El 7 de diciembre del 2023, el Pleno del Consejo de Participación Ciudadana y Control Social (CPCCS) aprobó aceptar el pedido del presidente de la República del Ecuador, Daniel Noboa, de retirar la terna para la designación de la Autoridad de Protección de Datos Personales, y esperar el envío de una nueva, para que, siguiendo los plazos legales, se elija un Superintendente de Protección de Datos Personales. El pedido del presidente Noboa, fue consecuencia de tensas discrepancias con el ex presidente Guillermo Lasso, quien, a días de finalizar su mandato, remitió al CPCCS una terna para la designación de esta autoridad.

Las públicas divergencias entre Noboa y Lasso, evidencia la importancia que significa para el actual presidente de la República la designación esta nueva autoridad. Para entender esto debemos conocer, detallar y examinar, las funciones del Superintendente de Protección de Datos Personales y consecuentemente los retos a los cuales se enfrenta como primera autoridad de esta materia en el Ecuador.

De modo general, las normativas de protección de datos personales emitidas en los últimos años, han sido como respuesta, entre los principales factores a: la evolución del internet, el uso de modernos dispositivos móviles, amenazas cibernéticas, el desarrollo de servicios ofrecidos a través de diferentes aplicaciones para dichos dispositivos y el masivo flujo e intercambio de información. En esta tónica, dichas normativas redefinen el concepto de dato personal, establecen categorías de datos, refuerzan el poder de los individuos para controlar sus datos personales a través de nuevos derechos, crean nuevos elementos de protección de datos como el principio de transparencia en el deber de información, responsabilidad, protección de datos desde el diseño –  privacy by design –  y por defecto, responsabilidad proactiva, mayor control por parte de la autoridad y establecimiento de sanciones.

Todos estos nuevos principios, derechos, garantías y obligaciones, requieren de una autoridad que no solo controle y sancione su incumplimiento, sino también que regule y promocione el derecho a la protección de datos personales como una actuación administrativa positiva que favorezca las condiciones actuales de su uso y utilización en herramientas tecnológicas. Esta necesidad se manifiesta en la vigente Ley Orgánica de Protección de Datos Personales ecuatoriana, que, en su artículo 76 define las funciones, atribuciones y facultades de la Autoridad de Protección de Datos Personales, las cuales las podemos agrupar en 5: i) investigación y control, ii) autorización y consulta, iii) imposición de sanciones, iv) regulación y, v) promoción.

1. Investigación y control

• Supervisar, controlar y evaluar las actividades realizadas por el responsable y encargado del tratamiento de datos personales, incluida las de transferencia internacional de datos.
• Realizar o delegar auditorías técnicas al tratamiento de datos personales realizados por los responsables o encargados.
• Controlar y supervisar el ejercicio del derecho a la protección de datos personales dentro del tratamiento llevado a cabo a través del Sistema Nacional de Registros públicos
• Crear, dirigir y administrar el Registro Nacional de Protección de Datos Personales, así como coordinar las acciones necesarias con entidades del sector público y privado para su efectivo funcionamiento.
• Llevar un registro estadístico sobre vulneraciones a la seguridad de datos personales e identificar posibles medidas de seguridad para cada una de ellas.

1. Autorización y Consulta

• Emitir las resoluciones de autorización para la transferencia internacional de datos personales, como: autorización de países con garantías adecuadas, aprobación de Normas Corporativas Vinculantes y autorización para transferencias a países que no hayan sido definidos como jurisdicciones con garantías adecuadas.
• Atender consultas en materia de protección de datos personales
• Dictar las cláusulas estándar de protección de datos, así como verificar el contenido de las cláusulas o garantías adicionales o específicas.

• Imposición de Sanciones
• Ejercer la potestad sancionadora respecto de responsables, delegados, encargados y terceros.
• Conocer, sustanciar y resolver los reclamos interpuestos por el titular o aquellos iniciados de oficio, así como aplicar las sanciones correspondientes.
• Iniciar de oficio o a petición del titular de datos personales, actuaciones previas conforme el Código Orgánico Administrativo.
• Dictar medidas correctivas cuando los responsables, delegados, encargados y terceros hayan sido sancionados por incumplimiento de la normativa.

1. Regulación

• Emitir normativa general o técnica, criterios y demás actos que sean necesarios para el ejercicio de las competencias de la Autoridad y la garantía del ejercicio del derecho a la protección de datos personales.
• Emitir directrices para el diseño y contenido de la política de tratamiento de datos personales
• Establecer directrices para el análisis, evaluación y selección de medidas de seguridad de los datos personales.

