Cero sanciones en Ecuador por una ley de protección de datos personales blandengue

Ecuador amaneció con un escándalo. Los datos personales de todos los ecuatorianos estaban alojados en un servidor internacional, sin protecciones, al alcance de cualquiera. Había nombres completos, números de cédula, fechas de nacimiento, direcciones domiciliarias, números telefónicos, correos electrónicos, relaciones familiares, historial laboral, salarios, placas de vehículos y más. Se incluía información de menores de edad y hasta de gente fallecida.

Se lo bautizó como el caso Novaestrat y provocó el impulso de la Ley Orgánica de Protección de Datos Personales. Han pasado seis años de ese escándalo y, aunque ya hay ley y reglamento, la vulnerabilidad en Ecuador sigue siendo casi la misma. Así lo refirió el propio Superintendente de Protección de Datos Personales, Fabrizio Peralta Díaz, encargado de controlar la implementación de esas normas.

Sostuvo que, si un ataque masivo a la privacidad de los ecuatorianos ocurriera ahora, tampoco tendría las herramientas legales para sancionar inmediatamente a los responsables. La Ley dice que, para las infracciones graves, la Superintendencia tiene que imponer medidas correctivas a los causantes y, solo si no las cumplen, sancionarlos. “La ley le da a la Superintendencia, a veces, el rol de madre”, ironizó Peralta.

Además, existe un obstáculo para iniciar procesos contra gigantes como Facebook, Google o Tiktok. La Ley exige a las plataformas extranjeras que nombren un apoderado especial en Ecuador, pero solo nueve han cumplido este requerimiento y ninguna es parte de las llamadas Big Tech.

Hasta ahora, nadie ha sido sancionado, pese a que la Ley entró en vigor en 2021, su reglamento, en 2023 y la Superintendencia empezó a operar en octubre de 2024. 

Para el Superintendente, que la Ley se haya construido así no es casualidad. “Yo entiendo que en el proceso hubo muchos actores…”, afirmó sin mencionar nombres. Consideró que se necesita reformar la norma.

La alianza informativa La Mano Invisible de las Big Tech, liderada por el Centro Latinoamericano de Investigación Periodística (CLIP) y por Agencia Pública de Brasil, en la que participó PRIMICIAS, encontró organizaciones aliadas a las gigantes tecnológicas que han participado en el tratamiento de nueve leyes ecuatorianas para regular el mundo digital, incluida la de Protección de Datos Personales.

Cuatro de esas normas están en vigor, dos fueron archivadas, una espera el segundo debate de los legisladores y dos proyectos están en construcción.

Esas organizaciones son la Asociación Latinoamericana de Internet (ALAI), la Cámara de Innovación y Tecnología Ecuatoriana (Citec) y la firma jurídica peruana Niubox.

La ALAI reúne a gigantes como Google, Tiktok, Meta y otras. Tiene un manifiesto que señala como uno de sus propósitos el de promover “modelos colaborativos de elaboración de la política pública que articulen el diálogo desde etapas tempranas entre el sector y los gobiernos”.

En un comunicado enviado a esta alianza periodística, ALAI señaló que “no representa los intereses de empresas específicas ni hace actividades de lobby para empresas específicas, sino que, al igual que cualquier otra cámara empresarial sectorial, representa los intereses del sector en general”.

Agregó que fomenta el debate público, abierto y participativo como un ejercicio democrático y que eso incluye organización de eventos, participación en comisiones y otras instancias en congresos de la región, reuniones con parlamentarios y funcionarios de gobiernos, entre otras actividades.

La Citec agrupa a 290 empresas tecnológicas ecuatorianas y extranjeras de todo tamaño, incluyendo a gigantes como Google, Amazon y Uber. Es firmante del manifiesto que impulsa ALAI.

Se formó en 2002 bajo el nombre de Asociación Ecuatoriana de Software (Aesoft), con 16 socios, entre ellos IBM, Microsoft y Oracle.

