Skip to main content

Más control, ahora en los datos personales

  • mh
    9 de octubre de 2016

¿Usted ese imagina una ley que le dé al Estado la potestad de regular y por tanto decidir sobre la administración de toda su información personal, financiera, académica y tributaria? ¿O que en esta ley se utilice un concepto médico como es el consentimiento informado para evitar que un medio de comunicación pueda elaborar el perfil de un candidato de elección popular? ¿O se imagina que, bajo el precepto de que el ciudadano debe decidir qué información hace pública y cuál mantiene en reserva, se impida a organizaciones de la sociedad civil hacer análisis comparativos de los patrimonios de las autoridades?
Pues la Ley Orgánica de Protección de los Derechos a la Intimidad y Privacidad sobre los Datos Personales no solo tendría esos alcances, sino que sería la llave para controlar las plataformas digitales, que hasta ahora no están reguladas por la ley de Comunicación, pues podrían ser dadas de baja cuando la autoridad gubernamental considere que constituyen “un riesgo cierto de afectación de derechos  constitucionales”.
Un proyecto de ley con esas características entró sin muchos aspavientos en la escena legislativa. Fue propuesto por la presidenta de la Asamblea Nacional, Gabriela Rivadeneira, y se encuentra para su análisis en la Comisión de Justicia que deberá elaborar el informe para primer debate.
Esta ley, de acuerdo con Rivadeneira, busca proteger el derecho de todas las personas a la intimidad y privacidad en el tratamiento de datos personales que se encuentren en bases o bancos de datos, ficheros, archivos, en forma física o digital, en instancias públicas o privadas. La propuesta contempla definiciones sobre la protección de datos personales, los derechos y obligaciones tanto de los titulares como de los responsables de la administración de datos o archivos. También se crea un registro de esas bases y las que no consten en esa lista no podrán ser utilizadas. Según el proyecto, la Autoridad de Protección de Datos Personales será la Dirección Nacional de Registro de Datos Públicos (DINARDAP) adscrita al Ministerio de Telecomunicaciones, y dirigida por Nuria Butiñá Martínez, amiga de Rafael Correa desde la adolescencia.

