Debemos partir de la premisa que la protección de datos que se configuran como personales han estado en cefalea dado que, no ha existido normativa que apalanque el desarrollo de proteger los datos, por ello surge la necesidad de publicar el 26 de mayo de 2021 la denominada Ley Orgánica de Protección de Datos Personales, a partir de la publicación el país asumió un gran reto que permita transversalizar lo público con lo privado como un verdadero sistema, en especial con la necesidad y exigencia de la educación digital con el fin de alcanzar una verdadera ciudadanía digital.
Es necesario que se empiecen a modular particularidades regulatorias, dado que al momento se podría interpretar que la premura con la que se está desarrollando la creación de la Entidad de Control, reglamento y manuales sobre varios tópicos de índole técnico en ciberseguridad.
Redefinir un modelo en materia de regulación en el Ecuador
El Gobierno de turno tiene un reto monumental primeramente en comprender y contar con un El segundo desafío transversal que tiene el gobierno actual es entender y desarrollar totalmente diferente a lo trabajado en el país como cultura y costumbre hasta la fecha, dado que es novísima la ley en materia de datos personales y a la par crear instituciones especializadas en datos.
Durante el desarrollo de este texto está en marcha un proyecto de reglamento que ha sido desarrollado por parte del ejecutivo; sin embargo, no se ha logrado comprender cual es el verdadero modelo regulatorio sobre el manejo, las obligaciones y organismos de control que tengan la expertisse necesaria sobre aquellos que refieren a registros públicos.
Sin embargo, el punto de partida regulatorio, con el fin de poder incorporar las normas existentes que deberán si o si modular dentro de sus procesos y protocolos para acoplar lo mencionado en la nueva Ley, en nuestro país es un derecho fundamental constitucional, tomando en cuenta que la Ley ecuatoriana es un símil de lo mencionado del RGPD, por ello es muy parecida a la normativa europea, pese a que tiene sus particularidades; sobre esta ley hay algunas precisiones importantes que considero que deberían constar en el reglamento:
(1) la abstracción y flexibilidad;
(2) mínimos requisitos administrativos; y,
(3) control ex post.
1.-Abstracción y flexibilidad: la normativa cuando refiere a protección de datos personales, siempre que es de aplicación general tiende a ser abstracta y flexible por una necesidad derivada tanto de la consideración de los sujetos obligados como del tipo de materia que se regula; por ello es imperativa una normativa lo suficientemente abstracta y flexible, no excesivamente reglamentada, para que pueda aplicarse a organizaciones de los más diversos tamaños y tanto del sector público como privado.
La cuestión y preminencia de esta característica en materia de datos personales en una sociedad digital rápidamente cambiante y con realidades diversas, no puede regirse por una normativa excesivamente reglamentada. La abstracción y flexibilidad a la que reifero se reflejan en la aproximación centrada en el riesgo que es propia de esta materia, no solo que debería ser trabajada en función del riesgo asociado que conlleva y al tipo de tratamiento, sino que incluso ella misma manda a que el responsable del tratamiento adopte medidas para gestionar el riesgo asociado a las operaciones de tratamiento de datos personales que lleva adelante.
2.- Mínimos requisitos administrativos: El manejo de la carga administrativa que representará las notificaciones e información que se transmita a la Autoridad de Control de Datos Personales es un riesgo asociado a ésta última dado que, se trata de una entidad que tiene un amplísimo espectro de sujetos obligados y una materia casi ubicua (los datos personales están –casi en toda actividad económica).
Si se establecen en documentos que cree la Autoridad (manuales, normas técnicas, etc) corre el riesgo de una sobrecarga a la Autoridad pues se transformaría en procesos administrativos en muchos casos innecesarios, dado que su rol como tal es de vigilancia y control, pero iría en contra de su principal eje que es el de protección de datos personales, sumemos a eso uno de los principios jurídicos que es el de responsabilidad proactiva administrativa y demostrada que gobierna la protección de datos personales en Ecuador (art. 10. LOPDP) justamente fue concebido para “reemplazar o disminuir los requisitos administrativos “, especialmente los vinculados a notificaciones previas. En la construcción del reglamento se debe tener en cuenta este criterio y reducir al mínimo los requisitos administrativos.
3.- Control ex post: las actividades de control de parte de la Autoridad de Protección de Datos deben constar siempre como “ex post”, es decir, luego de que la actividad de tratamiento ha empezado. Este imperativo comparte su fundamentación con el anterior: un argumento de conveniencia y otro jurídico. También este criterio se deduce del principio de responsabilidad proactiva y demostrada. Los casos en los que es admisible un control ex ante son aquellos en los que hay un riesgo alto asociado al tratamiento, un ejemplo de lo dicho es aquello que refiere a la Evaluación de impacto del tratamiento de datos personales (art. 42 LOPDP).
Visión subjetiva.-
La configuración de la norma es el punto de partida, puesto que, esta ley en el anterior período presidencial fue varada mucho tiempo y de repente se la activó con una premura poco menos cuestionable, generando que se inobserven muchos detalles y se cometan muchos errores conceptuales garrafales (como referencias discordantes, párrafos incompletos, entre otras cosas), es más al sol de hoy existen hasta errores ortográficos, por ello en una sesión de la Asamblea Nacional histórica y al apuro se aprobaron 6 proyectos de ley, todo esto a pocos días de terminar su mandato, no hubo veto, sino que inmediatamente se lo publicó, pero es que es obvio no podía el presidente saliente permitir que su proyecto sea aprobado por el gobierno entrante, todo ello provocó a aprobar un texto normativo con errores que saltan a la vista con una lectura simple.
Ese error no debe cometer el actual gobierno para que el trabajo del instrumentalización del reglamento sea un trabajo solvente con actores de los diferentes fuertes que conforman la sociedad civil y que permitan moldear un verdadero modelo regulatorio.
Por lo mencionado, Ecuador continúa construyendo su sistema de protección de datos personales, para ello los responsables de desarrollar la regulación deben comprender y aplicar adecuadamente los criterios propios del modelo regulatorio que se asumió con la Ley Orgánica de Protección de Datos Personales, tomemos en cuenta que este modelo no es “inventado desde 0” por Ecuador sino que es inspirado por el RGPD y debe nutrirse de su experiencia y realidad, sin que esto quiera decir que deba copiar todas y cada una de sus disposiciones, un tema final que me gustaría mencionar es que este comentario no es sinónimo de una opinión que vincule hacia la normativa, sino solo un comentario que puede servir de reflexión a lo acontecido.