Sus estatutos indican que uno de sus fines es “apoyar a la actualización de la legislación ecuatoriana”. También establecen que la Citec se financia con los aportes y cuotas de sus socios, y que también puede recibir donaciones y contribuciones tanto de instituciones públicas como privadas.

Al respecto, el director de Asuntos Regulatorios de la Citec, Andrés Vega, señaló a esta alianza periodística: “Nuestro trabajo, como gremio, es incidir en la regulación o por lo menos conocer de antemano qué se está cocinando en temas de regulación tecnológica”.

El estudio jurídico Niubox nació en Perú en 2018. Abrió oficinas en Ecuador, en 2020, y en Colombia, en 2022. En los tres países, dice tener un centenar de clientes como Google, IBM y Mercado Libre. Esta investigación detectó que Niubox ha participado en la construcción de cinco normas ecuatorianas.

En Colombia ha hecho incidencia en la regulación de inteligencia artificial y ha organizado eventos académicos sobre regulación de tecnología. Su country manager, Daniel Felipe Valencia Quintero, se reunió en diciembre de 2024 con un senador para hablar sobre regulación de trabajo en plataformas digitales.

Desde que se estableció en Ecuador, el representante legal de Niubox ha sido Diego Álvarez Mejía. Hasta agosto de 2024 también fue presidente de la Asociación Ecuatoriana de Protección de Datos, una organización que se ha presentado como defensora de los derechos ciudadanos para influir en la legislación digital.

Primer round: el anteproyecto

La Ley de Protección de Datos Personales era una deuda que el Estado ecuatoriano arrastraba desde enero de 2017 por el Tratado de Libre Comercio con la Unión Europea, debido al impulso que este da al comercio electrónico.

Esa Ley es importante porque defiende a los ciudadanos de dos vulnerabilidades, afirmó la especialista Milena Mora. Primero, obliga a las plataformas a usar los datos personales estrictamente para lo que el usuario dio su consentimiento. Y segundo, les exige protocolos y seguridades para evitar el robo de los datos.

“No hay un sistema, no hay un software, no hay nada que sea infalible o que no tenga riesgo. El entregar información implica que tú estás confiando tu identidad a una institución. (...) Entregamos tanta información que tranquilamente podrían hacer una suplantación de identidad. (...) Y entre más sensible es esta información, más riesgoso es”, sostuvo Mora.

La norma fue diseñada por la entonces Dirección Nacional de Registro de Datos Públicos (Dinardap, adscrita al Ministerio de Telecomunicaciones) que en esa época estaba encabezada por la académica Lorena Naranjo.

La Dinardap empezó a elaborar el anteproyecto de Ley a finales de ese 2017. Y socializó el texto entre 2018 y 2019, a través de mesas de trabajo con organizaciones civiles, empresas privadas, instituciones públicas y universidades.

Varios puntos hicieron que la industria tecnológica y las big tech levantaran banderas rojas. Uno de ellos fue la regulación a las empresas extranjeras que traten datos personales de ecuatorianos. Les preocupaba también las cuantiosas sanciones por faltas graves como utilizar los datos para fines no declarados o por no tomar medidas de seguridad adecuadas. Los castigos llegaban a multas del 17% del volumen de negocio anual, es decir, de las ventas menos el impuesto al valor agregado (IVA) y otras tasas menores.

Otro tema espinoso era la obligación que tendrían las plataformas de conseguir la autorización de los representantes legales de los adolescentes para recopilar sus datos personales.

Las empresas afirmaban que sus observaciones no eran tomadas en cuenta por la Dinardap. A inicios de septiembre de 2019, la Citec se reunió con representantes de la Embajada de Estados Unidos en Quito y expertos de ese país para analizar el proyecto de Ley. En un comunicado señaló que “(Se) requiere una Ley que apoye a las PYMEs, con el conocimiento de que la propuesta actual podría afectar inversiones del exterior e impediría el crecimiento del sector”.

Ese mismo septiembre, se detectó el llamado caso Novaestrat. Esto dio un nuevo sentido de urgencia a la iniciativa, lo que hizo que el entonces presidente de la República, Lenín Moreno, enviara el proyecto de Ley a la Asamblea Nacional.

