Aunque en Ecuador todavía no está suficientemente desarrollado, la tendencia regional es reconocer la protección de datos personales como un derecho autónomo que contribuye a la realización de otros, como el de la privacidad, la no discriminación, la libertad de pensamiento, de conciencia, y de expresión, o el acceso a la información, entre otros.

La protección de datos es entendida como las medidas legales y regulatorias orientadas a proteger la vida personal de los abusos, y a otorgar a los ciudadanos el control sobre su información privada. Se trata, así, de un instrumento que establece las reglas para la colección y tratamiento de los datos personales.

La expansión del acceso a Internet, así como la propagación del uso de dispositivos móviles, ha dado lugar a una cantidad cada vez mayor de información en la esfera digital. Privacy International, por ejemplo, señala que el 90% de los datos existentes a nivel mundial fueron creados en los dos últimos años. Del mismo modo, la velocidad y la frecuencia con la que se emiten y transmiten los datos crece cada día. Y no solo ello. Su espectro es cada vez mayor.

Si bien la brecha digital es un problema no resuelto y una buena parte de la población no tiene aún acceso a Internet, es innegable que para muchas personas una gran parte de sus vidas transcurre en línea. Nuestros dispositivos móviles son, en la práctica, extensiones ubicuas de nuestras experiencias profesionales y personales, y su uso está integrado en muchos aspectos de nuestros comportamientos y relaciones. Es enorme la cantidad de datos que proveemos para la ejecución de distintas acciones o que depositamos para acceder a distintos servicios. Las modalidades para su análisis -incluyendo el uso de algoritmos y otras herramientas analíticas- han avanzado y se han sofisticado de tal manera que producen conexiones que hasta hace poco era inimaginables, y que arrojan aspectos muy reveladores de las personas. Esa información, estudiada en conjunto, puede ser mal usada con propósitos políticos o comerciales. Es indispensable, por tanto, que se establezca el marco legal que permita regular y neutralizar las disfunciones de la recolección, almacenamiento, tratamiento, análisis y uso de los datos personales.

La protección de datos personales en Ecuador

Ecuador es uno de los pocos países de América Latina que no cuenta aún con una ley de protección de datos personales, aunque la Dirección Nacional de Registro de Datos Públicos (DINARDAP) inició hace unos meses el desarrollo de una propuesta legal. El momento es propicio, en tanto que existe un acumulado de aprendizajes basados en las experiencias de otros países, así como una serie de referentes[1] a los que echar mano.

Algunos de los principios básicos que debe regir el tratamiento de los datos personales en el país incluyen:

1. a) Licitud en el tratamiento. El dato no puede ser obtenido de manera fraudulenta y debe ser tratado con sujeción a la ley.
2. b) Consentimiento y finalidad. Los ciudadanos deben ser informados de los fines o propósitos de la recolección y tratamiento de sus datos, y a partir de esa información, deben consentir de manera explícita e inequívoca su uso.
3. c) Transparencia e información. Los encargados del tratamiento de los datos deben establecer políticas y prácticas para informar a las personas sobre qué datos se recolectan; cómo se almacenan; qué medidas se aplican para su tratamiento; quiénes los usarán; qué ocurre si se tiene que actualizar o corregir el dato; qué se debe hacer si se quiere someter el dato a confidencialidad; y qué sucede con el dato una vez que ha caducado la finalidad para la que fue recogido.
4. d) Proporcionalidad. Los datos personales tratados deben limitarse a aquellos que resulten obligatorios -y únicamente durante el tiempo necesario- en relación con los fines del procesamiento.
5. e) El dato personal debe ser completo, exacto, actualizado y pertinente para la finalidad del procesamiento.
6. f) La integridad del registro del dato debe estar garantizada. Se debe evitar su adulteración, acceso no autorizado, divulgación, pérdida, daño o destrucción y, en el caso de incidentes de seguridad, debe notificársele a la autoridad competente y a los titulares de los datos, explicando, además, las medidas adoptadas para mitigar sus efectos.
7. g) Los encargados del tratamiento de los datos deben guardar secreto sobre la información manejada, y deben establecer controles y medidas para preservar la confidencialidad.

Por otro lado, es necesario reflexionar sobre el impacto del Reglamento General de Protección de Datos (RGPD) en el Ecuador, que en mayo de 2018 entró en vigor en la Unión Europea. El Reglamento sienta condiciones para quienes, en un entorno de flujo globalizado de datos, quieran dinamizar su economía a través del intercambio de bienes y servicios con Europa, con las garantías adecuadas para la protección de la información personal de sus ciudadanos. Es necesario, así, determinar de que manera una futura ley ecuatoriana respondería a estos imperativos, asegurando, al mismo tiempo, condiciones de igualdad para nuestra protección con criterios de libertad, dignidad y autonomía. 

Con todo, y dado que el derecho a la protección de los datos personales está garantizado en el artículo 66.19 de la Constitución de Ecuador, tampoco se puede perder de vista que la tendencia regional ha ido en la línea de reconocerlo como un derecho autónomo que contribuye a la realización de otros, como el de la privacidad, la no discriminación, la libertad de pensamiento, de conciencia, y de expresión, o el acceso a la información, entre otros. Más allá de esto, para hacer efectiva la protección de los datos personales se precisa del establecimiento de parámetros de protección también para el diseño de productos y servicios. Y ello no se puede conseguir mediante autoregulación.

La DINARDAP ha dado los primeros pasos en el establecimiento de canales de diálogo e intercambio de perspectivas con las distintas partes interesadas, y se torna imprescindible seguir avanzando en la línea de contar con un proceso totalmente abierto, inclusivo, participativo y transparente.  La apertura de los decisores de política pública para recoger los planteamientos de la sociedad civil puede marcar la diferencia sobre los resultados del proceso de desarrollo de la legislación.

[1]    Entre estos referentes destacan los llamados Estándares de protección de datos para los Estados iberoamericanos; el Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal; la Resolución de Madrid sobre estándares internacionales sobre protección de datos personales y privacidad; los lineamientos del Grupo de Trabajo de Ingeniería de Internet; varias resoluciones de la ONU; algunas directrices de la Cooperación Económica Asia-Pacífico; y el Reglamento general de protección de datos (RGPD).