Ley de Protección de Datos establece multas para funcionarios

La Ley de Protección de Datos Personales no solo acarrea sanciones a las empresas. En el caso del sector público, los funcionarios también deberán pagar multas por infringir la norma.

Las multas van desde un salario básico (USD 450) hasta 20 salarios básicos (USD 9.000), según el nivel de gravedad de la infracción.

Una infracción leve puede ser no tramitar las solicitudes o quejas del propietario de los datos. Por ejemplo, cuando el cliente de una entidad financiera pública pida un cambio en sus datos personales y esta solitud no sea tramitada.

Mientras que una infracción grave puede ser no implementar las medidas adecuadas para prevenir o reducir las vulneraciones a la seguridad de datos personales.

Otra fracción grave es no notificar al titular de los datos personales sobre una vulneración a la seguridad de sus datos.

Brechas de seguridad

Las entidades públicas en Ecuador no han estado exentas de brechas de seguridad de datos personales.

En septiembre de 2019, ocurrió la mayor filtración en la historia del país, cuando los datos personales de millones de ciudadanos en Ecuador quedaron expuestos en un servidor localizado en Miami, Estados Unidos.

La información contenía datos como números de cédula y de teléfono, registros financieros, historial laboral y salarios.

Si bien los datos eran administrados por la empresa Novaestrat, provenían de fuentes externas, entre ellas el Banco del Instituto Ecuatoriano de Seguridad Social (Biess).

En 2021 ocurrieron nuevas vulneraciones a la seguridad de la información en empresas públicas. Una se registró en el Ministerio de Salud, vinculada a los datos de personas que se habían realizado pruebas diagnóstico de Covid-19.

Y la otra pasó en la Corporación Nacional de Telecomunicaciones (CNT), cuando en julio de ese año sufrió un ataque informático a sus sistemas, lo que afectó los servicios de atención al cliente por varios días.

A pesar de que la CNT aseguró en ese entonces que los datos de sus clientes estaban "debidamente resguardados", quedó la incógnita de qué tan seguros estaban los datos.

¿Mayor protección?

La abogada Connie Frías, socia del estudio jurídico Barrera Andrade Abogadas, explica que, antes de la existencia de la Ley de Protección de Datos, este tipo de filtraciones solo eran sancionadas desde una óptica delincuencial.

Es decir, solo se sancionaba penalmente a quien cometió el delito, mediante el Código Orgánico Integral Penal.

Ahora, con la Ley de Protección de Datos, las empresas púbicas tienen una mayor responsabilidad sobre la seguridad de los datos que están tratando, y pueden ser sancionadas en caso de violar los derechos de los propietarios de los datos.

La Corporación Nacional de Telecomunicaciones asegura que ha reforzado los controles y seguridad para la protección de los datos personales de sus clientes.

Además, ha implementado normas internas para el tratamiento de los datos por parte del personal, facilitando mecanismos para que los abonados conozcan y autoricen el tratamiento de sus datos.

Sustento legal

El abogado Patrick Barrera, también socio de Barrera Andrade Abogados, recalca que tanto las compañías públicas como las privadas tienen las mismas obligaciones en cuanto a la protección de datos.

Barrera dice que, según la ley, todo dato que se recopile debe tener un sustento legal, que podría ser el consentimiento del titular, la ejecución de un contrato o una orden judicial.

En el caso entidades públicas, la facultad para capturar y tratar datos personales también se la puede otorgar otra norma relacionada con las competencias de esta empresa.

Pero, por lo general, cuando se trata de un cliente, sí deben contar con un consentimiento expreso del titular.

Banecuador, por ejemplo, informa que requiere del consentimiento de sus clientes para ofrecer servicios web y productos financieros relacionados con la colocación de créditos.

En los últimos años, el Banco ha incorporado nuevos consentimientos para obtener información de burós de crédito, manejo de cuentas bancarias, tarjetas de crédito, activos, pasivos y patrimonios.

De igual manera, para "registros y autorizaciones para el uso de imagen personal", añade Banecuador.

¿Y el delegado de protección de datos?

Según la ley, las empresas deben nombrar a un delegado de protección de datos, quien debe velar por el cumplimiento de la ley dentro de la empresa.

Además, es el punto de contacto entre la Superintendencia de Protección de Datos (aún no creada) y la empresa responsable de los datos.

De acuerdo con el artículo 48 de la norma, en el caso de las entidades públicas, la contratación de esta persona es obligatoria.

Barrera recuerda que no nombrar al delegado de protección de datos es una infracción grave dentro de la ley.

La CNT aún no cuenta con este perfil. "No existe en la Ley una definición clara sobre varios aspectos, esto incluye al delegado de protección de datos personales", dice la compañía.

Y añade que está a la espera de que se emita el reglamento de la Ley y de la creación de la Superintendencia, entidad a la que deberá reportar el delegado.

Banecuador, en cambio, asegura que ya cuenta con esta figura.

Por último, Barrera recuerda que en caso de encargarse el tratamiento de los datos personales a un proveedor, la ley dice que debe garantizarse que existan los mejores estándares de seguridad.

En CNT, debido a una "necesidad institucional", el tratamiento de datos de clientes está a cargo de plataformas de terceros, es decir, de proveedores.

La Corporación asegura que cuenta con los controles necesarios para salvaguardar la información, mediante acuerdos de confidencialidad. "Y en la mayoría de los casos, los datos se entregan anonimizados", dice la empresa.