Ley de Datos Personales ¿Crónica de una Muerte Anunciada?
La Ley Orgánica de Control de Poder de Mercado, ha generado más dudas que certezas en un tema tan trascendente. Ahora bien, el problema no es importar un texto, sino ignorar los aprendizajes que han surgido de su implementación original y no adaptarlo a la realidad ecuatoriana sin repetir falencias, o al menos sin agravarlas, generando cuerpos normativos condenados a sucumbir.

En el clásico de Gabriel García Márquez que inspira el título de este artículo, desde las primeras líneas el lector conoce que Santiago Nasar morirá. No se sabe exactamente cuándo, pero es seguro que será asesinado. Ecuador en su proyección legislativa ha sido el personaje principal de varias crónicas de muertes anunciadas. No es la primera vez que el país se “inspira” en iniciativas normativas de otras jurisdicciones, en particular de la europea. Este fue el caso con la Ley Orgánica de Control de Poder de Mercado, que ha generado más dudas que certezas en un tema tan trascendente. Ahora bien, el problema no es importar un texto, sino ignorar los aprendizajes que han surgido de su implementación original y no adaptarlo a la realidad ecuatoriana sin repetir falencias, o al menos sin agravarlas, generando cuerpos normativos condenados a sucumbir. 

Varios Estados latinoamericanos protegen y regulan el uso de datos personales desde hace muchos años; por ejemplo, Argentina desde 2000 y Colombia desde 2012. Ecuador, por el contrario, llega tarde al desarrollo de estas regulaciones, pues no fue hasta el pasado mayo de 2021 que emitió la Ley Orgánica de Protección de Datos Personales (LOPDP). Esta tardanza no es intrínsecamente negativa, en tanto permite tomar como referencia las prácticas de otros países para evitar sus errores y replicar los aciertos. Este artículo analizará la experiencia europea con su normativa más reciente, el Reglamento General para la Protección de Datos (RGDP) vigente desde 2016, pues ha inspirado -casi en su totalidad- a la ley ecuatoriana. 

Si bien el RGDP es una de las normativas más avanzadas respecto de datos personales, su implementación ha implicado importantes retos. Algunos de ellos son (i)la escasez de personal frente al número de quejas y casos; (ii) inequidad de armas entre el ente regulador estatal y las compañías reguladas; y, (iii) desbalance entre el número de reportes y sanciones. 

Cabe destacar que el RGDP es una normativa implementada por la Unión Europea, a ser aplicada internamente por cada Estado miembro. Así, el presupuesto, tamaño y posibilidades de cada gobierno para la aplicación de la ley, varían. Los tres puntos problema mencionados se tornan más notables respecto de Estados europeos con menos posibilidad presupuestaria, pues significa contar con recursos limitados para controlar el cumplimiento normativo y hacer frente a los procesos iniciados por infracciones en contra grandes corporaciones, con abundantes recursos. Es decir, inequidad de armas y escasez de personal. Los desbalances del número de reportes de infracciones en comparación con las sanciones efectivamente impuestas devienen de una sobre-notificación, dadas las fuertes sanciones que el RGDP impone si se incumple con el deber de informar a la entidad reguladora de todas las fallas de seguridad en los sistemas de protección de las bases de datos personales.

Quizá como consecuencia de las dificultades expuestas, durante el primer año de vigencia del RGDP se registraron 144.000 reclamos por parte de titulares respecto del uso de sus datos, y 89.000 reportes de fallas en el sistema de seguridad. De ese conjunto de casos, al final del período en análisis cerca del 40% seguía pendiente de trámite o resolución. Este importante porcentaje también implica la saturación del sistema para el período inmediato posterior, por efecto de la acumulación de denuncias y reportes en contraste con la capacidad administrativa de atenderlos y tramitarlos. 

Todas las características del RGDP que generaron las dificultades expuestas han sido replicadas en la normativa ecuatoriana: con la nueva LOPDP se impone numerosas sanciones por incumplimiento de infinidad de obligaciones, y se crea una única agencia nacional centralizada para atender todas ellas. Además, la economía ecuatoriana con seguridad solo podrá abastecer a esta nueva entidad con recursos modestos. Esto repercutirá en la capacidad administrativa del nuevo ente regulador y es de esperar que los resultados sean similares al caso europeo. Si la entidad estatal pierde eficiencia, los derechos de los titulares y los esfuerzos impuestos a las compañías reguladas pierden sentido. 

Tratando de no ser fatalista, doy por sentado que la emisión de la ley es un avance, pero no basta con ello. Ya que el Estado ecuatoriano ha inspirado su normativa en el RGDP, será vital que tome en cuenta los aprendizajes que de él han surgido y que los adapte a la realidad de nuestro país, al menos respecto de los tres puntos mencionados en este artículo. De lo contrario, esta Ley formará parte del archivo legislativo ecuatoriano de muertes anunciadas, haciendo un guiño al buen Gabriel. (O)