Si bien tenÃamos incorporado en el catálogo de derechos de libertad, el derecho a la protección de datos personales desde la Constitución de la República del Ecuador de 2008; sin embargofuimos de los últimos paÃses de la región en aprobar una ley de protección de datos personales. Argentina lo hizo en el 2000, México aprobó una relativa a particulares en 2010, Perú en 2011, Colombia 2012 y Ecuador en 2021. Actualmente, Venezuela y Bolivia siguen sin tenerla. Es decir, comparados con la región, tenemos un retraso de aproximadamente 10 años en la expedición de esta norma.
Con Europa, son entre 24 o 40 años de retraso; 24 años, si contamos desde la emisión del Convenio 108/81 CE, de 28 de enero de 1981 que protege a las personas en el tratamiento automatizado de datos personales hasta el reconocimiento comoderecho fundamental en la Constitución de la República del Ecuador de 2008; y, 40 años, hasta la promulgación de la Ley Orgánica de Protección de Datos Personales de 2021 que faculta el cumplimiento de este derecho en la realidad.
Este retraso supone una falta de desarrollo de conocimientos y habilidades para cumplir con los derechos, obligaciones y principios que supone la protección de los datos personales como manifestación digital del ser humano. Asà como, de aprovechar las ventajas competitivas que brindan, sobre todo en el comercio electrónico, aquellos productos y servicios diseñados bajo este tipo de Leyes.
Si contamos desde la Constitución de la República del Ecuador de 2008 que reconoce el derecho a la protección de datos personales, son 13 años los que pasaron hasta que se aprobara la Ley Orgánica de Protección de Datos Personales, el 26 de mayo de 2021. Dos años más para que entrara en vigor su régimen sancionatorio, el 26 de mayo de 2023 y para que se aprobara su reglamento el 13 de noviembre de 2023.
Finalmente, casi tres años se tomó el Estado para designar y posesionar a Fabrizio Peralta DÃaz como primer Superintendente de Protección de Datos Personales del Ecuador, el pasado 23 de abril de 2024.
En suma, llevamos acumulando una gran cantidad de años de retraso en la garantÃa de este derecho constitucional a la protección de datos personales.
Retraso que se evidencia en la falta de una cultura de protección de datos; en la demora en la adaptación de organizaciones públicas y privadas a las obligaciones impuestas por la Ley; y, en las diversas situaciones de usos inadecuados de datos personales por ejemplo: se solicitan datos personales, de forma presencial, telefónica o telemática por medio de sorteos, tarjetas de puntos, promociones, datos que luego serán usados para finalidades completamente distintas a las autorizadas; también es común la oferta de premios, regalos o cenas para captarclientes, que aseguran firmaron documentos para retirar un supuesto agasajo y en realidad firmaban un voucher de consumo; es común recibir publicidad escrita, virtual y telefónica sin base legal; y, persisten actividades como la compra y venta de bases de datos ilegales o de servicios de consultas a dichas bases; entro otras.
Las realidades descritas plantean grandes y complejos retos para el recién posesionado Superintendente. En primer lugar, debecrear la institución en un tiempo relativamente corto, pues propuso, en su plan de trabajo, hacerlo en 90 dÃas, pese a que reconoció la limitación del presupuesto.
Su principal función será atender las denuncias que los ciudadanos presenten sobre casos de acceso, rectificación y actualización, supresión, oposición, suspensión, entre otros.
Asimismo, un desafÃo para la nueva autoridad es la de guiar a las organizaciones a través de criterios y resoluciones sobre el alcance general y técnico de la normativa vigente. Es importante cuidar una debida adaptación a la realidad nacional sin perder de vista que el centro del sistema de protección es el titular de los datos personales.
Por ello, el Superintendente aseguró que fomentará la educación a través de herramientas y polÃticas que empoderen a las personas y orienten a las instituciones públicas y privadas que tratan datos.
El Superintendente también señaló que promoverá el cumplimiento normativo a través de inspecciones a las organizaciones responsables de tratamiento, ya que no es partidario de sanciones, aunque las aplicará cuando sea necesario, pues prefiere recurrir al diálogo con los diferentes actores.
Para ello, podrá ayudarse de entidades certificadoras y de auditorÃas técnicas, figuras dispuestas en la Ley y el Reglamento, para lograr desde la proactividad y la prevención incorporar al cumplimiento de la Ley al mayor número de empresas y organizaciones públicas y privadas en el menor tiempo posible.
Existen otros desafÃos como las relaciones con entidades pares; delinear mecanismos de transferencia internacional de datos, normas corporativas vinculantes y códigos de conducta; y, el desarrollo de varios registros.
En definitiva, el nuevo Superintendente tendrá la tarea de recuperar el tiempo perdido y el estado, las empresas, la academia, las comunidades técnicas y los ciudadanos debemosconcurrir al esfuerzo de proteger a las personas al mismo tiempo de facilitar un adecuado flujo de datos personales que promuevan la transformación digital del paÃs.