El constante desarrollo de las tecnologías y la expansión del uso de internet han determinado, a nivel global, la necesidad de contar con mecanismos que salvaguarden el ejercicio de derechos al momento de usar las tecnologías. Uno de esos mecanismos se refiere a la aprobación de Leyes específicas que amplíen garantías constitucionales referidas a la privacidad y autodeterminación informativa, tales como la Ley de Protección de Datos Personales.
Esta tendencia se ha ido materializando en distintos países latinoamericanos. A nivel regional, estamos en un momento de grandes definiciones, con posibles actualizaciones a dos de las normativas más antiguas: las de Argentina y Chile. Pero también tenemos países que recién están dando los pasos necesarios, dos casos particulares son los de Ecuador y Bolivia. El primero, por ser el último país en América Latina en promulgar su Ley Orgánica de Protección de Datos Personales (LOPDP), en mayo de 2021, aunque hasta la fecha no cuenta con reglamentación. El segundo, por ser uno de los pocos países que aún no cuenta con esa normativa, pero se encuentran en plena discusión de la misma. Ambos casos son parte del proyecto ADAPT de Internews.
En este breve artículo, abordamos los antecedentes de ambos casos desde una perspectiva comparada, esperando que ello facilite la comprensión de los desafíos comunes y los enmarque además en los cambios regionales que veremos en los próximos años.
I. El caso ecuatoriano
El caso ecuatoriano mostró en la última década avances para el ejercicio de los derechos digitales, los cuales surgen a partir de una serie de casos de vulneraciones y situaciones que generaron una agenda propicia para la aprobación de la LOPDP.
En el año 2016, una base de datos de la Secretaría Nacional de Educación Superior, Ciencia, Tecnología e Innovación de Ecuador, la cual registraba títulos profesionales de toda la ciudadanía, fue “hackeada”. Esto causó una afectación al interés general, perjuicios económicos, facilitó el cometimiento de ilícitos y atentó contra la democracia y transparencia.
En el año 2017, 8 millones de dólares del bono de desarrollo humano fueron cobrados indebidamente debido a la exposición de información de su base de datos.
Durante el año 2019, sucedió un evento catalogado como la peor filtración de datos en la historia del Ecuador por parte de una empresa que está en proceso de investigación. Los reportes de investigación determinaron que accedieron a través de mecanismos desconocidos y que contienen información de 17 millones de habitantes con respecto a sus historiales de crédito, salud, entre otros.
Estas situaciones lamentables propiciaron que las autoridades y la sociedad civil, pudieran agendar el debate y elaboración de la LOPDP. No obstante, si bien se pudo constatar una mejora progresiva, aún existen grandes falencias, incluyendo la falta de reglamentación de la LOPDP.
II. El caso boliviano
Bolivia es uno de los pocos países del mundo que no cuenta con una ley específica para la protección de datos personales. A pesar de que este país inició un proceso de transformación digital, poniendo en marcha normas sobre interoperabilidad de datos entre órganos públicos, ciudadanía digital, economía digital y gobierno electrónico, existe carecencia de una normativa que regule obligaciones de sujetos responsables com respecto a los mecanismos de protección de información y sanciones en caso de vulneraciones.
En la Constitución Política del Estado Plurinacional se contempla el derecho a la privacidad, intimidad, honra, honor,T propia imagen y a la autodeterminación informativa en artículo 130. La Norma Fundamental además reconoce la Acción de Protección de Privacidad como garantía de esos derechos y el Código de Procedimiento Constitucional desarrolla el concepto de la autodeterminación informativa.
Estos preceptos suponen un gran avance que pocas veces se ve materializado por la falta de desarrollo legislativo específico. La ausencia de una Ley de Protección de Datos Personales, por un lado, dificulta la posibilidad de desarrollar una cultura de protección de datos en el contexto actual y, por otro lado, limita el accionar Estatal en cuanto a casos de tratamiento abusivo de datos, con varios incidentes de seguridad y vulneraciones a los derechos. Por ejemplo, se ha expuesto información personal de personas en situación de vulnerabilidad, se han compartido bases de datos estatales por diferentes medios, se han usado datos personales para inscribir ciudadanos en partidos políticos sin su consentimiento, entre otros.