1. Promoción

• Promover e incentivar el ejercicio del derecho a la protección de datos personales, así como la concientización en las personas y la comprensión de los riesgos, normas, garantías y derechos, en relación con el tratamiento y uso de sus datos personales, con especial énfasis en actividades dirigidas a grupos de atención prioritaria.
• Promoción de elaboración de códigos de conducta por sectores, industrias, empresas, organizaciones que tengan como fin el cumplimiento de la normativa en materia de protección de datos personales.
• Promover una coordinación adecuada y eficaz con los encargados de la rendición de cuentas y participar en iniciativas internacionales y regionales para la protección de los datos personales.
• Publicar periódicamente una guía de la normativa relativa a la protección de datos personales.

Es evidente que son muchas las funciones asignadas al Superintendente de Protección de Datos Personales en la Ley, no solo por la responsabilidad que trae consigo el ejercicio de una potestad sancionatoria, sino también por la complejidad de control que las operaciones de tratamiento de datos demanda, sumado a la difícil tarea de promocionar el derecho a la protección de datos hasta ahora desconocido por gran parte de los titulares, responsables y encargados del tratamiento de datos personales.

Por ello, la futura y primera Autoridad de Protección de Datos Personales ecuatoriana, no solo deberá contar con amplios estudios y experiencia propios de esta compleja y particular materia, sino también deberá contar con habilidades blandas como liderazgo, gestión, adaptación, entre otras.

Pero, para ser específicos ¿cuáles son los retos a los que se enfrentará el futuro Superintendente de Protección de Datos Personales como primera autoridad ecuatoriana en la materia? A mi criterio considero los siguientes:

1. Falta de recursos económicos y humanos

Las autoridades de control, en general, requieren una considerable cantidad de recursos financieros para el cumplimiento de todas sus funciones. Lamentablemente en las condiciones actuales del Ecuador de austeridad, la asignación de recursos por parte del Poder Ejecutivo será escasa, lo cual dificultará que la Superintendencia pueda realizar sus funciones.

Por otra parte, en el Ecuador, no existen suficientes profesionales con la debida formación académica y profesional para ejercer cargos en la autoridad que amerite la toma de decisiones motivadas y ejercicio de las funciones de manera óptima en pro de cumplir con los objetivos de la Ley. Además, que los pocos profesionales capacitados, difícilmente acepten las condiciones económicas y de responsabilidad que implica el ejercer cargos públicos.

2. Creación de regulación secundaria

La Ley Orgánica de Protección de Datos Personales en varios de sus artículos obliga a la expedición de mucha regulación secundaria por parte del Superintendente de Protección de Datos Personales. Por ello, uno de los retos de autoridad es la creación de reglamentos, directrices, manuales, normas técnicas y guías que servirán para el cumplimiento de sus funciones y cumplimiento del mandato previsto en la Ley.

3. Balance entre protección y uso de los datos personales

En ejercicio de su potestad regulatoria, el Superintendente de Protección de Datos Personales, se verá en la disyuntiva a la que enfrentan todas las autoridades en la materia, y es el buscar un equilibrio entre la protección de la privacidad de los datos personales y su masivo tratamiento que se deriva de innovaciones y avances tecnológicos. El lograr un balance, permitirá el flujo de datos personales y su uso en nuevas aplicaciones beneficiarias para la sociedad, sin desmedro de los derechos y su ejercicio por parte de los titulares de datos personales.

4. Educación y Concientización

El derecho a la protección de datos personales a través de una ley específica en el Ecuador, recién se lo norma desde mayo del 2021. Esto hace que no todos los individuos sean conscientes de la importancia de proteger sus datos y sus derechos, y, por otra parte, no todas las personas que realizan tratamiento de datos en calidad de responsables y encargados conocen sus obligaciones. El problema radica en que, para realizar una promoción y educación a todos los actores de la protección de datos en el Ecuador, se requiere una elevada cantidad de recursos técnicos y humanos que, como se indicó antes, la autoridad no los dispondrá.

5. Cooperación internacional

La colaboración internacional entre autoridades de protección de datos personales, es fundamental en el mundo actual, por cuanto estas relaciones permiten compartir experiencias, ideas y posturas, para abordar los desafíos globales en la materia y garantizar una adecuada protección a los derechos de los titulares. El Superintendente deberá tener la habilidad de establecer relaciones de cooperación con otras autoridades, que sean de ayuda en la conformación y funcionamiento del organismo de control.

A modo de conclusión, son diversas las competencias que la Ley Orgánica de Protección de Datos Personales atribuye a la Autoridad de Protección de Datos Personales ecuatoriana, las cuales abarcan todas las funciones que una autoridad de regulación y control debe tener. El reto para el primer Superintendente de Protección de Datos Personales ecuatoriano es muy alto, al igual que las limitaciones, consecuencia de la realidad nacional actual; depende de la persona elegida para este cargo, el trazar el camino para crear una cultura de protección de datos, acorde a la vorágine necesidad de datos personales para su uso en nuevas tecnologías.