Pablo Solines Moreno es presidente de la Asociación Ecuatoriana de Protección de Datos y analiza la Ley Orgánica de Datos Personales (AEPD), que hace poco fue aprobada por la anterior Asamblea. Considera que el cuerpo legal aprobado en el pasado Gobierno sí representa un avance para el país, sin embargo, cuestiona ciertos detalles. La AEPD es uno de los colectivos civiles que colaboró en el análisis de este proyecto de ley.

Luego de tanta espera por una Ley de Protección de Datos Personales, ¿lo aprobado finalmente es lo que se esperaba?

Creo que lo que se ha aprobado es un gran logro para el país. Desde lo conceptual, recoge los principales elementos que una normativa de protección de datos debería tener. Sin embargo, tiene elementos de fondo que son bastantes cuestionables y que en definitiva debieron haber sido revisados por la Asamblea antes de ser enviada al Ejecutivo. Sin perjuicio de que haciendo un balance de lo obtenido frente a la situación actual del país, es innegable que el tener una ley de Protección de Datos en los términos en los que se aprobó, vendrá a cambiar definitivamente estas malas prácticas que se tienen con respecto al uso indiscriminado de datos personales y definitivamente vendría a procurar una mayor protección del ciudadano.

¿A qué se refiere cuando menciona que hay elementos en esta nueva norma?

Hay algunos elementos en los que la ley debió ser un poco más precisa y más cauta a la hora de regular. Por ejemplo, el tema de las fuentes accesibles al público. La ley comete un error al establecer como una base legitimadora el tratamiento de datos personales sobre aquella información a la que se puede llegar a través de fuentes accesibles al público. Este es un primer error de concepto, porque la ley no puede establecer como legítimo o legal el tratamiento no autorizado si es que estos datos son accesibles a través de fuentes públicas. Lo que se debió haber hecho es regular el tratamiento de esos datos, y no un régimen abierto e indiscriminado como actualmente establece la ley. Lo cual resulta peligroso. Más aún, considerando que las fuentes accesibles al público no están claramente definidas en nuestra ley. Un ejemplo, una foto en una red social, por el hecho de estar colgada en este sitio, puede ser considerada como fuente accesible y ser utilizada de manera indiscriminada.

¿Es factible aún revisar estas falencias en la ley?

Yo esperaba que a través del veto presidencial se corrigieran estos errores formales. Pero se la promulgó el 26 de mayo pasado, en los términos en los que la pasó la Asamblea.

Habrá que esperar dos años para que entre en vigor. ¿Esto no nos deja en la inseguridad digital durante ese lapso?

No, porque la ley realmente entra en vigencia desde su publicación en el Registro Oficial. Solo por el régimen sancionatorio -el que está previsto en la ley- es que habrá que esperar dos años. Esto tiene una connotación legal bastante importante, porque la ley al ser exigible y aplicable desde el día uno responsabiliza a las empresas, instituciones o personas que hacen tratamiento de datos personales por el mal uso de esta información. Es decir, que si vuelven a reincidir cuando ya esté la ley, se le suma la sanción. A esto se agrega que los ciudadanos pueden hacer valer sus derechos desde el día uno, por medio de otros mecanismos que ya existen en nuestra legislación.

¿La nueva norma restringe en algo la información de transparencia que deben publicar las instituciones públicas?

No. Más bien complementa el régimen de transparencia. La ley de Protección de Datos prevé la posibilidad de que cualquier tipo de información personal que tenga como fin satisfacer situaciones de interés público, obviamente, pueda ser tratada en la medida en que se vaya a cumplir con sus fines. Lo que hace la ley es obligar a las instituciones a hacer público todo el trabajo de su gestión. Es decir, viene a complementar, más que a restringir.

Y en término de castigo para los que infringen la ley... ¿las sanciones son ejemplarizadoras, como se había previsto inicialmente?

Creo que la ley en ese aspecto falló. El gran reclamo que hubo con respecto al proyecto original determinaba porcentajes de hasta el 17 % sobre el valor de ventas, era extremadamente alto que podría incluso llevar a la quiebra a muchas empresas. Pero finalmente terminó con multas del 0,7 % y el 1 % del volumen de negocios. Lo que debió haber hecho la ley era bajar estos porcentajes y plantear un esquema en el que se establezcan, primero, multas bases. No podemos olvidarnos que más del 90 % de empresas ecuatorianas micro o pequeñas empresas no llegan a una facturación de 100 mil dólares anuales. Entonces si es que se aplican sanciones hasta del 1 %, estamos viendo que a la gran mayoría se le va a aplicar una sanción de 1.000 dólares, lo cual no es ejemplarizador. Creo que esto debe ser revisado. En la región -países cercanos- tenemos sanciones que van del 2 al 3 %.

¿Considera que finalmente el país tiene una ley apropiada con los tiempos y proyectada a los cambios de la era digital?

Definitivamente sí. Esta ley es moderna. Vamos a contar con una ley que se adapta a las actuales circunstancias y necesidades de un mundo digitalizado. En donde se han contemplado una serie de elementos innovadores que se han discutido a nivel internacional, como es el tratamiento de datos, de diseños, así como el hecho de que se busque una aplicación extraterritorial de la norma y que no se restringe específicamente a las que están en el país.