Por tratarse de la protección de un derecho digital, el de la protección de datos personales, la Fundación Internet Bolivia (FIBORG) con el apoyo de Internews, a través de su Proyecto ADAPT, entre el 2018 y 2022 viene encaminando acciones de incidencia pública y comunicacional para la aprobación de dicha Ley.
Para entender mejor el camino emprendido, la FIBORG, ha desarrollado una línea de tiempo que registra una serie de hitos que marcan la imperiosa necesidad de proteger los datos personales a nivel nacional. Dicha Línea de Tiempo se encuentra disponible en: https://misdatos.internetbolivia.org/linea-de-tiempo/#inicio
III. Ámbitos normativos y de aplicabilidad
En Ecuador, el Registro Oficial Suplemento No. 459 de 26 de mayo de 2021, publicó la Ley Orgánica de Protección de Datos Personales (LOPD). La ley en mención aborda la protección de datos personales que constituye un derecho constitucional. El objetivo de la Ley apunta a la protección de la persona a través de la garantía del derecho de la protección de sus datos personales, específicamente los derechos de acceso y facultad de la o el ciudadano a tomar decisiones sobre la utilización de sus propios datos personales.
El ámbito de aplicación material, tanto en la ley ecuatoriana como en el proyecto boliviano, incluye tanto el sector público como el privado, lo cual potencia el efecto de la norma. Si se considera a la norma como permanente, los datos se transmiten entre diferentes sectores; esto es especialmente importante para lograr la garantía del derecho de protección de datos personales de los ciudadanos sin obstaculizar el intercambio de datos de manera interna.
La ley Ecuatoriana recalca la responsabilidad activa que deberá mantener la autoridad de protección de datos para la implementación de códigos sectoriales de conducta. Es por eso que corresponde a la autoridad de protección de datos, reconocer y revocar cuando sea el caso, realizar auditorías y verificar procesos de transparencia en concordancia con instrumentos internacionales de protección de datos personales.
También se prevé que la autoridad de protección de datos ejecute, juntamente con la academia, organizaciones de la sociedad civil y otras partes interesadas, informes de la situación internacional de protección de datos personales. Además, las autoridades de protección de datos, más allá de sancionar y corregir, mecanismos investigativos a su alcance, tendrán que contribuir con la cultura educacional en materia de protección de datos: generando una serie de acciones importantes para educar a la ciudadanía sobre sus derechos y recursos que les asisten y capacitando al sector empresarial sobre el rol que conjugan en el tratamiento de datos personales.
En esa misma línea, el proyecto boliviano reconoce a la autoridad de protección de datos, una serie de atribuciones, entre las cuales se encuentra la de garantizar y defender los derechos e intereses de los titulares de los datos personales, establecer sistemas preventivos de control y vigilancia para la protección de datos personales. Imponer sanciones por infracción de las disposiciones legales y reglamentarias. Realizar actividades de fiscalización sobre los responsables, encargados y exportadores del tratamiento de datos personales. Estas tareas, entre otras, incluirán la realización de auditorías y pericias técnicas, así como la participación de la Sociedad Civil y entidades públicas vinculadas al área.
En cuanto a los principios que enmarcan la ley, tanto en Ecuador como Bolivia, se encuentra coincidencia con los determinados en estándares internacionales iberoamericanos, tales como los principios de: juridicidad, lealtad, transparencia, finalidad, pertinencia y minimización de datos personales, proporcionalidad del tratamiento, confidencialidad, calidad y exactitud, conservación, seguridad de datos personales, responsabilidad proactiva y demostrada, aplicación favorable al titular, independencia del control. A los que además, el proyecto boliviano, adiciona el principio de diversidad cultural, por el cual, el tratamiento de datos debe considerar la diversidad cultural del país, promoviendo en el marco de su actuación el respeto de la misma. El titular de los datos personales y/o sensibles podrá solicitar que tanto el consentimiento expreso, como la información relativa al tratamiento de sus datos, se realicen en su idioma nativo.
