El 26 de mayo de 2021, se publicó la Ley Orgánica de Protección de Datos Personales. A pesar de la existencia de normas dispersadas a través del ordenamiento jurídico ecuatoriano, esta es la primera ley específicamente destinada a la regulación del tratamiento y protección de los datos personales en Ecuador. Esta fecha marcó, no sólo la entrada en vigor de la ley, sino también el nacimiento de una nueva rama del Derecho para el país. Resulta fácil de comprender que la aplicación de la ley, particularmente en sus primeros años, tendrá que enfrentar diferentes obstáculos y retos.
Un primer reto será la creación de la autoridad de control. Al respecto, la ley dispone que el ente de control será el superintendente de protección de datos. Gran parte del éxito en la aplicación de la ley dependerá de una buena conformación de la nueva superintendencia que, liderada por el superintendente, deberá actuar de forma técnica, profesional y no con criterios políticos o ideológicos. Con mayor razón al considerarse que corren tiempos de austeridad en el gasto público, esta conformación deberá ser muy bien planificada.
Otra de las principales dificultades será la preparación y entendimiento de los asesores en la materia, así como el conocimiento de la ley por parte de los responsables y encargados del tratamiento de los datos personales. La tecnificación de asesores será fundamental para evitar implementaciones reduccionistas que desvirtúen el auténtico cumplimiento legal. Ahora bien, cumplir este objetivo tomará tiempo y está, además, vinculado a factores externos como el desarrollo de la normativa secundaria que emita la autoridad de control, la existencia de jurisprudencia y precedentes administrativos, entre otros. Es importante decir que existe una relación directa entre la tecnificación de la autoridad con la de los asesores; así, un ente de control técnico facilita y acelera la correcta asesoría que, a su vez, se traduce en un mejor conocimiento de la ley por parte de los responsables y encargados.
No se puede dejar de mencionar que será de vital importancia el rol que cumplan los delegados de protección de datos quienes serán la primera línea de socialización y custodia de la ley pues asesorarán precisamente a los responsables cuyas actividades reciben un mayor impacto por parte de esta ley. La definición del perfil, requisitos y prohibiciones de los delegados es uno de los asuntos más importantes a desarrollarse en el reglamento de aplicación de la ley y la posterior normativa secundaria. Al respecto, se debe equilibrar la exigencia técnica y de experiencia profesional con la necesidad de contar con un número suficiente de delegados.
Finalmente, es posible que el mayor obstáculo para la ley sea el cambio cultural que esta supone. Muchas de las prácticas requeridas por la ley constituyen ejercicios poco comunes. Por mencionar algunos de estos: la realización de análisis sistemáticos de riesgos, las evaluaciones de impacto, la comunicación a clientes de filtraciones y fugas de información, la creación de políticas y procesos que sean comunicados de manera sencilla y transparente a usuarios y clientes, entre otros. La legislación de protección de datos personales no puede tomarse como un mero listado de obligaciones estandarizadas que pueden ser replicadas universalmente; al contrario, se requiere de un monitoreo constante y personalizado que lleve a acciones creadas para la protección y el correcto tratamiento de los datos personales. Más aún, la ley busca que los responsables alcancen un punto en el que las políticas y acciones para proteger y tratar los datos personales no sean simplemente el resultado natural de sus procesos, sino que dichas políticas y acciones sean parte del diseño, de la concepción de las actividades del responsable antes de que se lleven a cabo.
A la luz de estos retos y obstáculos, considerando que ya ha entrado en vigencia la ley, resulta evidente que no hay tiempo que perder para cumplir con la misma. (O)