El 16 de ese mes, el portal especializado en tecnología ZDNet había revelado la existencia de una base de datos alojada en un servidor de Miami, sin las suficientes seguridades de acceso, que contenía información personal de 20,8 millones de ecuatorianos, una cifra mayor a la población total, pues había incluso datos de fallecidos.

• Hay servicios exequiales que saben de la muerte de una persona antes que sus familiares, alerta 'Súper' de Datos

La investigación apuntaba que la dueña de la base de datos era la empresa ecuatoriana Novaestrat, la cual se promocionaba como especialista en análisis de mercado. La Fiscalía abrió una indagación por presunta violación a la intimidad, allanó el domicilio del representante legal de la compañía cuestionada y tomó declaraciones a sus ejecutivos. Sin embargo, cinco años después, en 2024, pidió el archivo de la causa aduciendo que no había suficientes elementos para formular cargos.

El mismo día en que ZDNet reveló la filtración masiva de datos, el ministro de Telecomunicaciones, Andrés Michelena, y la directora de la Dinardap, Lorena Naranjo, aseguraron en una rueda de prensa que la vulneración de los datos estaba controlada y anunciaron que el gobierno presentaría el proyecto de la Ley Orgánica de Protección de Datos Personales a la Legislatura. La propuesta ingresó el 19 de septiembre.

Segundo round: los cambios en la Asamblea

Una vez presentado el proyecto, iniciaron los debates en la opinión pública. Uno de los más intensos sucedió en una entrevista televisada, entre Andrés Burbano de Lara, de la Citec, y Lorena Naranjo, en enero de 2020. Ahí mostraron sus cartas.

A Burbano de Lara le preocupaba la creación de una Autoridad Nacional de Protección de Datos Personales dependiente del poder Ejecutivo, que estaría encargada de imponer sanciones astronómicas a las compañías. “No nos han dicho por qué (la multa) es el 17%... Realmente no hace sentido alguno porque tampoco la idea es quebrar a las empresas”, argumentó. Y advirtió que esto ahuyentaría las inversiones.

Naranjo mostró la otra cara. Sostuvo que el tráfico ilegal de datos personales es un negocio muy rentable. “Los datos personales son el nuevo petróleo”, mencionó.

Utilizó el caso Novaestrat para asegurar que las autoridades debían frenar sus actividades imponiendo multas fuertes y compensaciones a los afectados. “Si una empresa ha generado ingresos de forma dolosa, ese patrimonio es ilícito”, subrayó.

Las posiciones de los entrevistados resultaron irreconciliables. El diálogo terminó con gritos. Naranjo señalaba a Burbano de Lara de ser “representante de Google” y este la señalaba de ser “representante de la Senain”, la policía política de Rafael Correa. Los técnicos tuvieron que apagarles los micrófonos y el periodista Francisco Rocha despidió el programa.

En una declaración enviada a esta alianza periodística, Google dijo: “Al igual que muchas empresas, colaboramos regularmente con responsables políticos y otras partes interesadas en una amplia gama de cuestiones, entre ellas cómo las políticas pueden afectar a las personas que utilizan nuestros productos”.

El proyecto de Ley pasó el primer debate en el Pleno de la Asamblea Nacional en febrero de 2021 y regresó a la Comisión de Seguridad Integral, para que recogiera las observaciones y prepare un nuevo informe para el segundo y definitivo debate.

Aquí hubo un cambio sustancial. La Comisión, presidida por Fernando Flores Vásquez (de CREO), agregó la disposición de que la Superintendencia debe exigir medidas correctivas antes de imponer las multas por infracciones graves.

Sobre esto, hay contradicciones en el informe. En la parte introductoria, el documento señala que, acogiendo las observaciones, “las medidas correctivas caben para las infracciones consideradas leves. Por lo que el régimen sancionatorio se aplica automáticamente para las infracciones consideradas graves”.

