La protección de datos personales en Ecuador está viviendo un momento decisivo. Entre supuestas filtraciones, uso extendido de biometría y comercialización irregular de información, el debate ya no es técnico: es ciudadano.

La Superintendencia de Protección de Datos Personales confirmó la apertura de una actuación previa para investigar una posible vulneración vinculada al Registro Civil. Este procedimiento administrativo puede extenderse hasta seis meses y tiene un objetivo claro: verificar técnicamente si existió una filtración y, de confirmarse, establecer las medidas correctivas correspondientes. Hasta ahora, no hay conclusión definitiva.

Denuncia y solicitud no son lo mismo

Un punto clave explicado en la entrevista es la diferencia entre denuncia y solicitud:

  • Denuncia: cualquier persona puede informar sobre un posible uso indebido de datos. No se convierte en parte procesal, pero permite abrir investigación.
  • Solicitud: aplica cuando un ciudadano primero reclama ante la entidad que trata sus datos y no obtiene respuesta dentro de los plazos legales. Entonces puede acudir a la Superintendencia para que intervenga y haga cumplir su derecho.

El rol de la institución es garantista del derecho constitucional a la protección de datos, no es penal ni reemplaza a la Fiscalía en casos de delito.

El gran problema cultural

Uno de los desafíos más grandes no es jurídico, es cultural. En Ecuador no existe todavía una cultura sólida de protección de datos.

Prácticas normalizadas como:

  • Entregar la cédula en cualquier establecimiento.
  • Permitir que saquen copia del documento de identidad.
  • Usar biometría obligatoria en condominios o centros comerciales.

En muchos casos constituyen tratamientos de datos personales que podrían ser excesivos o incluso ilegales si no cumplen con:

  • Consentimiento libre.
  • Evaluación de impacto.
  • Análisis de riesgos.
  • Principio de proporcionalidad.

El hecho de que algo siempre se haya hecho así no significa que esté bien hecho.

Biometría y datos sensibles

El uso de datos biométricos es especialmente delicado. Son datos sensibles y su tratamiento exige un nivel extremo de cuidado.

Si una persona no tiene opción y solo puede acceder a un lugar usando biometría, no hay consentimiento libre. En cambio, si puede elegir entre llave física o biometría, sí existe libertad de decisión.

La seguridad no puede convertirse en excusa para recolectar datos sin límites.

La ley recién empieza

Aunque la Constitución reconoció el derecho a la protección de datos en 2008, la Ley Orgánica de Protección de Datos Personales se dictó en 2021 y la Superintendencia comenzó a operar en septiembre de 2024.

Mientras Europa lleva más de 50 años desarrollando este marco, Ecuador está iniciando el camino.

Actualmente, la institución cuenta con:

  • 35 servidores públicos.
  • 8 en nivel jerárquico superior.
  • 8 en área sustantiva.
  • 19 auxiliares.

El universo de controlados es prácticamente ilimitado: hoy todos tratan datos personales.

Riesgo, no perfección

La ley está construida bajo el paradigma del riesgo. No se trata de eliminar el riesgo completamente —eso sería irresponsable— sino de mitigarlo hasta niveles razonables.

El principio clave para emprendedores y empresas es el de minimización de datos: recolectar únicamente lo estrictamente necesario para cumplir la finalidad.

Mientras más datos se acumulan, mayor es el riesgo.

Sanciones y medidas correctivas

La Superintendencia no puede multar directamente. Primero debe:

  1. Emitir medidas correctivas.
  2. Verificar si se cumplen.
  3. Solo si no se cumplen, iniciar un procedimiento sancionador.

Las multas pueden calcularse como un porcentaje alto de la facturación de la empresa, lo que podría comprometer su estabilidad financiera.

Casos preocupantes

Se investigan prácticas como:

  • Call centers que contactan a familiares o empleadores para cobrar deudas.
  • Uso indebido de bases de datos.
  • Acceso irregular a información personal.
  • Uso de cámaras o biometría en centros educativos.

En casos de suplantación de identidad o ciberdelitos, la competencia corresponde a la Fiscalía, no a la Superintendencia.

Inversión, no gasto

Un mensaje contundente de la entrevista es que implementar protección de datos no es un gasto: es una inversión en credibilidad.

Una filtración masiva puede afectar:

  • Confianza del cliente.
  • Reputación corporativa.
  • Valor de mercado.
  • Continuidad operativa.

La protección de datos se conecta directamente con la ciberseguridad. Sin seguridad de la información, no existe protección real.

Ecuador está comenzando a construir una cultura de protección de datos. La ley ya existe, la autoridad está operativa y el régimen sancionador está en marcha.

El reto ahora es educativo, institucional y empresarial.

La pregunta ya no es si debemos proteger los datos personales, sino si estamos preparados para asumir el costo de no hacerlo.

Fuente: Radio Sucesos