El 12 de julio de 2016, la Presidenta de la Asamblea Nacional del Ecuador, Gabriela Rivadeneira Burbano, presentó el Proyecto de Ley Orgánica de la Protección de los Derechos a la Intimidad y Privacidad sobre los Datos Personales. En un comunicado de prensa publicado el 21 de julio de 2016, disponible en el sitio web de la Asamblea Nacional, se explican las motivaciones de dicho proyecto de ley.

El 27 de julio de 2016, en su 256^a reunión, la Comisión de Justicia y Estructura del Estado de la Asamblea Nacional tomó actas de dicho proyecto. Esta Comisión será la encargada de dirigir los debates del proyecto de ley.

Jurídicamente, el proyecto de ley encuentra su fundamento en los artículos 66.19 y 66.20 de la Constitución del Ecuador que reconoce “el derecho a la protección de datos de carácter personal” y el “derecho a la intimidad” respectivamente.

Además, el artículo 92 de la Carta Magna ecuatoriana reconoce la acción del Hábeas Data. Esta acción garantiza a las personas físicas el acceso a todo tipo de información personal o patrimonial que figuren en entidades públicas o privadas; el Hábeas Data asegura también el derecho de rectificación, supresión, eliminación o anulación de los datos de los interesados, los mismos que serán ejercidos gratuitamente. El Hábeas Data también prevé que, en caso de tratamiento de datos sensibles, se deberán tomar medidas de seguridad adecuadas. Finalmente, en caso de litigio, el interesado podrá acudir ante el juez competente para poder obtener reparación por los eventuales perjuicios ocasionados.

En lo que respecta a la jerarquía jurídica del proyecto de Ley, es importante notar que el texto tiene el carácter de “ley orgánica”. En Ecuador, el artículo 133-3 de la Constitución dispone que las leyes son “orgánicas” u “ordinarias”. Así, las leyes orgánicas son aquellas que regulan el ejercicio de derechos constitucionalmente garantizados; a contrario, todos los otros tipos de leyes son “ordinarias”. Esta diferencia en la jerarquía jurídica busca otorgar la máxima protección legal a un derecho constitucionalmente reconocido, en este caso, el derecho a la protección de los datos personales.

Sin lugar a dudas, el derecho a la protección de datos personales es muy importante en Ecuador, sin embargo, la cultura de protección de datos personales no es lo suficientemente avanzada como para poder garantizar, al día de hoy, el nivel de protección adecuado (o ideal) exigido en la Carta Magna.

Antecedentes

El actual proyecto de ley presentado en julio pasado, no es el primer proyecto de ley que será debatido en la Asamblea Nacional del Ecuador. De hecho, en octubre de 2012, luego de haber llegado al segundo debate en el hemiciclo, la Asamblea Nacional resolvió archivar el texto ya que, por un lado, el derecho a la protección de datos se encuentra actualmente protegido al más alto nivel, es decir, a nivel constitucional. Por otro lado, se consideró que ya existía un importante paquete legislativo que ofrece las garantías jurídicas necesarias a la protección de datos personales en diferentes sectores como, por ejemplo, la Ley Orgánica de Transparencia y Acceso a la Información de 18 de mayo de 2004, la Ley del Sistema Nacional de Registro de Datos Públicos de 31 de marzo de 2010, la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos de 17 de Abril de 2002, así como en el Código Civil y el Código Penal, entre otras leyes.

Además, la Comisión de Justicia y Estructura del Estado estimó que el proyecto presentado en 2012 no contaba con la jerarquía necesaria, es decir, de “ley orgánica”, que debe disponer toda ley que busca regular el ejercicio de un derecho protegido a nivel constitucional. Por todo lo expuesto y en coherencia con la jerarquía jurídica en Ecuador, el proyecto de ley fue archivado.

A nivel institucional, hay que saber que Ecuador no cuenta con una agencia o autoridad de protección de datos personales. Sin embargo, existe la Dirección Nacional de Registro de Datos Públicos (la DINARDAP) creada por la Ley del Sistema Nacional de Registro de Datos Públicos, que regula el sistema de registro de datos públicos y su acceso en entidades públicas o privadas, garantizando la seguridad, organización y sistematización de la información, así́ como la interoperabilidad de la misma, con criterios de eficacia, eficiencia y transparencia (Artículo 1 de la mencionada Ley).

Actualmente, el proyecto de ley presentado en julio de 2016 se encuentra en la Comisión de Justicia y Estructura del Estado de la Asamblea Nacional. Los asambleístas de dicha Comisión reconocieron que “a pesar de la existencia de una normativa internacional y nacional dirigida a la protección de la privacidad e intimidad de las personas, los riesgos surgidos del desarrollo y la expansión de las nuevas tecnologías de la información y la comunicación elevan la vulnerabilidad de las personas en el tratamiento de su información personal. Por lo tanto, una regulación específica en la materia es necesaria”.