Sin embargo, en el desarrollo de los artículos, quedó al revés. Las sanciones directas para las infracciones leves y las medidas correctivas para las graves. Y así se repartió el texto entre actores interesados, en marzo de 2021.

Durante la discusión, la única en referirse a las medidas correctivas fue la socióloga Valeria Betancourt, representante de la Asociación para el Progreso de las Comunicaciones. Sostuvo que, si la Ley establecía que las multas iban a ser impuestas solo a los infractores que no cumplieran con las medidas correctivas, las sanciones debían ser drásticas. Sin embargo, la idea no prosperó.

Las multas también se redujeron. Las faltas leves, que al inicio tenían sanciones del 3% al 9% del volumen del negocio, terminaron entre el 0,1% y el 0,7%. Mientras que las graves, que en principio estaban castigadas con multas del 10% al 17%, se redujeron entre el 0,7% y el 1%.

El castigo quedó muy por debajo de lo estipulado por las normas de la Unión Europea: 4% del volumen del negocio.

En estos debates apareció un nuevo actor abogando por los argumentos de las plataformas tecnológicas, la Asociación Ecuatoriana de Protección de Datos.

Un grupo de expertos había creado esta Asociación en enero de 2019. Coincidencias, en esta alianza heterogénea estaban Lorena Naranjo, que en ese entonces ya dirigía la Dinardap; Luis Enríquez Álvarez, académico y actual Intendente en la Superintendencia de Protección de Datos Personales; y Diego Álvarez, quien más tarde presidió la Asociación y ahora es representante legal y accionista de Niubox.

Su primer presidente, el abogado Pablo Solines Moreno, se presentó a la Comisión para plantear sus observaciones. Se opuso a que la Ley se aplique a plataformas extranjeras que recolectan datos personales de ecuatorianos.

También cuestionó que no se incluyera a los medios de comunicación entre los regulados. Además, criticó que el proyecto obligara a las empresas a notificar a las autoridades en caso de un ataque digital. Le preocupaba que, con ello, la compañía “estaría alertando a la autoridad para que se la sancione”.

Tras la intervención de Pablo Solines, tomó la palabra Raúl Echeberría, el director ejecutivo de la ALAI. En varios puntos, recogió los argumentos ya expuestos por Solines, a quien dirigió elogios.

Se refirió a los niños y adolescentes. El proyecto indicaba que las plataformas debían obtener el permiso de los representantes legales para recolectar y tratar sus datos personales. Echeberría propuso que se excluya a los adolescentes de ese mandato, para que aplique solo para menores de 13 años. “Se podría ocasionar perjuicios para los adolescentes (...) podría haber una consecuencia no deseada de reducir su capacidad de participación en el mundo digital”.

Al final, la Asamblea aprobó la Ley y entró en vigor en mayo de 2021. Con ella se creó la Superintendencia de Protección de Datos Personales como entidad de control, independiente de todos los poderes del Estado. Además, se anuló el derecho al olvido digital y se excluyó a los medios de comunicación de la aplicación de la Ley.

Por otra parte, quedaron incluidos el principio de extraterritorialidad, la obligación de las empresas de notificar a las autoridades en caso de vulneración de su seguridad y la necesidad de contar con la autorización de los representantes legales para los datos personales de los adolescentes, hasta los 15 años de edad.

Tercer round: el Reglamento

La Ley entró en vigor en mayo de 2021. Esto coincidió con el cambio de Gobierno, pues ese mes el presidente Guillermo Lasso tomó la posta de Moreno. Una disposición transitoria de la norma impidió al regulador imponer sanciones antes de un plazo de dos años, que vencía en mayo de 2023. Así, los actores controlados podrían adaptarse a la normativa, y las autoridades, emitir el reglamento.

La construcción del Reglamento estuvo a cargo de la Dinardap, que pasó a llamarse Dirección Nacional de Registros Públicos (Dinarp). Con el nuevo Gobierno, se puso al frente de la institución Angie Jijón Mancheno, una abogada que había hecho su carrera en el sector financiero.