Imagen: En la Dirección Nacional de Registro de Datos Públicos (DINARDAP) está  Nuria Butiñá Martínez, quien eaparece en esta foto con el presidente Rafael Correa, su amigo de muchos años.
Los planteamientos del proyecto, que consta de 28 artículos y dos disposiciones transitorias, han despertado incertidumbre y hasta suspicacias en organizaciones de la sociedad civil y en la academia debido al amplio alcance observado en la redacción de muchos artículos. Se  advierte también la celeridad con que la Asamblea está analizando este proyecto de ley, en una coyuntura coincidente con la época pre-electoral
En un análisis realizado por el colectivo ciudadano Usuarios Digitales se enfatiza que la propuesta de ley da demasiadas atribuciones a la DINARDAP y la discrecionalidad con la que se podrían llevar estos procedimientos es un tema que debe debatirse antes de aprobarse el cuerpo legislativo.
Es un riesgo a criterio de Marcelo Espinel, coordinador general del Observatorio Legislativo, las nuevas facultades que se agregan a la DINARDAP en este proyecto.
Hay que recordar que la DINARDAP ya administra las bases de datos de todos los Registros Públicos: de la propiedad, mercantil, civil, societario, movimientos migratorios, crediticio, seguridad social…) y hasta define los programas informáticos para implementar el control cruzado de datos ciudadanos.
Estas potestades que ya tiene la DINARDAP, creada en el 2010 mediante la Ley del Sistema de Registro de Datos Públicos, han sido la base para generar una estrecha relación con el trabajo que realiza la Secretaría Nacional de Inteligencia (SENAIN).
¿Cómo se trasluce esa relación?
Tras su creación y subordinada a la Presidencia de la República, la SENAIN ha enfocado su actividad de inteligencia en políticos de oposición, organizaciones de la sociedad civil y periodistas. Es una institución que ha sido denunciada varias veces por figuras políticas que la han responsabilizado por supuestos seguimientos, grabaciones, espionaje digital con interceptación y adulteración de comunicaciones en varias plataformas y el monitoreo de actividades en redes sociales. Actividades que ha realizado sin ampararse en órdenes judiciales.
Una de las fuentes fundamentales de información para la SENAIN ha sido la DINARDAP que según la ley que la creó es la institución llamada a “consolidar, estandarizar y administrar la base única de datos de todos los Registros Públicos.” Y es así como todos los archivos de la información de los ecuatorianos se encuentran en el portal datoseguro.gob.ec., en el que e promociona que el ciudadano puede acceder a su información gracias a una clave única. Lo que no se dice es que quien maneja el sistema también puede hacerlo.
Hasta el 2012, burós privados de servicios financieros manejaban la información crediticia de sus clientes. Pero desde ese año y bajo el argumento de que no había regulación ni control a la administración de esos datos y que el ciudadano desconocía cuándo las entidades financieras la consultaban, la DINARDAP asumió la administración del Registro de Datos Crediticios y es la única dependencia pública que presta el servicio de referencias crediticias.  
A través de la información del Servicio de Rentas Internas (SRI) y el Registro de Datos Crediticios la DINARDAP puede acceder a detalles de consumo de cada ciudadano, pues tiene acceso incluso a sus facturas.
El mismo presidente Rafael Correa ha llegado a exhibir públicamente información de ciudadanos considerados opositores al régimen, almacenada en estos registros, como mecanismo de escarnio.
El 4 de agosto de 2015, el Portal Ecuador Transparente publicó 31 piezas distintas de información proveniente de la SENAIN, con fechas desde 2012 a 2014, que documentan el espionaje sistemático a políticos de oposición y activistas por parte del gobierno. Revise aquí los documentos de de la SENAIN.
Ecuador Transparente publicó las fichas de la SENAIN sobre los políticos opositores Mauricio Rodas, Mery Zamora y Andrés Páez; los ecologistas Matt Finer, Joke Baert, Sigmund Thies y Kevin Koenig; y la periodista María Josefa Coronel. Además, hay fichas de dos movimientos políticos — CREO y Yasunidos.
Entre los documentos publicados por el portal Ecuador Transparente también se encuentran peticiones de información sobre 16 ciudadanos ecuatorianos, realizadas por agentes de la SENAIN a la plataforma gubernamental datoseguro.gob.ec, estas peticiones de información no se fundamentan en investigaciones judiciales ni cuentan con la respectiva orden judicial. Las personas sujetas a esta investigación son empresarios, políticos y periodistas.
 Este es un ejemplo de las fichas de datoseguro.gob.ec en este caso de la abogada ambientalista Inés Manzano. Más fichas se pueden encontrar en https://ecuadortransparente.org/publicaciones/senain/ entrando a cada ficha del final y haciendo clic en “Ver Archivo Original”.
La veracidad de los documentos filtrados por la SENAIN fue indirectamente aceptada cuando la empresa española AresRights, en nombre de Rommy Vallejo titular de la SENAIN, interpuso una queja a greeenhost.com -hosting de Ecuador Transparente- solicitando que bajen estos documentos cuya autoría pertenecía a la SENAIN y constituían secreto de Estado. Revise el documento aquí.

ESTADO PRETENDE METER EN CINTURA A LAS PLATAFORMAS DIGITALES
El proyecto de Protección de Datos Personales tiene el potencial del que carece la ley de Comunicación: controlar a medios digitales.
La disposición que abre el camino para sacar del aire a un sitio web con el fin de invisibilizar determinados temas o datos es el tercer inciso del artículo 12 que faculta a la DINARDAP a “disponer el bloqueo total o definitivo de los sistemas de información cuando exista un riesgo cierto de afectación de derechos constitucionales, en caso de incurrir en infracciones contempladas en esta ley.
El colectivo Usuarios Digitales considera que es indispensable tener una reglamentación clara sobre la información personal que pueden manejar terceros, más aún en medio del acelerado crecimiento de las tecnologías de la información y comunicación. Sin embargo, advierte que esta premisa no puede ser un obstáculo para restringir la libertad de expresión y el flujo de información en la red.
En esta línea cuestiona que el proyecto dé un respaldo legislativo a la baja de contenidos en internet como: videos, publicaciones, informes, etc. que contengan datos sobre funcionarios públicos, cuando éstos debido a la labor que desempeñan están sujetos a mayor fiscalización ciudadana, de acuerdo a tratados internacionales de derechos humanos.

