Manuel, ahora de 66 años, gestionó una tarjeta de crédito en un banco nacional hace aproximadamente un año. Ni siquiera alcanzó a sacarla del sobre sellado en el que vino cuando le llegó una notificación de un consumo de $ 500 en la tienda online de una compañía local de insumos deportivos.

El banco se encargó de entregarle la tarjeta en su domicilio mediante un courier, y el sobre estaba intacto.

Publicidad

Enseguida bloqueó la tarjeta. El banco le devolvió su dinero, pero él decidió cancelar el plástico. No quiso asumir riesgos.

¿En dónde puedo realizar la denuncia si siento que se han vulnerado mis datos personales?

Su hijo Fernando también sufrió vulneración de una de sus tarjetas recientemente.

Estaba reunido con sus amigos cuando le llegó un consumo de $ 15 en una aplicación de entrega de comida. Fernando pensó que se trataba de un pedido realizado por su expareja, ya que lo ordenado coincidía con uno de los platos preferidos de su anterior novia.

El caso de Manuel, según el abogado José Paúl Mendoza, podría ser sancionable bajo el régimen de multas establecido por la Ley Orgánica de Protección de Datos Personales (LOPDP), que busca el buen manejo de la información en organizaciones públicas y privadas.

Publicidad

La ley define datos personales como detalles financieros y bancarios, direcciones, números de teléfono, registros médicos y laborales e incluso información genética.

‘Bórreme de la base de datos’, una salida ante llamadas insistentes de ventas y promociones

Uno de los referentes de la LOPDP es el Reglamento General de Protección de Datos, legislación impuesta por la Unión Europea. Fue justamente en uno de los países de esta alianza, España, donde esta semana arrestaron a 34 personas que se dedicaban a vulnerar bases de datos y estafar a gente con la información recopilada.

Lograron reunir aproximadamente tres millones de euros de esta manera. La policía española estima que lograron timar a aproximadamente 4 millones de personas en total.

Los delitos informáticos se han incrementado en Ecuador desde la pandemia del COVID-19, que aceleró la digitalización de trámites bancarios y otras operaciones, como ordenar comida y pedir taxis.

El delito de estafa, por ejemplo, aumentó de 17.683 casos en 2019 a 22.375, en 2022, según datos de la Fiscalía General.

Mendoza explica que el banco de Manuel podría ser responsable de la filtración de sus datos financieros en el caso de que una investigación determine que hubo un mal manejo de su información cuando estaban bajo custodia de la institución.

Sin embargo, otras personas intervienen en la entrega de una tarjeta a un domicilio, como el servicio de courier que se la llevó a Manuel. Si esa persona hubiera tomado la información financiera del afectado antes de entregarla, eso eximiría de responsabilidad al banco, de acuerdo a Mendoza.

“Si es que se determina que hubo una filtración a cargo del banco, esta persona podría ir a denunciar a Fiscalía, porque hubo un uso no autorizado de fondos privados, tal vez un tema de receptación ilegal de bases de datos o protección de datos personales, porque los datos financieros también son considerados datos personales (...). Incluso tuvieron que haber visto los datos de la persona para hacer el consumo”, dice.

La ley también ofrece protecciones especiales a la información perteneciente a personas con discapacidades, de salud y de menores de edad.

Vianna Maino, ministra de Telecomunicaciones, explicó en un evento el pasado viernes que la ley busca “promover el uso ético de la información” y que pretende equilibrar los avances tecnológicos con la privacidad.

Sin embargo, faltan algunos elementos para la aplicación de la norma en su totalidad: todavía no está formada la Superintendencia de Protección de Datos, que se encargará de imponer las sanciones descritas por la ley y aplicar medidas correctivas en caso de mal manejo de datos de un usuario.

Que no exista el ente regulador estipulado por la norma, sin embargo, no significa que las empresas no deban planificar alrededor de lo que dice la ley, según Mendoza. Las alternativas van desde registrar actividades de tratamiento de datos, medidas administrativas y de cifrado de información donde sea necesario, y garantizar el anonimato de datos que son de naturaleza sensible.

Además de que no está conformada la Superintendencia, el Ejecutivo tampoco ha aprobado el reglamento de la ley, aunque el Ministerio de Telecomunicaciones presentó un proyecto del mismo a inicios de 2022. La LOPDP entró en vigencia en el Registro Oficial en mayo de 2021.

Algunas de las infracciones leves que detalla la ley, como no tramitar peticiones o quejas de los propietarios de los datos, podrían costarle una multa de 0,7 % de la facturación anual a una empresa que trate datos.

Las faltas graves pueden acarrear una sanción económica de hasta el 1 % de su facturación. Se consideran infracciones graves a acciones como no realizar evaluaciones de impacto del tratamiento de datos, utilizar información para fines distintos a los que se le informó al usuario y ceder datos a terceros sin el consentimiento de la persona titular de la información.

Uno de los ejes centrales de la LOPDP es el consentimiento del dueño de la información para el uso de sus datos, aunque Lorena Naranjo, exdirectora del Registro Nacional de Datos Públicos, explica que una empresa, por ejemplo, puede tratar datos sin el consentimiento del titular para cumplir obligaciones contractuales o de ley, entre otras instancias, denominadas criterios de legitimación.

“Uno de esos criterios es el consentimiento. Otro puede ser un contrato o interés vital”, además del cumplimiento de órdenes judiciales.

¿Existe protección de nuestros datos personales?

Pone de ejemplo la obligación por ley de registrar a todos los niños recién nacidos en el Registro Civil. “En ese no se necesita firmar ningún consentimiento”, pues se cumple con una obligación legal, afirma.

El consentimiento, indica Mendoza, es la “piedra angular” en el tratamiento de datos personales, porque da el permiso expreso del titular para el trato de su información personal.

Aparte de regirse a un sistema de posibles sanciones e implementar un delegado de protección de datos, las empresas también deberían realizar otros cambios para cumplir con los mandatos.

Mendoza recomienda revisar condiciones contractuales, los tipos de datos que trata la empresa y qué tipos de personas son dueños de esa información, así como identificar en qué procesos se trata con datos de clientes, trabajadores y de posibles clientes o prospectos.

Revisar los protocolos de seguridad también es importante para evitar vulneraciones de bases de datos, por ejemplo, además de saber cómo reaccionar ante una posible filtración.

Fiscalía toma versión de exfuncionarios de Novaestrat sobre filtración masiva de datos

Ecuador ya sufrió una masiva en 2019, cuando los servidores de la empresa Novaestrat fueron vulnerados, dejando al descubierto datos parte de la población ecuatoriana, según la empresa VPNMentor, que descubrió la falla de seguridad del servidor.

Uno de los mayores ciberataques a una empresa que trata con datos fue contra Yahoo, empresa estadounidense, cuando un equipo de criminales ruso se aprovechó de una falla de seguridad en su base de datos y sacaron contraseñas de 3.000 millones de usuarios.

Caso Novaestrat derivó en la LOPDP

Dos investigadores de la empresa VPNMentor, Noam Rotem y Ran Locar, alertaron en 2019 que la base de datos de Novaestrat, una compañía ecuatoriana de consultoría, había sido vulnerada.

VPNMentor encontró que el servidor en el que se encontraba la base de datos, que estaba localizado en Miami, Estados Unidos, contenía 20,8 millones de registros de usuarios. Se filtró todo tipo de información, desde números de cédula, información salarial hasta información bancaria y laboral.

Mendoza considera que esta filtración derivó en el proyecto de la Ley de Protección de Datos Personales, pues el ministro de Telecomunicaciones de turno presentó la propuesta poco después de la vulneración. (I)