En el entorno digital en el que nos desenvolvemos caracterizado por el acceso e intercambio de información, el desarrollo de contenidos y aplicaciones, emprendimientos, avances tecnológicos e innovación; las normas sobre protección de datos adquieren un rol de significativa importancia, puesto que plantea un gran desafío: encontrar el balance y equilibrio necesario entre la protección a los derechos de intimidad y privacidad de los ciudadanos, y el principio del libre flujo de información en Internet.
Con este antecedente, me permito compartir con ustedes este análisis y comentarios sobre el proyecto de Ley Orgánica de Protección de los Derechos a la Intimidad y Privacidad sobre los Datos Personales, presentada en el Legislativo el 12 de Julio de 2016, como un aporte al debate de este tema de gran trascendencia para nuestro país.
Ley Orgánica de Protección de los Derechos a la Intimidad y Privacidad sobre los Datos Personales
I Antecedentes Normativos
1. La Constitución de la República como norma suprema protege los derechos de los ciudadanos a la privacidad e intimidad y a la protección de datos personales, así, en sus disposiciones se consagran los siguientes:
- Derecho a guardar reserva sobre convicciones, y prohíbe exigir o utilizar datos sensibles sin autorización del titular, Art.66 numeral 11;
- Derecho al honor y al buen nombre, Art.66 numeral 18;
- Derecho a la intimidad personal y familiar, Art. 66 numeral 20;
- Derecho a la protección de datos personales, Art. 66 numeral 19;
- Derecho de Rectificación, Réplica o Respuesta, Art. 66 numeral 7;
- Derecho a la Inviolabilidad y al Secreto de la Correspondencia. Este derecho protege cualquier otro tipo o forma de comunicación, Art. 66 numeral 21;
- Derecho a la Protección Datos Personales de Migrantes, Art. 40 numeral 5;
- Derecho al Acceso a la Información generada en entidades públicas o privadas. No existirá reserva de información salvo casos previstos por Ley, Art. 18.
La norma suprema consagra a su vez, mecanismos judiciales para su resguardo como la Acción de Habeas Data Art. 92, la Acción de Acceso a la Información Pública Art. 91 y la Acción de Protección, Art. 88.
2. Paralelamente, a la normativa constitucional, en el ordenamiento jurídico ecuatoriano existe normativa sectorial dispersa en distintos cuerpos legales que regulan o abordan la problemática de la protección de datos personales, desde diversos ámbitos, como son:
- Ley Orgánica de Telecomunicaciones: Arts. 23 #4, 24 #14, 76, 77, 78 #2, #3 y #4; 79, 82;
- Ley Orgánica de Comunicación Arts. 30, 31;
- Código Orgánico Integral Penal Arts. 178, 180, 229 y 475;
- Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos Arts. 5 ,9, 48, 49;
- Ley del Sistema Nacional de Registro de Datos Públicos Arts 4, 5 y 6;
- Código de la Niñez y Adolescencia Art.53;
- Ley General de Instituciones del Sistema Financiero Art.88
- La Ley Orgánica de la Economía Popular y Solidaria, Art. 95;
- Ley Orgánica de Transparencia y Acceso a la Información Pública Arts. 2, 6 y 22.
3.La Función de Transparencia y Control Social – FTCS, órgano conocido como el Quinto Poder del Estado, creado en la Constitución de la República de 2008 y conformado principalmente por organismos de control del Estado, ha venido trabajando en los últimos años sobre el desarrollo de la normativa sobre protección de datos.
- Elaboró un anteproyecto de Ley sobre protección de datos que no llegó a concluir en un documento oficial.
- El 29 de Diciembre de 2015 la FTCS conoce y aprueba una Resolución No. 001-2015-CCFTCS, en la que se establecen políticas y recomendaciones dirigidas exclusivamente a la las entidades que conforman la FTCS:
- Contraloría General del Estado
- Superintendencia de Bancos del Ecuador
- Superintendencia de Compañías, Valores y Seguros
- Superintendencia de la Información y Comunicación
- Superintendencia de Economía Social y Solidaria
- Superintendencia de Control del Poder de Mercado
- Defensoría del Pueblo
- Consejo de Participación Ciudadana y Control Social
II Comentarios Generales
1. La protección de datos es una materia con carácter transversal en la sociedad, que repercute en muchas áreas, industrias y sectores productivos; y que debe ser observada tanto por actores privados como públicos, por lo que la elaboración de una norma debe considerar su incidencia y repercusión en éstos ámbitos.