Ambas normativas reconocen el derecho a no ser objeto de decisiones automatizadas, en Ecuador, a través de su artículo 20 y el proyecto boliviano lo desarrolla en su artículo 22. Siendo este uno de los aspectos centrales en el debate de países que se encuentran en revisión de su normativa de protección de datos.
IV. Avances y desafíos
La experiencia internacional indica que los principales desafíos en la protección de datos personales se encuentran en la implementación de la legislación.
Siendo que, tanto la LOPDP aprobada en Ecuador y el anteproyecto de ley en Bolivia, requieren desarrollo normativo, se ha identificado que en ambos escenarios será necesario:
La garantía de los derechos constitucionalmente reconocidos debe encaminarse hacia una, adaptación, adecuación y sanción a través de la aprobación de un Reglamento que implica el entendimiento profundo de la estructura de la Ley, que la desarrolle de manera integral y que armonice cubriendo vacíos normativos.
De manera previa a la entrada en vigor de un régimen sancionatorio de protección de datos, ambos países requieren una institucionalidad, la autoridad de control, que genere procesos de capacitación, lineamientos y estándares en torno a la protección de datos. A la entrada en vigor del régimen sancionador, las personas naturales y jurídicas deberán contar con procesos de control totalmente definidos y planificados.
Dicha institución, deberá contar con una autonomía funcional, financiera y operativa que le permita ejercer las funciones que le delegue la Ley para evitar la injerencia de entidades públicas o privadas.
Resulta de importancia contar con la reglamentación específica, en ambos contextos, que permita tener no solo un panorama más claro al respecto de la implementación de la norma, sino también una definición taxativa sobre casos donde en los que la ley debe aplicar el tratamiento de datos personales y así aclarar límites entre datos personales e información de acceso público.
Se identifica el factor social como uno de los retos más importantes, ya que las y los ciudadanos deben tomar conciencia sobre el uso de los datos personales en todas las esferas. La privacidad puede verse afectada por el intercambio ilegítimo y desmedido de información personal.
Es esencial realizar un estudio del valor, trascendencia y transversalidad de los datos personales, ya que no solamente se consideran relevantes para el diseño y arquitectura de tecnologías de comunicación; sino que son esenciales para la efectividad del ejercicio de derechos fundamentales, así como para la toma de decisiones en las esferas pública y privada, definición de estrategias, la satisfacción de necesidades, el impulso de procesos de innovación, la prestación de servicios, entre otros.
La falta de diligencia en el tratamiento de datos personales compromete la gestión pública, privada y los derechos constitucionales de las personas naturales. Es por eso, que los Estados tienen el mandato de adecuar mecanismos para el uso adecuado de datos personales. Esto tendrá que reflejarse en una normativa especializada que regule la recopilación, almacenamiento, uso, comunicación y transferencia de datos personales con la finalidad de asegurar la innovación, el desarrollo económico y flujo adecuado de la información.
Finalmente, se puede considerar que las normativas, tanto ecuatoriana o boliviana, logran dar respuesta a las cuestiones planteadas en la región, en países que se ha dado a la tarea de evaluar sus normas de protección de datos y hacerlas más acordes al contexto actual. En ese sentido, se cuenta en gran medida con el marco conceptual y normativo para dar respuesta a las necesidades crecientes en torno a los datos personales, queda pendiente la voluntad política para que, en el caso de Ecuador, su reglamento desarrolle de manera idónea los mecanismos previstos en la Ley y, en el caso de Bolivia, sus autoridades legislativas prioricen esta necesidad tan propia de un contexto altamente digitalizado.