Fabrizio Peralta: "CNT debe responder si con HealthBird trataron datos personales"
El Superintendente de Protección de Datos habló sobre su rol y el riesgo al usar información sensible de afiliados al IESS
Desde el viernes 19 de diciembre del 2025, la Corporación Nacional de Telecomunicaciones (CNT EP) tendrá 10 días hábiles para contestar a la Superintendencia de Protección de Datos si, en el marco del contrato con HealthBird, hubo tratamiento de datos personales y en qué categorías, y si además se realizó una transferencia internacional. Los datos personales de salud son considerados sensibles por su uso.
Que no han accedido a los datos personales, es decir, a información sensible de los ecuatorianos, ha sostenido HealthBird. Sin embargo, por la falta de transparencia en el acuerdo comercial entre la Corporación Nacional de Telecomunicaciones y el Seguro Social (IESS), en el que iba a intervenir la ‘startup’, interesa saber el rol de la Superintendencia de Protección de Datos.
¿Es real que HealthBird no está registrado en la Superintendencia de Protección de Datos, como afirmó Viviana Veloz, de la RC?, le preguntó EXPRESO a Fabrizio Peralta Díaz, su titular. Esto respondió:
"Una precisión: en el Reglamento General de la Ley de Protección de Datos Personales, vigente desde fines de 2023, se señala que aquellos responsables o encargados del tratamiento de datos personales que no estén domiciliados en Ecuador, que no tengan una sucursal pero que traten (usen) datos de ecuatorianos, tienen la obligación de contar con un apoderado especial, para canalizar solicitudes de ejercicio de derechos que podrían tener los ciudadanos ecuatorianos".
Entonces, ¿qué pasó con HealthBird?
HealthBird no ha registrado apoderado en Ecuador. No tengo respuesta a la pregunta de si la empresa está tratando o no datos de ecuatorianos.
¿Qué implicaciones legales podría tener una empresa que iba a tratar datos de cuatro millones de afiliados y jubilados, por no tener apoderado?
Hay limitaciones para sancionar a una empresa extranjera. La norma alcanza nuestro territorio. En Estados Unidos no hay una autoridad central que trate el tema, para pedir una cooperación internacional. En Europa existen autoridades de protección de datos personales.
Cuando estalló el caso HealthBird, ¿hicieron alguna consulta de oficio o fue por el pedido de la legisladora?
El pedido de las asambleístas (Viviana) Veloz y Cristina Jácome gatilló un proceso. A diferencia de lo que pasa con otras superintendencias, no supervisamos a una entidad que va a hacer un tratamiento de datos personales, no tienen que pedirnos permiso.
La responsabilidad proactiva y demostrada es del sujeto regulado. Hace dos semanas, el tema fue ‘in crescendo’. El martes 16, en un memorando, pedí que el intendente de Regulación y Control de la Superintendencia solicite información a CNT y también a HealthBird S. A. S., establecida en Ecuador.
¿Qué le han respondido?
Ayer por la tarde (miércoles 17 de diciembre) he recibido un pedido de CNT para que ejerzamos una acción de control sobre ese acuerdo comercial que fue suscrito. Como alcance a ese oficio, le remití al intendente ese oficio, para que realice el requerimiento de información a HealthBird y CNT.
¿Qué le piden a CNT?
Que se confirme si con ocasión de la suscripción del acuerdo comercial o en su eventual ejecución o aplicación posterior, se ha llevado a cabo algún tratamiento de datos personales en los términos definidos en la Ley Orgánica de Protección de Datos Personales.
Si la respuesta es sí, pedimos precisar las categorías de datos personales objeto del tratamiento, que se identifiquen las actividades de tratamiento realizadas o previstas en el marco de ese acuerdo, que se especifique si se pensaba hacer transferencia de datos internacionales, etc.
¿Qué son datos sensibles en temas de salud?
La Ley Orgánica de Protección de Datos Personales, en el artículo 4, definición 11, establece que datos sensibles son los relativos a etnia, identidad de género, identidad cultural, religión, ideología, filiación, orientación sexual, pasado judicial, condición migratoria, salud, datos biométricos...
¿Por qué los datos personales de salud son sensibles?
En la medida en que al usarlos no se revista de un tratamiento técnico, tecnológico, jurídico, su eventual filtración puede conllevar gran riesgo para titulares. Podrían afectar libertades individuales.
Por ejemplo...
(Le planteo) una hipótesis. Suponga que terceros no autorizados accedieran a esos datos y llegaran a una empresa de seguros. Imagínese que le ponen una prima anual impagable por una preexistencia o no le cubren enfermedades asociadas.
Hablando de HealthBird, ¿se debió tomar un recaudo porque iban a desarrollar una plataforma tecnológica para citas médicas?
No necesariamente, cualquier desarrollo tecnológico tendría que ser frenado por la normativa de protección de datos. Si van a crear un software para agendamiento de citas médicas, parto de privacidad por diseño y defecto. Desde la concepción del proyecto, como se usarán datos sensibles, podrían tener incardinados mecanismos para evitar una vulneración. Pero eso no pasa por una autorización de la Superintendencia.
Como ciudadanos, y en este caso como afiliados al IESS, ¿qué ente protege que los datos no estén expuestos a un mal uso?
El responsable del tratamiento, la persona natural o jurídica que decide qué tipo de datos va a usar. Puede buscar a un tercero para cumplir una determinada actividad de tratamiento, suscribir un contrato de encargo de datos personales; se establecen una serie de estipulaciones tendientes a proteger los datos objeto del tratamiento; medidas técnicas, organizativas, jurídicas.
¿Ustedes no están a cargo?
La Superintendencia tiene limitada capacidad de acción porque en la parte sustantiva, que atiende la misión, solo somos nueve personas. La institución hace una actividad de control aleatoria, no puede ser exhaustiva.
¿La reserva o candado por 15 años puesto en el contrato con HealthBird evitará que ustedes sepan si se usaron datos personales de afiliados?
Son dos cosas diferentes. Nosotros no revisamos contratos. Eso no afectaría nuestra gestión.
¿Cuándo CNT debería contestarles?
Les hemos dado un plazo de 10 días hábiles, que se cuentan desde el viernes 19.
¿Quién es Fabrizio Peralta Díaz?
Guayaquileño, de 50 años. Es el superintendente de Protección de Datos. Doctor en Derecho, máster en Estudios Estratégicos y Seguridad Internacional. Ha cursado programas de posgrado en liderazgo para la transformación, gobernanza, liderazgo político y derecho digital. Fue asesor de la Secretaría Jurídica de la Presidencia de la República y de la Cámara de Comercio de Guayaquil.