2. Al ser la Ley de Protección de Datos Personales una materia jurídica que se enmarca dentro de la rama del derecho administrativo, sus disposiciones deben ser claras y precisas sin dejar espacios abiertos o normas subjetivas o en blanco que se podrían prestar a confusión o a excesos.
3. Las infracciones y sanciones deben estar expresamente tipificadas por Ley de acuerdo a nuestra Constitución, lo cual implica que al redactarse se debe determinar claramente su alcance y no dejar opción a interpretaciones.
4. La regulación en protección de datos personales puede ser una herramienta para promover y fomentar el progreso tecnológico, desarrollo de contenidos y aplicaciones, el comercio electrónico y el emprendimiento en general, o puede también tornarse en un instrumento que desincentive el desarrollo de la industria digital, por las restricciones, los controles, cargas o requisitos que podría exigir la normativa frente al dinamismo y rapidez que demanda el entorno digital.
III Comentarios Específicos al Articulado
1.- Considerandos:
En los considerandos (párrafo 9) existe un error al referirse a la normativa vigente sobre protección de datos personales, se hace referencia al artículo 78 de la Ley de Comunicación, lo correcto es el 78 de la Ley Orgánica de Telecomunicaciones.
2.- Ambito de Aplicación
En el artículo 2 del proyecto se determina el ámbito de aplicación de la norma. En vista de que se parte de la regla general de que todos los datos personales registrados en cualquier base de datos, deben ajustarse al cumplimiento de la Ley. Es primordial definir con claridad qué tipo de información no se encuentra comprendida en el ámbito de aplicación de la norma. Las excepciones deben estar claramente identificadas, como son:
- Bases de datos creadas y mantenidas por personas naturales para el desarrollo de actividades personales o domésticas o relacionadas con su vida privada o familiar.
- Bases de datos referidas a personas jurídicas.
- Bases de datos sobre temas de seguridad nacional.
- Bases de datos para efectos periodísticos, artísticos o literarios
3.- Principios Generales
El Art. 3 del Proyecto se refiere a los principios que están obligados a observar los involucrados en la formación y manejo de bases de datos.
Legalidad: El proyecto establece que la formación de las bases de datos será lícita cuando hayan sido obtenidas por medios legítimos y se encuentren debidamente inscritas.
El principio de legalidad hace relación al cumplimiento de la normativa legal y a la licitud en la forma de obtención de la información, más no la obligación de registro. La legalidad de una base de datos no viene dada por el registro del mismo, que constituye un requisito formal, de carácter administrativo.
Adicionalmente el artículo 3.1 adolece de un error en la redacción “inscritas” y no “inscrita”.
Veracidad: En el numeral 3 al referirse a la Veracidad como principio general para el tratamiento de los datos, se estipula que la recolección deberá ser veraz y no excesiva y luego se añade: “que no podrá obtenerse por medios fraudulentos, abusivos o contrarios a la Ley”.
Esta última condición hace relación a la legalidad de los datos y no a la veracidad.
En el numeral 1 del Artículo existe un error en la redacción cuando se señala: “la formación de las bases de datos será lícita cuando se encuentren debidamente inscrita”.
Reserva: Al referirse a la reserva, el proyecto dispone que las personas naturales o jurídicas que obtengan legítimamente información proveniente de una base de datos están obligadas a usarla en forma reservada y exclusivamente para las operaciones habituales de sus actividades, siendo prohibida la difusión a terceros; mientras que nuestra Constitución en el Art.92 inciso segundo dispone que .“….Las personas responsables de los bancos o archivos de datos personales podrán difundir la información archivada con autorización de su titular o de la ley.”
En consecuencia, el proyecto de Ley establece una prohibición absoluta, no contemplada en la Constitución.