La Dinarp convocó a mesas de trabajo en agosto de 2021. Los diálogos duraron varios meses. Participaron representantes de empresas privadas, como la Citec, y organizaciones civiles.

Sin embargo, mientras la Dinarp afinaba el texto para presentarlo al Gobierno, la Citec publicó un comunicado informando que sus representantes se habían reunido con el secretario jurídico de la Presidencia de la República, Fabián Pozo, para discutir sus observaciones a la versión final del Reglamento.

Andrés Vega, de la Citec, afirmó que esa reunión fue privada y que la consiguieron mediante una solicitud. “No es que se hizo un proceso de consulta pública o se aperturó el proyecto reglamento a un foro multiactor”, precisó.

En ese encuentro también participaron directivos de Niubox, de Amazon Web Services y otras empresas, detalló el comunicado. La reunión se dio el 21 de enero y la Dinarp presentó el texto cinco días después.

Desde entonces, el Reglamento entró en una congeladora. Llegó mayo de 2023 y no había sido publicado.

El plazo se cumplió en medio de una grave crisis nacional. El presidente Lasso había enfrentado un juicio político en la Asamblea Nacional que terminó arrinconándolo. Para evitar ser destituido, decretó ese mismo mes la “muerte cruzada”, un mecanismo constitucional que le permitió cerrar la Legislatura temporalmente y llamar a elecciones generales anticipadas.

Tras los comicios, el 15 de octubre de 2023, Daniel Noboa Azín resultó ganador y su posesión estaba prevista para el 23 de noviembre. Dos semanas antes de abandonar el poder, Lasso emitió el Reglamento General de la Ley de Protección de Datos Personales, el 6 de noviembre. En medio del alboroto político, el hecho pasó desapercibido.

Para César Ricaurte, director ejecutivo de Fundamedios, ese Reglamento “salió de la nada”. Él había participado en la construcción de la Ley, desde 2019, y en las primeras mesas de diálogo posteriores a la aprobación, en 2021. Luego de esto no fue convocado nuevamente; hasta que, más de dos años después, se publicó el Reglamento. Por eso, cree que no hubo suficiente participación ciudadana en esta norma.

Cuarto round: las regulaciones

Si bien esa Ley entró en vigor en 2021 y su Reglamento General, en 2023, aún hace falta implementar ciertas regulaciones adicionales, cuya emisión está a cargo de la Superintendencia. 

Esta institución empezó a funcionar en 2024. El presidente Daniel Noboa presentó la terna para seleccionar al primer Superintendente en enero de 2024. La encabezó Fabrizio Peralta, un abogado que había asesorado a cámaras empresariales, participado en uno de los estudios jurídicos más grandes y reputados de Guayaquil, dictado cátedra en varias universidades y ejercido como árbitro judicial en materia tecnológica. Fue posesionado en abril del mismo año.

Las operaciones de la Superintendencia iniciaron en octubre. Una de las primeras reuniones de Peralta fue con el colombiano Pablo Nieto, gerente de la ALAI para la región andina, donde trataron sobre el proceso de reglamentación de la Ley de Protección de Datos Personales, según los registros del portal de transparencia de la Superintendencia.

A la par, la institución empezó a emitir las regulaciones. Para ello, publicó un texto preliminar en su sitio web para que la ciudadanía haga observaciones, que pueden ser acogidas o rechazadas.

Este año, la Superintendencia ha emitido nueve regulaciones. Se promulgó, por ejemplo, un reglamento para ponderar las sanciones, el cual establece los parámetros para definir con exactitud la multa que debe pagar un infractor.

La Superintendencia informó que la ALAI presentó observaciones en cinco de esas nueve normas, las cuales fueron aceptadas. En cambio, la Citec hizo observaciones a siete regulaciones, pero fueron acogidas solo en cinco. “Tenemos una fluida relación”, reconoció el superintendente Peralta, y aclaró que esto no significa que la Superintendencia deba recoger todas las recomendaciones.

