Durante una jornada laboral, Julia, de 50 años, recibió hace dos semanas un mensaje de WhatsApp de un desconocido: “¿Cómo estas? ¿Sabías que un plan médico es una de las mejores decisiones financieras que puedes tomar?”. Adjuntaba la propaganda de una firma de medicina prepagada.
La mujer extrañada por el mensaje preguntó.
-”Perdón, ¿me podría decir cómo tiene mi número, que es privado?”.
-”Tengo este número en nuestra base de datos. Tal vez usted ya es clienta”, le dijo el vendedor.
-”No soy cliente ni he pedido información”, replicó la mujer, quien pidió que se la borre de esos registros comerciales.
Otras empresas, en cambio, se comunican a través de llamadas, mensajes SMS y correos electrónicos, que también generan malestar en las personas que contactan y que no han dado su consentimiento para que terceros tengan su información con fines comerciales: número de cédula de identidad, nombres completos, número telefónico, correos electrónicos, entre otros datos.
El 13 de junio pasado, una llamada comercial ingresó al celular de un hombre de 33 años. “Le saludamos del Banco Solidario, usted tiene una tarjeta (de crédito) preaprobada con nosotros”, dijo una mujer al ciudadano. Este le preguntó cómo obtuvo su número de teléfono. La respuesta fue que consultan una base de datos.
Estas prácticas continúan en el país, pese a que hay una normativa vigente que regula el tratamiento de este tipo de información: la Ley de Protección de Datos Personales, aprobada el 10 de mayo por la Asamblea.
En el artículo 7 de la ley, se destaca que el tratamiento de los datos personales será legítimo cuando el portador de esa información cuente con el consentimiento del titular de los datos, es decir, el ciudadano al que pertenezca esa data, y que ese permiso será válido siempre que el titular lo haya emitido de forma libre e informada.
La ley también establece la creación de una Superintendencia de Protección de Datos que velará por el cumplimiento de la ley y la aplicación del régimen sancionatorio que entrará en vigencia en dos años y que contempla multas para los servidores públicos y empleados privados que incurran en un tratamiento inadecuado de la información personal.
- “Los servidores o funcionarios del sector público por cuya acción u omisión hayan incurrido en alguna de las infracciones graves en la presente ley serán sancionados con una multa de entre 10 a 20 salarios básicos unificados del trabajador en general, sin perjuicio de la responsabilidad extracontractual del Estado”, según el artículo 72 de la Ley de Protección de Datos Personales.
- “Si el responsable, encargado del tratamiento de datos personales o de ser el caso un tercero, es una entidad de derecho privado o una empresa pública se aplicará una multa de entre el 0,7% y el 1% calculada sobre su volumen de negocios, correspondiente al ejercicio económico inmediatamente anterior al de la imposición de la multa”.
Lorena Naranjo, titular de la Dirección Nacional de Registro de Datos Públicos (Dinardap, institución que participó en la construcción de la Ley de Protección de Datos) entre octubre del 2017 y junio del 2021, también ha recibido llamadas de empresas que le han ofrecido viajes, por ejemplo. Ella explica que las compañías y otras entidades que trabajen con datos personales tienen esos dos años para regularizar sus bases de datos: “En este momento tienen que hacer un proceso de transparencia, es decir, notificarles (a los ciudadanos que constan en sus bases de datos) para qué va a ser usada su información, cuál es el destino, la forma de tratamiento”.
El ciudadano contactado decidirá si acepta o no el uso de sus datos, como lo recoge el Derecho a la Oposición, que consta en el artículo 16 de la ley. Esta se empezó a trabajar ante la necesidad de una norma específica para el cuidado de información delicada que, en ocasiones, se ha comercializado en un mercado negro de bases de datos en internet y por el riesgo de filtraciones como la que ocurrió en el 2019.
El 16 de septiembre de ese año se difundió la noticia de una filtración masiva de datos personales de Ecuador. En ese entonces, autoridades descartaron ataques de ciberseguridad a instituciones e informaron que había una investigación judicial en curso.
El marco jurídico nacional contempla penas de hasta cinco años de cárcel para los responsables de filtraciones de datos personales. La fiscal Sobeida Conforme, del área de ingresos de denuncias de la Fiscalía del Guayas, refiere los artículos 178 (violación a la intimidad) y 229 (revelación ilegal de bases de datos) del Código Orgánico Integral Penal (COIP).
“El 178 tiene como finalidad reprimir a la persona, es más individual. Si yo tengo la información de una persona, no tengo autorización y la difundo, entonces hay violación a la intimidad. En cambio, el 229 responde a personas de instituciones, sector corporativo, para las personas encargadas de controlar esos registros”, explica.
Datos a la deriva
La filtración de datos más reciente que se mediatizó ocurrió en febrero. El día 18 de ese mes, Banco Pichincha informó que hubo un acceso no autorizado a sistemas de un proveedor de servicios de mercadeo en un programa de millas.
EL UNIVERSO halló varios archivos que tienen datos que estarían relacionados con esa filtración, en un fichero de la web oscura. En esos registros de más de 30.000 personas, en los que consta una periodista del rotativo, hay números de cédula, nombres, correos electrónicos, entre otros detalles.
Este Diario solicitó una entrevista al banco para conocer si se presentó una denuncia, si recomendaron medidas preventivas o si se entregó alguna compensación. La entrevista quedó pendiente.
Banco Solidario y la Superintendencia de Bancos tampoco atendieron un pedido de entrevista con este medio.
La Asociación de Bancos Privados del Ecuador (Asobanca), sin embargo, aseguró en un comunicado que los miembros de esta entidad cumplen con las normas de protección de datos y de seguridad de la información: “Por ejemplo, que los bancos deben tener de manera obligatoria un área específica de seguridad de la información, lo cual evita la transgresión (…)”.
Este gremio también enfatizó que “los bancos no ceden información a terceros o a personas que no tengan la autorización del titular”.
FUENTE: EL UNIVERSO (EC)