Imagen: La ley propuesta por Gabriela Rivadeneira quiere entorpecer el trabajo de los medios de comunicación online.
Por ejemplo si una plataforma digital de investigación periodística publica la formación académica de los políticos, estos podrían alegar que se están afectando sus derechos constitucionales al difundirse datos reservados. Con esta potestad el Gobierno ya no necesitará acudir a los derechos de Copyright, herramienta que ha usado en casi una decena de ocasiones para sacar del aire videos o fotografías referentes a la gestión oficial. En todos estos casos, la empresa que reclamó supuestos derechos de copyright fue Ares Rights, en representación del movimiento oficialista Alianza PAIS.
Hay otros casos también en redes sociales. Usuarios Digitales ha documentado cómo varias cuentas de Twitter fueron suspendidas, el mes pasado, luego de difundir información tributaria sobre el Embajador de Ecuador ante la ONU y ex Vicepresidente, Lenin Moreno, pese a que esta información está publicada en la página oficial del Servicio de Rentas Internas (SRI). También se ha registrado en varias ocasiones cómo altas autoridades del Estado, incluido el presidente Rafael Correa, han expuesto datos, o solicitado que otros lo hagan, sobre usuarios de redes sociales. Una experiencia reciente fue la exposición de domicilios y números de teléfono de miembros del portal digital 4Pelagatos.com.
Marcelo Espinel añade que el alcance de la DINARDAP para decidir el bloqueo de contenidos también se aplicaría a cualquier fundación u organización privada que haga investigación y control social.
Este proyecto de ley, presentado el pasado 12 de julio, por Rivadeneira también establece en su ámbito de acción que sus principios y disposiciones “serán aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturaleza pública o privada, en todo el territorio nacional”.
Espinel observa que en esta parte del proyecto hay una gran contradicción con el artículo 16 del mismo documento (referente a la inscripción registral)  que señala que “todas las bases o bancos de datos, ficheros o archivos, en forma física o digital de empresas e instituciones privadas con fines exclusivamente financieros y mercantiles deberán inscribirse en el Registro Nacional de Bases de Datos Personales”.  
Es decir, primero se menciona a cualquier base de datos y luego parece circunscribirse a las que tienen fines financieros y mercantiles. Aquí persiste la duda respecto a cuáles son las bases de datos que tienen la obligación de registrarse. La incertidumbre que generan estos artículos aumenta si se toma en cuenta que incumplir esta inscripción implica incurrir en una infracción leve, según establece el proyecto de ley.
Espinel grafica con un ejemplo su preocupación sobre el alcance de este articulado. El Observatorio Legislativo tiene un listado de los asambleístas con su condición académica que, de acuerdo con este proyecto, contendría datos reservados, por lo que no se podría difundir. Adicionalmente para tener esa información tendría que haber pedido autorización a los legisladores.
Se establece también que uno de los principios para administrar bases de datos debe ser la veracidad: “la recolección de datos personales deberá ser veraz y no excesiva; no podrá obtenerse por medios fraudulentos, abusivos o en forma contraria a la presente Ley”.
Pero Espinel cuestiona cómo y quién define qué es excesivo y qué no lo es. Lo excesivo es un parámetro demasiado amplio, pue si se publican los datos referentes a la formación académica de un asambleísta desde la escuela hasta la actualidad, puede ser que a criterio del legislador es excesivo y objete esa información.
El proyecto establece también el principio de consentimiento informado que señala que “el titular de los datos (personales) deberá prestar su consentimiento libre, expreso, previo e informado para su entrega. Se exceptúan los datos que provengan de fuentes públicas de información; los que se recaben para el ejercicio de funciones propias de las instituciones del Estado; los que deriven de relaciones contractuales, científicas o profesionales del titular de los datos y sean necesarias para su cumplimiento; y, se realicen por personas naturales para su uso personal o doméstico”.