4.- Datos Sensibles
El proyecto de ley en su artículo 5 al referirse al Tratamiento de Datos Sensibles establece que está prohibido el tratamiento de datos sensibles, y determina algunas excepciones, entre ellas: el numeral 1 se refiere a que el titular autorice expresamente y por escrito el tratamiento.
Nuestra Constitución de la República contempla la posibilidad del tratamiento de datos sensibles, sujetando el mismo a ciertas condiciones, así en el artículo 92 inciso tercero determina que “…. en el caso de datos sensibles, cuyo archivo deberá estar autorizado por la ley o por la persona titular, se exigirá la adopción de las medidas de seguridad necesarias…”
En este sentido, el artículo relacionado a los Datos Sensibles establece la prohibición como regla general, mientras la Constitución reconoce la posibilidad de su archivo, siempre y cuando se cumplan ciertos requisitos. A fin de guardar armonía con el texto constitucional dicha disposición podría establecer que el tratamiento de los datos sensibles estará sujeto a determinadas exigencias, acordes al entorno digital actual.
Por otro lado, el consentimiento para el tratamiento de datos sensibles debería ser a través de un medio expreso, ya sea físico o digital. No existe ninguna justificación ni evidencia de mayor protección para que el consentimiento deba ser ofrecido por medios escritos o físicos.
Al respecto, el Código Orgánico General de Procesos dispone que: “Artículo 202.- Documentos digitales…. Podrá admitirse como medio de prueba todo contenido digital conforme con las normas de este Código, otorgándoles igual validez que los documentos escritos; lo cual a su vez va en sintonía con el entorno digital actual.
5.- Derechos Niños, Niñas y Adolescentes
“Artículo 7.- Derechos de las niñas, niños y adolescentes (…) se prohíbe el tratamiento de sus datos personales, salvo aquellos datos que sean de naturaleza pública”.
No todo tratamiento de datos personales es negativo en sí mismo. El tratamiento de datos personales de menores de edad, sujeto a ciertas condiciones, puede servir para ofrecerle un mejor acceso a contenidos e información adecuados siempre que sea realizado conforme a los principios de tratamiento de datos personales.
6.- Consentimiento
El artículo 3.4. que se refiere al principio de “Consentimiento Informado” determina que este deberá ser “libre, expreso, previo e informado” sin embargo el artículo 4.2. al referirse al “Consentimiento del Titular”: omite la mención a la característica de “expreso” y hace relación a otras características como: “inequívoca, específica”.. Estas distintas definiciones del Consentimiento generan confusión, más aún cuando el consentimiento es un término jurídico ya definido que no requiere ser redefinido.
Las características del consentimiento, es decir, “libre, expreso, previo e informado” deberían estar definidas con precisión y claridad en la Ley.
Por otro lado, la definición de consentimiento del artículo 4.2. no especifica las formas en que podrá manifestarse dicho consentimiento lo cual es importante a fin de mantener uniformidad y consistencia en el texto normativo y que éstas sean lo suficientemente flexibles para lograr adecuarse al entorno digital.
Al respecto, el texto constitucional del Ecuador, al referirse al derecho a la protección de datos de carácter personal, exige la autorización del titular o el mandato de la ley, para la recolección, archivo, procesamiento, distribución o su difusión, pero sin limitarlo al consentimiento expreso. (Art. 66 numeral 19 Constitución de la República del Ecuador), el cual por ende, podría ser expreso o tácito, adaptándose de esta manera al dinamismo que demanda la industria digital.
7.- Responsable de la bases de datos y Responsable del tratamiento
A diferencia de lo establecido en la regulación comparada, el artículo 4 del proyecto de ley al referirse a las definiciones, recoge dos categorías de responsables de las bases de datos, a saber:
- Responsable del Tratamiento de la Información: persona natural o jurídica, pública o privada que administra el sistema de tratamiento de datos, por cuenta del Responsable del archivo.
- Responsable del Archivo: persona natural o jurídica, pública o privada, titular del archivo, custodio u operador de la información.
Paralelamente, en otros artículos, como el 6.1, 6.2 se refieren a otras categorías al Encargado del Tratamiento como sinónimo del Responsable del Tratamiento; mientras que el artículo 9.2. trae la figura del Encargado de las Bases de Datos, lo cual genera gran confusión; además ni el Encargado del Tratamiento, ni el Encargado de las Bases de Datos aparecen en las definiciones y su rol se presta a confusión frente a la función del Responsable del Tratamiento y del Responsable del Archivo.
