La protección de los datos es entendida como las medidas legales y regulatorias orientadas a proteger los datos personales de abusos en su tratamiento y a otorgar a los ciudadanos el control sobre sus datos. Se trata de un instrumento que establece reglas para las actividades de actores públicos y privados sobre la colección y tratamiento de los datos personales.
Los avances en la expansión del acceso a internet y la propagación del uso de dispositivos móviles ha resultado en la existencia de una cantidad cada vez más creciente de datos en la esfera digital. Privacy International, por ejemplo, señala que el 90% de los datos del mundo actual fue creado en los dos últimos años. Del mismo modo, la velocidad y la frecuencia con la que se emite y transmite los datos crece cada día. Y no solo ello. El espectro de tipos de datos disponibles y accesibles es cada vez mayor.
Si bien la brecha digital es un problema no resuelto y una buena parte de la población no tiene aún acceso a internet, es innegable que para muchas personas la mayor parte de la vida transcurre en línea. Nuestros dispositivos móviles son, en la práctica, extensiones ubicuas de nuestras vidas profesionales y personales y su uso está integrado en muchos aspectos de nuestros comportamientos y relaciones. Es enorme la cantidad de datos que proveemos para la ejecución de distintas acciones o que depositamos para acceder a distintos servicios o realizar diversos trámites. Las modalidades de análisis de los datos (incluyendo el uso de algoritmos y otras herramientas analíticas) han avanzado y se han sofisticado de tal manera que producen conexiones y relaciones que hasta hace poco era inimaginables y que arrojan aspectos muy reveladores de las personas. Esa información, analizada en conjunto, puede ser mal usada con propósitos políticos y/o comerciales por actores públicos y privados.
Es indispensable, por tanto, que se establezcan marcos y mecanismos basados en los estándares internacionales para regular, minimizar y neutralizar los afectos que la recolección, almacenamiento, tratamiento, análisis y uso de los datos personales pueda provocar en el ejercicio de los derechos humanos y en el juego democrático.
La motivación central de una ley de protección de datos personales es que quienes están encargados del tratamiento de nuestros datos sean legalmente responsables por el tratamiento de los mismos y que aseguren que su manejo, procesamiento y uso no vaya en detrimento de la realización de los derechos de las personas. Se trata, en definitiva, de un instrumento que cristaliza la autodeterminación informativa en la esfera digital y que permite que las personas podamos decidir qué datos vamos a disponer para la esfera de lo público y cuáles vamos a preservar para nuestra esfera privada, sobre todo cuando se trata de datos personales sensibles (datos de geolocalización, genéticos, biométricos, sobre nuestra salud, sobre nuestras preferencias sexuales, sobre nuestras convicciones políticas o religiosas) cuyo uso indebido puede provocar distintos tipos de afectaciones y riesgos y que puede resultar en discriminación.
La situación en Ecuador
Ecuador es uno de los pocos países de América Latina que no cuenta aún con una ley de protección de datos personales, razón por la que el Observatorio de Información de Datos en Latinoamérica ha lanzado una campaña en esta línea. La Dirección Nacional de Registro de Datos Públicos (DINARDAP) inició hace unos meses el proceso de desarrollo de una propuesta de ley en la materia. El momento es propicio en tanto que existe un acumulado de aprendizajes basados en las experiencias de otros países, así como una serie de referentes a los que echar mano y que se constituyen en insumos importantes para el desarrollo de la ley en el país.
Algunos de los principios básicos que deben regir el tratamiento de los datos personales en el país incluyen:
a) Licitud en el tratamiento: el dato no puede ser obtenido de manera fraudulenta y debe ser tratado con sujeción a la ley.
b) Consentimiento y finalidad: los ciudadanos deben ser informados de los fines o propósitos de la recolección y tratamiento de sus datos y a partir de esa información, deben consentir (idealmente de manera explícita e inequívoca) su uso.
c) Transparencia e información: los encargados del tratamiento de los datos deben establecer políticas y prácticas para informar a las personas sobre qué datos se recolectan, cómo se almacenan, qué medidas se aplican para su tratamiento, quiénes los usarán, qué ocurre si se tiene que actualizar o corregir el dato, qué se debe hacer si se quiere someter el dato a confidencialidad, qué sucede con el dato una vez que ha caducado la finalidad para la que fue recogido.
d) Proporcionalidad: los datos personales que se traten deben limitarse a aquellos que resulten necesarios en relación con los fines del tratamiento y su tiempo de conservación debe ser únicamente el necesario para cumplir con los fines del tratamiento.
e) Calidad: el dato personal debe ser completo, exacto y actualizado y debe ser pertinente para la finalidad del procesamiento.
f) Seguridad: la integridad del registro del dato debe esté garantizada, se debe evitar su adulteración, acceso no autorizado, divulgación y filtración, pérdida, daño o destrucción y, en el caso de incidentes de seguridad, debe notificarse a la autoridad competente y a los titulares de los datos, explicando, además, las medidas adoptadas para mitigar los efectos del incidente.
g) Confidencialidad: los encargados del tratamiento de los datos deben guardar el secreto y la reserva y deben establecer controles y medidas para preservar la confidencialidad.
Por otro lado, es necesario reflexionar sobre el impacto del Reglamento General de Protección de Datos (RGPD) en Ecuador. En mayo de 2018 entró en vigencia este Reglamento que armoniza y refuerza la protección de los datos personales en la Unión Europea. El Reglamento sienta condiciones para quienes, en un entorno globalizado con un creciente flujo trans-fronterizo de datos, quieran dinamizar su economía a través del intercambio de bienes y servicios con Europa con las garantías adecuadas para la protección de los datos personales de su ciudadanía. Es importante determinar la manera en la que la ley de protección de datos personales en el Ecuador respondería a esos imperativos, asegurando, al mismo tiempo condiciones de igualdad para la protección de los ciudadanos ecuatorianos con criterios de libertad, dignidad y autonomía.
El derecho a la protección de los datos personales está garantizado en el artículo 66.19 de la Constitución de Ecuador. No obstante, no se puede perder de vista que la tendencia en la región y globalmente ha ido en la línea de reconocer al derecho de protección de los datos personales como un derecho autónomo que contribuye a la realización de otros derechos humanos, como el de la privacidad, el derecho a no ser discriminado, el de la libertad de pensamiento, libertad y conciencia; la libertad de expresión; el de acceso a la información, entre otros. Más allá de ello, para hacer efectiva la protección de los datos personales se precisa del establecimiento de parámetros de protección por defecto, no solo para el tratamiento de los datos personales sino también para el diseño de productos y servicios (lo que se conoce como protección por diseño o por defecto). Y ello no se puede conseguir mediante auto-regulación.
La DINARDAP ha dado los primeros pasos en el establecimiento de canales de diálogo e intercambio de perspectivas con las distintas partes interesadas y se torna imprescindible seguir avanzando en la línea de contar con un proceso totalmente abierto, inclusivo, participativo y transparente. La apertura de los decisores de política pública para recoger los planteamientos de la sociedad civil en particular puede marcar la diferencia sobre los resultados del proceso de desarrollo de la legislación.