En el análisis de Usuarios Digitales se considera que es indispensable especificar el tipo de consentimiento ya que se da lugar a muchas interpretaciones. “Sería necesario puntualizar que el consentimiento será únicamente por escrito, con un poder notarial, etc. debido a que la mera expresión consentimiento puede referirse a algo verbal sin poder vinculante alguno”.
Pero el problema es que en la definición de los datos personales se menciona que estos son  “cualquier información de una  o varias personas naturales identificadas o identificables, como son: nombre y apellido, fecha de nacimiento, dirección domiciliaria, correo electrónico,  número de teléfono, número de cédula, matrícula vehicular, información patrimonial e información académica o cualquier otra información vinculada con la identidad del titular”.
Esto se contradice con las excepciones previstas para la información que requiere consentimiento informado, pues datos como la matrícula vehicular o la formación académica provienen de fuentes públicas de información.
Hace seis meses la Asamblea aprobó la Ley de Declaraciones Patrimoniales con lo que todas las declaraciones de los funcionarios del Estado se volvieron públicas. Pero con esta propuesta de ley no se podrá hacer un análisis comparativo de los patrimonios de los legisladores, pues la Contraloría que es la custodia de esta información podría negar el acceso a la misma aduciendo que según este proyecto, ese es un dato personal que requiere el consentimiento del titular.
Espinel recuerda que llamó mucho la atención cuando se aprobó la Ley patrimonial. No obstante, se la consideró como un gran avance incluso a nivel regional, pero ahora afirma que “con la jerarquía normativa se comieron la ley de declaraciones patrimoniales”, pues el proyecto de protección de datos personales está planteado como ley orgánica y define que la información patrimonial puede ser confidencial. Mientras la ley patrimonial es ley ordinaria, es decir, es una norma inferior.
En otras palabras esto es otra evidencia de los golpes de efecto que en su momento da el oficialismo legislativo para generar la imagen de transparencia, pero luego legisla para anular toda posibilidad de transparentar la información.
Tal como están definidos los datos personales en el proyecto, la Secretaría de Educación Superior Ciencia, Tecnología e Innovación (SENECYT) tendrá que cambiar su página web para que el público en general no pueda conocer le récord académico de cualquier persona, inclusive un funcionario público.
Otro tipo de información que requiere el consentimiento informado es el de datos sensibles. Se los considera así a las características físicas de la persona que revelan el origen racial y étnico, las convicciones ideológicas, filosóficas o morales, las opiniones políticas, creencias religiosas, los datos genéticos, la información referente a la salud y a la vida sexual o cualquier otro dato vinculado con la intimidad del titular”.  El proyecto establece que tratar datos sensibles, sin consentimiento expreso del titular es una infracción grave.
Esto significa que si una organización de la sociedad civil, sea una universidad, un medio de comunicación o cualquier entidad quiere exponer informaciones y/o análisis en las que se evidencien cómo un político estuvo afiliado a determinado partido hace  20 años, luego perteneció a otro y ahora establece acuerdos con otra tienda política,  se estaría difundiendo sus convicciones ideológicas que son datos sensibles y por lo tanto quien elabora ese material se expondría a eventuales sanciones que establece el proyecto de ley, si no cuenta con el consentimiento informado del personaje.
Espinel concluye que las definiciones de datos personales y de datos sensibles terminarán convirtiendo lo público en privado y lo privado en público porque la información patrimonial, académica, de convicciones ideológicas o temas políticos deberían ser públicos para que los ciudadanos puedan hacer el escrutinio a los funcionarios estatales, pero al catalogarla como privada se impide el derecho no solo a la libertad de prensa, si no a que los ciudadanos puedan ejercer su derecho al control social.
Otras perlas del proyecto: la definición de protección de datos personales faculta a que el dueño de estos decida a quien entrega su información, cómo y para qué. “Este derecho permite acceder, rectificar, cancelar y oponerse al tratamiento de su información personal”.