Él viajó a México en abril pasado para asistir al evento anual que organiza la ALAI para promover su perspectiva de la gobernanza del internet. Lo llaman Encuentro Regional de Economía Digital, DigiEcon. También participaron autoridades y legisladores de otros países. Entre los invitados además estuvo Gisela Montalvo, directora de la Citec.

El programa duró tres días. Peralta declaró este viaje en la plataforma de transparencia de su institución, con un gasto de viáticos de apenas 52,48 dólares. Cuestionado sobre el financiamiento del viaje, afirmó que los gastos corrieron a cargo de la ALAI.

“Si la pregunta está dirigida a determinar si esto, de alguna u otra manera, afecta o no afecta mi gestión a nivel de máxima autoridad de la institución, no la afecta para nada. Creo que esos espacios hay que aprovecharlos para que la entidad se dé a conocer, sobre todo una entidad que recién comenzó su funcionamiento el año pasado”.

Fabrizio Peralta, superintendente de Datos

Un mes después del encuentro en México, se hizo pública la firma de un convenio entre la Superintendencia y la Citec, aunque el documento oficial está fechado en enero de 2025, sin indicar el día. Su objeto es crear espacios de diálogo y colaboración técnica para el intercambio de conocimientos, capacitación y promoción del debate sobre la protección de datos personales.

La Superintendencia ha firmado 24 convenios que buscan socializar las regulaciones pendientes y promover la protección de datos personales, principalmente con universidades, instituciones públicas y organismos internacionales. Ninguno de ellos ha sido con alguna organización ciudadana.

La Superintendencia tiene planificado emitir seis regulaciones más en este año. Está pendiente una para definir, regular y delimitar el tratamiento de datos personales a gran escala y otra para establecer los estándares para la transferencia internacional de datos personales. Estos son temas que afectan directamente a las big tech y a sus usuarios.

Y mientras el marco regulatorio avanza, el control está estancado. De las 191 denuncias recibidas, 106 están represadas, 65 están en proceso de sustanciación y 20 están archivadas.

La gran mayoría de quejas es por cobranzas a través de mensajes y llamadas sin autorización. Unas pocas son por acoso publicitario. Y la minoría está relacionada con temas más graves como estafa, difamación, falsificación de firmas y hackeo de datos.

• Este es el proceso para denunciar llamadas molestas y otros usos indebidos de los datos personales en Ecuador

Peralta afirmó que también hay dificultades operativas. La institución tiene 34 funcionarios, dos de los cuales se encargan de tramitar las denuncias.

Peralta ha pedido un incremento del presupuesto. Este año recibió 1,54 millones de dólares y solicitó 3 millones de dólares para el siguiente, con el fin de contratar a 107 empleados más y hacer inversiones para mejorar el servicio, pero afirma que no ha recibido respuesta del Ministerio de Economía y Finanzas.

Las dificultades para aplicar la Ley son evidentes. “Estamos trastabillando porque una cosa es que se haya dictado la Ley y otra cosa es que se aplique”, afirma Lorena Naranjo, quien ahora está al frente de la Asociación de Protección de Datos. Ella sostiene que aún falta mucho para construir un país digital, pues la protección de datos es solo un elemento que se complementa con el aprovechamiento y la gobernanza de esos datos.

Mientras tanto, la influencia de las big tech en la política pública se ha acelerado. La Citec no solo tiene el convenio con la Superintendencia para construir las regulaciones de la Ley. También ha ganado terreno en la política exterior. La directora ejecutiva de la Citec, Gisela Montalvo, fue parte de la comitiva oficial que acompañó al presidente Noboa en su viaje oficial a Emiratos Árabes Unidos, en mayo de este año.

En un comunicado, la Cámara festejó: “Trabajamos por la internacionalización del ecosistema tech ecuatoriano, representando a nuestras empresas ante actores globales que hoy ven en Ecuador un destino seguro y con alto potencial para invertir”.

** La Mano Invisible de las Big Tech es una alianza colaborativa liderada por Agencia Pública de Brasil y el CLIP, que reunió a 17 medios de comunicación que investigaron las acciones de influencia de las Big Tech en 13 países.