El próximo 26 de mayo culmina el plazo de dos años de gracia para que las empresas públicas y privadas de Ecuador se ajusten a la Ley de Protección de Datos Personales. Si se cumple dicho plazo y las compañías no se acogen a esta normativa, podrían recibir multas de hasta el 1 % de su facturación total. Para saber a fondo sobre la importancia de la protección de datos en las compañías, EXPRESO habla con Diego Bassante, Líder de Asuntos Gubernamentales y Regulatorios de IBM América Latina (empresa de tecnología y negocios internacionales).

¿Por qué la protección de datos debe ser un tema importante para las empresas?

Los datos pertenecen a las personas y debe ser transparente el objetivo para el cual las empresas los usan, por eso es importante que el titular de los datos personales manifieste su consentimiento para el tratamiento de los datos. La gestión responsable y segura de los datos debe ser igual, no puede variar de acuerdo con el lugar donde vive alguien o desde dónde accede a Internet.

A partir del 26 de mayo las empresas podrán ser multadas ¿Qué institución multará a las empresas?

Según la Ley, esto le corresponderá a la Superintendencia de Protección de Datos Personales

¿Cuál puede ser la multa o sanción?

Según la Ley de Protección de Datos Personales de Ecuador, una infracción leve podrá acarrear una multa de hasta 0,7 % de la facturación de una empresa, mientras que una grave podría llegar hasta 1 % de la facturación.

¿Qué empresas son más propensas a tener estas multas?

Las leyes de Protección de Datos, no solo en Ecuador sino en el resto de países, aplican para todas las empresas por igual.

¿A qué llamamos mal uso de datos y cuáles son las consecuencias?

Las consecuencias del mal uso o mal manejo de los datos personales son muchas, desde violación de la privacidad hasta ciberataques. Un caso muy común es la utilización de los datos para otros fines que no fueron declarados. Por ejemplo, cuando uno se está inscribiendo para un evento, que la empresa organizadora pide datos personales como el número de identificación, teléfono, dirección, correo electrónico, etc., y al poco tiempo no solamente comienzas a recibir publicidad de esa empresa a través del email o mensajes de texto, sino que te buscan otras empresas a partir de ese contacto que diste. Antes, no era transparente para uno como usuario, que esa base de datos, por ejemplo, se entregaría a terceros, pero con una Ley de Protección de Datos, las empresas deben ser explícitas en decir para qué se usarán los datos y además darle la opción a las personas de que elijan si quieren o no ser contactadas.

En estos dos años de gracia, de acuerdo a su percepción, ¿las empresas en Ecuador hicieron buen uso de la protección de datos?

Ecuador va por buen camino en este sentido porque, aunque la ley llegó un poco después que, en otros países, está marcando una hoja de ruta muy importante y da la relevancia que este tema requiere. Un estudio de IBM reveló que en América Latina el tiempo promedio de las empresas para identificar y contener una filtración de datos es de 331 días (251 para identificar y 80 para contener). Eso muestra que los ciberdelincuentes son cada vez más ingeniosos y sigilosos en su búsqueda de datos de las empresas. Desde IBM vemos positivamente que las empresas en Ecuador, sobre todo las grandes y de industrias tradicionales como banca, retail o telecomunicaciones, ya están acatando las Ley de Protección de Datos Personales, pero que además estén enfocadas en apostar por la ciberseguridad para resguardar los datos. Creemos que esto es un camino por fases, y la regulación marcará la cancha positivamente.

¿Qué recomendaciones les da a las empresas ahora que se termina la fecha de gracia?

Que vean la Ley de Protección de Datos Personales más allá de un requisito regulatorio, que la integren a su política corporativa como una oportunidad para generar confianza con los clientes o usuarios, pero también una oportunidad para formar nuevas alianzas y garantizar la seguridad en los procesos.

¿Cuáles son las recomendaciones para la ciudadanía?

Primero, cada vez que uno entrega sus datos, debe responder a la pregunta ¿realmente tengo que hacerlo y sé para qué los van a usar? Esto aplica también para los permisos que damos a una app. Si no estamos seguros, lo mejor es no aprobar el uso de nuestros datos. Segundo, no incluir información personal en nuestras contraseñas. Y pareciera sencillo, pero cuando hoy en día tenemos tantas cuentas, caemos en el error de repetir contraseñas y usar información personal y tres, evitar entregar información personal en redes sociales, aún más cuando nuestras cuentas están abiertas.

¿Cuál es el primer paso que deben dar las empresas que aún desconocen a fondo esta Ley para saber si están cumpliendo o no con ella?

Lo primordial es conocer a profundidad la Ley que entró en vigencia en 2021 en nuestro país y asesorarse de expertos, además de instruirse sobre buenas prácticas de otras empresas o de otros países. Anteriormente cuando hablaba de un cambio cultural, esto también aplica a nivel empresarial. Parte del éxito de la implementación de la Ley de Protección de Datos Personales es que todas las áreas y colaboradores de la organización sepan en qué consiste, cómo funciona y los beneficios que trae, porque no puede ser una adopción aislada sino integrada.