"Esta disposición abre otra puerta para que un político pueda oponerse a que el medio de comunicación publique su trayectoria


Con el mismo ejemplo del perfil de un candidato, esta disposición abre otra puerta para que el mencionado personaje pueda oponerse a que el medio de comunicación publique su trayectoria política.
Esto se complementa con lo que establece el artículo 8 en relación a las obligaciones del responsable del tratamiento de la información donde consta “la facultad y modo de ejercer los derechos de acceso, rectificación,  actualización y supresión de los datos que le confiere la presente Ley”.
Es decir, un medio de comunicación que procese información de un funcionario público deberá explicarle a este que si no está de acuerdo con la difusión de alguno de sus datos personales  puede exigir que se corrija la información que a su criterio está incorrecta o mal presentada.
A criterio de Espinel este tipo de normas es aplicable para fines comerciales. Por ejemplo, cuando las instituciones financieras no registran bien la dirección de un cliente, su número de teléfono o cuando el cliente no quiere que le envíen información, entonces tiene la potestad de exigir que se le elimine de la base de datos del banco.
Pero no se puede extender estas prácticas al ámbito de organizaciones de la sociedad civil o de los medios de comunicación, pues de esta forma se neutralizan los mecanismos de contrastación y verificación y habría que confiar en lo que el titular de la información permita que se divulgue. Así podrían considerarse datos reservados hasta las declaraciones de impuestos.
También debe informarse al dueño de la información, antes de recabarla, “las consecuencias que se deriven de proporcionar los datos, por la negativa a hacerlo o por la inexactitud de los mismos”. Si no se cumple con esto, se estaría cometiendo  una infracción leve, según la ley.
Sin embargo, Espinel observa que no es posible saber cuáles son las consecuencias de difundir información política, académica o patrimonial de algún funcionario público o político. Así como tampoco se puede conocer qué reacciones puede generar en la opinión pública o en las autoridades.
El proyecto establece en qué casos se puede obligar a entregar datos sensibles. Uno de ellos es cuando el tratamiento de los datos tiene una finalidad estadística, científica o académica”. Pero la propuesta dice también que “en este evento deberán adoptarse las medidas conducentes a la supresión de identidad de los titulares”.
Si bien debe darse protección a la identidad de las personas que padecen, por ejemplo,  enfermedades catastróficas, la prohibición de revelar la identidad no puede extenderse a temas políticos y esas aclaraciones deberían constar de forma explícita en la ley. De lo contrario, Espinel puntualiza que en términos informativos significaría que si se quiere hacer un análisis de la ideología política de los candidatos a la presidencia de la República y su filiación política en la última década, el estudio debería circunscribirse a mencionar generalidades, como este dato hipotético: “un 70% de ellos estuvieron en  6 partidos políticos a lo largo de su trayectoria”. Pero deberán obviarse nombres y apellidos de quienes pudieron haber protagonizado los denominados camisetazos.

Las sanciones pueden llegar al ámbito penal
Las sanciones previstas en el proyecto las impondrá la DINARDAP y el Ministerio de Telecomunicaciones.
Las cinco penalidades son: amonestación por escrito, multa de uno a diez salarios básicos unificados, inmovilización de las bases o bancos de datos, ficheros o archivos, retiro temporal de las bases o bancos de datos, ficheros o archivos y retiro definitivo de las bases o bancos de datos, ficheros o archivos. No obstante, las sanciones no se quedan en estos ámbitos, el proyecto de ley abre una puerta directa a la aplicación de sanciones penales. Es decir, luego de que el ministro de Telecomunicaciones resuelva en última instancia los recursos de apelación que se presenten a las sanciones administrativas, la DINARDAP puede remitir el proceso a la Fiscalía.
En el artículo 28 donde se mencionan los procedimientos que deberá seguir la DINARDAP para aplicar las sanciones se determina que “en caso de verificarse la posible existencia de infracción penal, la Autoridad Nacional de Protección de Datos Personales comunicará a las autoridades penales correspondientes para su debida investigación”.
El artículo 178 del Código Integral Penal (COIP) establece que “la persona que, sin contar con el consentimiento legal, acceda, intercepte, examine, retenga, grabe, reproduzca, difunda o publique datos personales, mensajes de datos, voz, audio y vídeo, objetos postales, información contenida en soportes informáticos, comunicaciones privadas o reservadas de otra persona por cualquier medio, será sancionada con pena privativa de libertad de uno a tres años”.
Si bien el COIP establece que estas sanciones no se aplican a la información pública y la Ley  de Transparencia y Acceso a la Información Pública (artículo 5) garantiza el derecho del acceso a la información pública, con este proyecto de protección de datos personales quedará la duda de qué se considera información pública.
Marcelo Espinel cuestiona que en este proyecto de ley no se establece claramente que hay información que seguirá siendo pública como las declaraciones patrimoniales, las declaraciones de impuestos, la formación educativa, los antecedentes políticos. “Estas excepciones deberían ser explícitas para garantizar la participación ciudadana.”
Sin embargo, la proponente del proyecto, Gabriela Rivadeneira ha asegurado que “en ningún momento esta propuesta restringirá datos de funcionarios públicos. Por el ejercicio de sus funciones, los datos de los funcionarios públicos son de carácter público”.  También el Artículo 18 de la Constitución determina  como un derecho de todas las personas, sea en forma individual o colectiva, el acceder libremente a la información generada en entidades públicas, o en las privadas que manejen fondos del Estado o realicen funciones públicas.
Ha dicho además que “cualquier interpretación que sugiera que este proyecto puede entorpecer investigaciones periodísticas o judiciales o que pretenda esconder datos, no solo es malintencionada sino completamente falsa”.
Pero esta ley termina siendo un gran peligro para los ciudadanos en general y los medios de comunicación porque el único que tendrá el manejo de las bases de datos personales será el Estado y según Espinel eso le permitirá realizar una cacería de brujas sobre ciudadanos que considere molestosos.
Además, si este proyecto fuera aprobado antes de diciembre, entrará en vigencia en enero o febrero, en plena etapa electoral. Aquí la interrogante es qué contenidos se podrán difundir en campaña electoral?