Finalmente, se introduce una tercera categoría, el “Usuario de Datos” definido como persona natural o jurídica que realiza el tratamiento de los datos, lo cual genera aún más dudas respecto de las funciones que atañen a cada actor.
En la legislación comparada existen dos categorías claramente definidas, el responsable y el encargado de la base de datos. En aras de la simplificación y la adopción de un estándar internacional la norma ecuatoriana se recomienda manejar esas dos categorías, a fin de facilitar el manejo de términos en las relaciones contractuales internacionales, como es el caso del flujo transfronterizo de datos.
El responsable es quien debe obtener el consentimiento de los titulares de datos personales mientras que el encargado se limita a actuar bajo las directrices del titular o responsable de la base de datos
8.- Transferencia Internacional de Datos
En el Título V del proyecto de ley se establece como regla la prohibición a la transferencia de datos personales a países que no proporcionen niveles de protección de datos conforme con las normas de derecho internacional o regional en la materia.
En entornos digitales las restricciones a las transferencias internacionales de información y el comercio transfronterizo digital pueden generar efectos muy negativos para el desarrollo económico de cualquier país.
En ese sentido, la regla general debe ser promover los intercambios de información a nivel internacional salvo que existan razones fundadas y excepcionales para exigir requisitos adicionales. En este sentido, cuando la transferencia internacional se produzca en el marco de la ejecución de relaciones contractuales para la prestación de servicios, por ejemplo, de almacenamiento en la nube, éstas deberían ser legalmente permitidas, caso contrario la normativa podría convertirse en un factor restrictivo para el crecimiento del comercio electrónico o de desventaja competitiva para las empresas.
Por otro lado, la disposición no determina cuáles son esos niveles de protección conforme las normas de derecho internacional o regional, lo cual nuevamente deja abierto un espacio incierto que no abona a la seguridad jurídica.
9.- Atribuciones de la Autoridad Nacional de Protección de Datos
El artículo 12 numeral 3 del proyecto de ley determina que la Autoridad de Protección de Datos, ejercerá dentro de sus atribuciones, disponer el bloqueo temporal o definitivo de los sistemas de información cuando exista un riesgo cierto de afectación de los derechos constitucionales, en caso de incurrir en infracciones contempladas en dicha ley.
En observancia a los principios jurídicos del debido proceso y al derecho a la defensa, cualquier medida orientada a bloquear el acceso a la información en sistemas informáticos como lo contempla el art. 12 numeral 3 del proyecto de ley, debe ceñirse estrictamente a las garantías previstas en el artículo 76 de la Constitución numerales 1, 2 y 7, literales l) y m); debiendo además, por las graves consecuencias y efectos que supone la adopción de una medida como tal, estar supeditada a orden expresa de juez competente y a la observancia del debido proceso.
Por otro lado, el Bloqueo Definitivo no constituye una medida preventiva sino una sanción en sí misma, la cual no se encuentra contemplada en el proyecto, contraviniendo lo previsto en el artículo 76 numeral 3 de la Constitución.
“Art. 76 # 3. Nadie podrá ser juzgado ni sancionado por un acto u omisión que, al momento de cometerse, no esté tipificado en la ley como infracción penal, administrativa o de otra naturaleza; ni se le aplicará una sanción no prevista por la Constitución o la ley. Sólo se podrá juzgar a una persona ante un juez o autoridad competente y con observancia del trámite propio de cada procedimiento. “
Finalmente, la condición de que el bloqueo se dispondrá cuando exista un riesgo cierto de afectación a los derechos constitucionales, es una declaración ambigua, que se presta a interpretación, abriendo espacios para arbitrariedades.
10. Autoridad Nacional de Protección de Datos Personales
El Art. 11 del proyecto de ley determina que la Dirección Nacional de Registro de Datos Públicos, adscrita al Ministerio de Telecomunicaciones y de la Sociedad de la Información, será la Autoridad Nacional de Protección de Datos Personales.