Sobre el proyecto de ley de 2016

El proyecto de ley cuenta con 32 artículos, la futura ley será seguida por un Reglamento de aplicación. El texto presenta, grosso modo, las definiciones y los principios de la protección de datos personales; los derechos de los interesados y las obligaciones del responsable de tratamiento; prevé la creación de una Autoridad de control; y presenta el nivel de sanciones que serán aplicables en caso de incumplimiento de la ley.

A pesar de la indiscutible voluntad política por proteger los datos personales de los ecuatorianos, el proyecto de ley puede ser mejorado. De hecho, existen algunos puntos de atención a tener en cuenta en los futuros debates legislativos como, por ejemplo:

• Sobre los principios de la protección de datos y los derechos de los interesados (Artículos 4 y 6): los principios reconocidos en el proyecto de ley son: la legalidad, la pertinencia, la veracidad, el consentimiento, la confidencialidad y la reserva.

Sin embargo, el proyecto de ley no menciona tres principios importantes en el campo de la protección de datos personales; estos son: la seguridad, la exactitud de los datos y la conservación. Hay que comprender los principios generales como la base de la protección efectiva de los derechos de las personas. Así, por ejemplo, si el principio de seguridad no es reconocido, entonces la confidencialidad, la accesibilidad y la integridad no podrán ser efectivamente garantizadas; sin una actualización de los datos periódica, no se podrá asegurar la calidad de los mismos y consecuentemente, no se podrá asegurar la exactitud de los datos personales; y finalmente, si no se establecen períodos determinados de conservación, no se podrá garantizar el hecho de que los datos personales serán borrados una vez que la finalidad del tratamiento haya sido cumplida.

• Obligación de informar vs. el consentimiento informado del titular de derechos (Artículos 3 y 6): el proyecto de ley no explica claramente la diferencia entre « la información » y el « consentimiento », dando a entender que las disposiciones de toda la ley son sometidas al consentimiento informado del interesado.

Este punto es particularmente importante y delicado a tratar, considerando que, cuando nos referimos al consentimiento, hay que considerar también las diferencias culturales que se pueden entender en torno a esta noción. Sin embargo, y sin querer entrar en un debate sobre la comprensión cultural del consentimiento, el legislador deberá explicar claramente el principio de transparencia, la obligación de información y el consentimiento.

• Sobre la protección específica de los menores de edad (Artículo 7): el proyecto de ley presenta una protección específica para los menores. Sin embargo, el texto no explica a fondo (exceptuando la responsabilidad parental) de qué manera este derecho será garantizado, por ejemplo: ¿qué tipo de medidas de seguridad se aplicarían? o ¿qué tipo de menciones de información deberán ser previstas para que el menor pueda comprender fácilmente los riesgos y las consecuencias implicadas en el procesamiento de sus datos?, etc.
  

• Sobre el responsable de tratamiento y el encargado de tratamiento (Artículos 8 y 9): la definición y las diferencias entre quién es el responsable de tratamiento y el encargado de tratamiento no son explicados de manera suficientemente clara en el proyecto de ley.

De hecho, es lamentable que al Artículo 4 sobre las definiciones no precisa quién es el “encargado de tratamiento”, sino que define lo que el proyecto de ley llama el “responsable del archivo, registro, base o banco de datos”.

La única referencia que el legislador hace sobre el encargado de tratamiento es cuando compara (sin definir) el grado de responsabilidad entre el responsable de tratamiento y el encargado de tratamiento (cf. Artículo 9 § 2 sobre las obligaciones del responsable de las bases o bancos de datos, ficheros, archivos); haciendo la lectura de esta disposición muy complicada. Esta falta de claridad podría causar grandes confusiones al momento de aplicar la ley.

• Sobre la creación de la autoridad de control(Artículo 11): El proyecto de ley prevé la creación de la Autoridad Nacional de Protección de Datos Personales, que será la actual Dirección Nacional de Registro de Datos Públicos, Dirección adscrita al Ministerio de Telecomunicaciones del Ecuador. Sin embargo, el proyecto de ley no explica si la futura Autoridad Nacional seguirá siendo adscrita al Ministerio de Telecomunicaciones o si será una autoridad autónoma.

Las observaciones arriba mencionadas son solamente ejemplos limitativos e indicativos sobre algunos de los temas que deberán ser mejorados o revisados mediante los futuros debates legislativos.

La promulgación de una ley específica sobre la protección de datos y la creación de una autoridad de protección de datos son iniciativas que son bienvenidas y aportarán al establecimiento de una base sólida de la cultura de protección de datos en Ecuador.

Por último pero no menos importante, los legisladores ecuatorianos deberán aprovechar esta etapa de debate para proveer todas las mejoras necesarias, asociando a todas los sectores directamente impactados y a los ciudadanos en general, con el fin de producir una ley que garantice efectivamente el derecho a la protección de datos en Ecuador. En este sentido, y siendo conscientes de la poca cultura en protección de datos en éste país, es altamente recomendable que el legislador realice importantes esfuerzos pedagógicos para que la ley y el reglamento de aplicación sean lo suficientemente claros y accesibles para todos los ecuatorianos.