* Infracciones Leves
1. No inscribir el banco de datos en el Registro Nacional de Bases de Datos.
2. Recoger    datos   de  carácter  personal    sin  proporcionar    Ia  debida información conforme con lo establecido en el articulo 8, numeral 2, de esta Ley.
3. Mantener  datos de carácter personal  inexactos, pese a solicitud de rectificación  de los mismos.        ;
4. Mal manejo administrativo del archivo y tratamiento de bases de datos.
*Infracciones graves:
1. Recoger datos en forma engañosa o fraudulenta
2. Recabar y tratar datos sensibles, sin consentimiento expreso del titular y no guardar la respectiva confidencialidad.
3. Crear bases o bancos de datos, ficheros y archivos con datos sensibles.
4. No  atender  Ia  solicitud  del  titular  de  los  datos  o  de  !a Autoridad  Nacional  de Protección de Datos Personales sobre !a supresión, rectificación y actualización de los datos personales cuando legalmente proceda.
5. Realizar transferencia temporal o definitiva de datos de carácter personal hacia el extranjero, que hayan sido recogidos u objeto de tratamiento, con destino a organismos gubernamentales, organismos internacionales, ONG, empresas transnacionales públicas y privadas y cualquier otra entidad que no proporcionen ningún nivel de protección, de acuerdo con las normas regionales o internacionales correspondientes.
6. Obstruir las funciones que por esta Ley se le reconoce a !a Autoridad Nacional de Protección de Datos.
7. Tratar los datos d carácter personal de un modo que lesione, violente o desconozca los derechos a la intimidad, imagen, identidad y honor;: así como cualquier otro derecho de que sean titulares las personas naturales.      
8. Obstruir   las  funciones   de   vigilancia   y   control   de   Ia,,' Autoridad   Nacional   de Protección de Datos.
9. Crear bases o bancos de datos, ficheros, archivos, en forma física o digital sobre datos personales sin el cumplimiento de los requisitos establecidos en esta Ley.
10. Iniciar  el tratamiento  de los  datos  de carácter  personal  o  usarlos  conculcando principios y garantias determinadas en Ia Constitución y en esta Ley
11.  No  guardar  Ia  debida  confidencialidad   sobre  los  datos  de  carácter  personal incorporados a bases o bancos de datos, ficheros y archivos
12.  Reincidir en cualquier infracción leve.

*Sanciones:
1. Amonestación por escrito.
2. Multa de uno a diez salarios basicos unificados.
3.   Inmovilización de las bases o bancos de datos, ficheros o archivos.
4.   Retiro temporal de las bases o bancos de datos, ficheros o rchivos.
5.    Retiro definitivo de las bases o bancos de datos, ficheros o archivos.

MilHojas.is