección de datos personales entre quienes frecuentan su uso. Algunas de ellas son revisar las obligaciones previstas en la ley a partir de un análisis del tratamiento en la actividad en que se opera, tener protocolos de ejercicios de derechos y notificaciones de vulnerabilidades, llevar un registro de protección de datos, y una política interna e institucional que defina las cuestiones laborales.
Valores del RGPD
La última exposición estuvo a cargo de Lidia Suárez Espino, que trató de dar feedback al espíritu de la LOPDP desde el RGPD español y sus ventajas. Al inicio destacó que ya no es suficiente el consentimiento implícito, “esto es relevante porque el silencio o la omisión no va a bastar, ahora debe estar dado el consentimiento de forma clara y afirmativa del titular”.
La docente de UNIR, Lidia Suárez Espino, abordó los aspectos más destables del RGPD.
De similar importancia para la experta es la incorporación del derecho al olvido como norma jurídica e, igualmente, la aplicación de notificar las brechas de seguridad a la Agencia de Protección de Datos, “lo cual ha implicado ponerse al día para las empresas en las evaluaciones de impactos susceptibles de amenaza para los derechos fundamentales y las libertades públicas”, manifestó.
Recordó que en la legislación ecuatoriana está previsto el nombramiento del delegado de protección de datos, como contempla el RGPD, y su trascendencia en cuanto supone de gran ayuda a las empresas y a los organismos públicos en el cumplimiento de las leyes de protección de datos.
Aciertos y balance positivo
Sobre las novedades relevantes en la normativa ecuatoriana, Suárez Espino incidió en algunos puntos tratados en la anterior ponencia. “Es capital la existencia de una autoridad de protección de datos personales, la cual debe ser independiente al gobierno y con presupuesto propio”.
Deben tratarse los datos que son estrictamente necesarios y en el menor plazo posible. Lidia Suárez Espino, doctora en Derecho Constitucional y docente de UNIR
De acierto calificó la incorporación de los principios de diseño por defecto, proactividad y minimización de datos. En este último punto hizo hincapié: “Deben tratarse los datos que son estrictamente necesarios y en el menor plazo posible”.
También hizo un balance muy positivo del RGPD español tras más de cinco años en vigor, ya que ha supuesto una mayor concienciación con su aplicación y más transparencia, con políticas de privacidad accesibles para los ciudadanos. “El papel de la autoridad de control es clarificador y una buena guía, sobre todo en promoción de educación digital. Además, cuenta con un eficaz canal prioritario para en caso urgente retirar contenido sexual o violento difundido en la red sin consentimiento de los participantes”, declaró.
Patricia Mendoza, directora de la vertical jurídico tecnológica de la Facultad de Derecho UNIR, moderó la sesión.
Finalmente, la docente de UNIR repasó algunas buenas prácticas que deben ejercer organismos y empresas, como informar a los interesados de los fines del tratamiento de una forma clara y precisa, así como delimitar su extensión y plazo de conservación.