Tomar datos de tipo biométrico no es una novedad. Varias empresas de software operativo de móviles, llevan años incorporando el uso de patrones oculares y huellas digitales como parte de sus sistemas de seguridad.
En el país el tema saltó a los titulares hace pocos días luego de que una empresa del mundo cripto escaneara iris de las personas, a cambio de una inversión en criptomonedas.
El proyecto parecería ofrecer una respuesta interesante al desafío de la inclusión financiera, pero por otro lado destapa una olla de grillos en torno a la protección de datos personales. Y dado que Ecuador cuenta con una legislación específica para el efecto (desde el 2021), creo que es necesario analizar el modelo de operación a la luz de la Ley Orgánica de Protección de Datos Personales y el respectivo reglamento publicado en el 2023.
Si consideramos que el modelo de negocio implica la recolección y el procesamiento de datos biométricos (específicamente el iris), es un hecho que entra en conflicto directo con varios aspectos de la Ley. Recordemos que la ley se creó para garantizar derechos fundamentales como el acceso, rectificación, eliminación y oposición al tratamiento de datos, y establece requisitos muy claros para la obtención del consentimiento, la transferencia de datos a terceros, y la gestión de datos sensibles. En ese sentido, veamos algunos de los conflictos más evidentes:
1. Consentimiento Informado y Expreso: La Ley de Protección de Datos Personales (LOPD) requiere que el consentimiento para el tratamiento de datos personales sea “libre, específico, informado e inequívoco”. ¿Podría la empresa comprobar que eso se ha hecho? ¿Podrían las personas que han pasado por allí, explicar claramente para qué, y cómo serán usados sus datos biométricos? Aunque la respuesta es evidentemente negativa, dejaremos planteada la pregunta por un rigor de formalidad.
2.Tratamiento de Datos Sensibles: Los datos biométricos son considerados datos sensibles y su tratamiento está sujeto a mayores restricciones. La LOPD de Ecuador establece que “el tratamiento de estos datos sólo puede realizarse bajo condiciones muy específicas y con un consentimiento explícito". ¿Podría el Gobierno Ecuatoriano comprobar que realizó una auditoría suficiente sobre las condiciones de tratamiento de esos datos? ¿No está cayendo acaso en un incumplimiento de sus funciones? ¿Cómo podemos hablar de un consentimiento explícito, cuando la mayoría de personas no comprende ni los principios fundamentales del negocio que les está comprando sus datos biométricos?
3. Transferencia Internacional de Datos: Aunque la LOPD regula estrictamente la transferencia de datos personales a terceros países, lo que menos se ha hecho es verificar los destinos, circunstancias y protocolos de redes y servidores que se usarán en esos países para el manejo de los datos biométricos de los ciudadanos ecuatorianos.
4.Minimización de Datos: El principio de minimización de datos establece que sólo deben recolectarse los datos necesarios para el propósito específico del tratamiento. Aquí me cuestiono: ¿Entendemos bien cuál es la finalidad de esto? ¿Debemos permitir que una empresa extranjera construya una base de datos tan sensible de ciudadanos ecuatorianos? Llegando a este punto siento que me encuentro escribiendo sobre un mal sueño, o un absurdo.
Aunque el tema daría para un debate amplio, ya solo con analizarlo a la luz de la LOPD en Ecuador vemos que presenta más dudas que certezas.
La forma en la que ese proyecto se ha implementado ha sido absolutamente grosera, por no decir grotesca e irrespetuosa del marco legal vigente en Ecuador. El Gobierno debe actuar de forma contundente y rápida para sentar un precedente, de acuerdo con las estrictas normativas de protección de datos del país. Solo así se podrán mitigar los riesgos y garantizar que los derechos de los ciudadanos sean protegidos frente a posibles abusos y vulneraciones de su privacidad. (O)