En atención al carácter transversal de la protección de datos personales en una sociedad, que tiene repercusión en muchas esferas o sectores de la sociedad, no es recomendable que la Autoridad de Protección de Datos se encuentre vinculada o anexa a un sector o industria en particular.
Adicionalmente, en aras de garantizar independencia e imparcialidad en las decisiones adoptadas por la Autoridad de Protección de Datos, es recomendable que sea un ente independiente, autónomo, que no se encuentre dentro de la estructura institucional de la Función Ejecutiva, puesto que su rol será velar y vigilar el cumplimiento de las normas de protección de datos tanto por entidades de naturaleza privada como pública, debiendo en los casos que lo ameriten imponer sanciones a instancias o instituciones, de las que la misma entidad de control, forma parte.
11. Registro
El proyecto de Ley, Título IV, en el artículo 14 plantea la creación de un Registro de Bases de Datos, en el que deberán inscribirse todas las bases de datos o archivos de instancias públicas o privadas con fines financieros o mercantiles.
Al respecto, de la experiencia de la legislación comparada, no ha resultado claro cuál es el aporte real que trae a la protección de los datos personales de los ciudadanos la exigencia del registro; más bien, se ha convertido en una traba regulatoria que no añade mayor protección al titular del dato, así en muchas legislaciones se ha eliminado o se está evaluando el eliminarla.
Esta obligación no se establece, por ejemplo, en Canadá, Estados Unidos, México (en la ley del sector privado desde 2011 y en el proyecto de ley para el sector público se está eliminando), y el Reglamento Europeo de Protección de Datos lo eliminó (existía en la Directiva 95/4).
Adicionalmente, también conlleva una fuerte carga administrativa y altos costos para la Autoridad de Protección de Datos.
Finalmente, el artículo 16 presenta un error en la redacción: “Todas las bases” y no como aparece “Todas la base”.
12.- Infracciones y Sanciones
El artículo 24 tipifica las infracciones de carácter leve y el Art. 25 las infracciones de carácter grave, sin embargo, se determinan las mismas sanciones para unas y otras sin considerar la menor o mayor afectación al bien jurídico protegido que supone el cometimiento de una infracción leve o una grave.
Por otro lado, dentro de las infracciones de carácter leve se contempla en el numeral 4: el mal manejo administrativo del archivo y tratamiento de bases de datos. Las infracciones deben estar tipificadas con claridad sin dejar lugar a dudas o interpretaciones, el mal manejo de un archivo da espacio a criterios subjetivos, lo cual propicia un clima de inseguridad jurídica.
IV Conclusiones:
- Es fundamental armonizar la normativa sobre protección de datos dispersa en nuestro ordenamiento jurídico a través del proyecto de Ley.
- El que nuestro país no posea una ley de protección de datos hasta la fecha, no debe ser visto como una debilidad sino como una oportunidad para aprender de las experiencias de la legislación comparada, corrigiendo deficiencias o defectos advertidos en las leyes de la materia, superando los problemas o conflictos identificados de la aplicación práctica de las leyes en otros países y construir una ley madura, equilibrada, depurada y que se ajuste a las necesidades y realidades de nuestra sociedad.
- Se recomienda eliminar del proyecto todas las alusiones a términos que no son de uso en nuestra realidad y ordenamiento jurídico y que evidencian que el proyecto incluye normativa propia de otras latitudes. Ejm Ficheros Arts. 9, 10, 14, 15, 18, 19, 26, etc. Personas físicas: art. 18 numeral 6.
- La Ley debe encontrar un balance entre la protección de los derechos a la intimidad y privacidad; el derecho a expresarse y ser informado; así como el fomento y desarrollo de la innovación tecnológica.
- Tanto las instancias públicas como privadas deberán evaluar los efectos y alcances de la normativa, puesto que todas aquellas entidades que, por la naturaleza de sus funciones u objeto social, en el caso de las empresas privadas, manejen datos personales deberán acatar las disposiciones contenidos presente ley, la cual establece disposiciones que demandarán una carga administrativa, costos administrativos y operativos, recursos humanos y económicos.
Por: Dra. Janette Colamarco Ureña
Socia Fundadora LEGALTECH Asesores & Consultores
Twitter: @JColamarco