Derechos Digitales, Asociación para el Progreso de las Comunicaciones y Access Now comparten un análisis actualizado del texto propuesto.
Este artículo fue publicado originalmente en apc.org el 14 de enero de 2021.
Sobre el debate relativo al proyecto de ley de protección de datos personales (el “Proyecto”), que se encuentra en consideración de la Comisión de Soberanía, Integración, Relaciones Internacionales y Seguridad Integral y el pleno de la Asamblea Nacional de Ecuador, desde las organizaciones Derechos Digitales, Asociación para el Progreso de las Comunicaciones y Access Now compartimos un análisis actualizado del texto propuesto por la Comisión, conforme a la experiencia internacional en la materia de las organizaciones que representamos. Identificamos las disposiciones respecto de las cuales consideramos que existe necesidad de mejora, en orden a satisfacer mejor el objetivo de la norma propuesta de alcanzar una protección efectiva en el Ecuador del derecho a la autodeterminación de su ciudadanía.
1. Ámbito de aplicación material: exclusiones
En el Artículo 2 (Ámbito de aplicación material) se señalan aquellos tratamientos de datos a los cuales la futura ley no aplicaría, entre los cuales se encuentran los datos anonimizados (letra c). Dadas las reiteradas referencias a esta hipótesis de exclusión en el Proyecto y para evitar potenciales futuros conflictos de interpretación respecto de esta hipótesis, se sugiere señalar expresamente que la misma sólo resulta aplicable en la medida que los datos continúen siendo anónimos. En otras palabras, que se aclare que en cualquier caso desde el momento en que se realice una re-identificación del titular de los datos, su tratamiento volverá a estar sujeto al cumplimiento de la ley de protección de datos, incluido el requisito de contar con una base de licitud para continuar tratando los datos de manera no anonimizada.
Otro de los casos que quedaría fuera del ámbito de aplicación del Proyecto sería el de aquellos referidos a “Datos personales cuyo tratamiento se encuentre regulado en normativa especializada de igual o mayor jerarquía en materia de gestión de riesgos por desastres naturales; y, seguridad y defensa del Estado” (letra e).
Dada la amplitud de los términos utilizados, creemos necesario acotar esta hipótesis agregando la obligación de cumplir con estándares internacionales de derechos humanos y los principios contenidos en la ley en discusión, o a los menos hacer referencia a los criterios de legalidad, proporcionalidad y necesidad, para limitar excepcionalmente la aplicación de la normativa general en la ley propuesta. Al tratarse de una ley que reglamenta el ejercicio de un derecho fundamental, corresponde la aplicación del test tripartito conforme a la jurisprudencia del Sistema Interamericano de Derechos Humanos donde se ha señalado que: “Toda limitación al derecho a la vida privada, incluido el derecho a no ser objeto de injerencias arbitrarias o abusivas en las comunicaciones, debe superar el test de legalidad, proporcionalidad y necesidad establecido por la propia Convención y reafirmado por la Corte.”
Por su parte, en relación al literal f) del mismo artículo, el texto actual genera potenciales ambigüedades de interpretación en cuanto a si este se refiere a las bases de datos con los indicados propósitos a cargo de los organismos estatales con competencia legal para “la prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales”, o si bases de datos que privados pudieran establecer para tales objetivos pudieran quedar amparadas en la excepción, con lo cual creemos recomendable agregar una oración que delimite su sentido y alcance a los organismos estatales con competencia legal para las funciones enumeradas.
Los problemas respecto de las limitaciones del ámbito de aplicación consideradas se repiten luego, en el Capítulo III del proyecto (Derechos), en el cual encontramos otros dos Artículos referidos a determinados ámbitos que quedarían excluidos de la aplicación del Proyecto:
El Artículo 11 (Normativa especializada), que pese a su título, también se refiere a determinados tratamientos que quedarían excluidos de la aplicación de la ley de datos personales, extendiendo la hipótesis de exclusión de aplicación de la ley. Sin embargo, a diferencia del artículo anterior, ahora no en razón de sus “tratamientos” sino en razón a la categoría de “datos” – cuyo tratamiento se encuentre regulado en normativa especializada. En relación a este artículo resultan pertinentes las siguiente observaciones de mejora:
a. Como correctamente se establece en el Artículo 2, el Proyecto, la norma en discusión tiene por objetivo regular el tratamiento de datos personales, con lo cual para proveer de claridad en técnica legislativa utilizada, ello debiera mantenerse en forma consistente a lo largo del proyecto, y así enfocarse en las excepciones pertinentes a determinados tratamientos, más que a excepciones aplicables a categorías completas de datos.
b. Este artículo no sólo repite algunas de las hipótesis que ya se encontrarían excluidas del ámbito de aplicación de la ley en virtud del Artículo 2, sino que además agrega otras adicionalmente problemáticas, entre ellas la de “los datos personales que deban proporcionarse a autoridades administrativas o judiciales en virtud de solicitudes y órdenes. amparadas en competencias atribuidas en la normativa vigente”. En relación a esto último, resulta preocupante que la normativa y principios propuestos en el Proyecto no sea aplicable a los datos que deban proporcionarse a autoridades administrativas en virtud de solicitudes y órdenes amparadas en competencias atribuidas en la normativa vigente, especialmente considerando la experiencia comparada (v.gr.: Chile) en que autoridades administrativas han terminado haciendo un tratamiento intensivo de datos personales en virtud de normas reglamentarias sin control de ningún tipo, incluso amparadas en disposiciones más restrictivas que la que aquí se propone.
c. Por último, no se explica por qué los datos cuyo tratamiento se encuentre regulado en normativa especializada quedarían sujetos sólo a algunos de los principios del Proyecto y no necesariamente a los principios de pertinencia y minimización; proporcionalidad; calidad y exactitud; aplicación favorable al titular; e independencia del control.
Resulta imperioso que la disposición sea enmendada para eliminar tal excepción amplia otorgada a las autoridades administrativas, o alternativamente se exija que esas excepciones satisfagan al menos los principios de la ley en comento y sean compatibles con el estándar de legalidad, proporcionalidad y necesidad enunciado por el Sistema Interamericano de Derechos Humanos citado anteriormente.
Por su parte, el Artículo 27 (Excepción por normativa especializada), se refiere más específicamente a la improcedencia de los derechos establecidos en el Proyecto, para los datos personales cuyo tratamiento se encuentre regulado en (la) normativa especializada que el mismo artículo detalla.
Al respecto cabe señalar que aún cuando las reglas de tratamiento no fueren aplicables, no parece lógico limitar la exigibilidad de los derechos que son manifestación del derecho fundamental a la protección de datos personales.
Por último, por motivos de coherencia legislativa, lo recomendable sería que el contenido de los tres artículos señalados quede regulado en el Capítulo I, especialmente considerando que los tres se refieren directa o indirectamente a las exclusiones del Proyecto, y que el Artículo 11 en ningún caso se refiere a los derechos de los titulares.
En virtud de lo anterior sugerimos las siguientes modificaciones:
1. Agregar al final de la letra c) del Artículo 2, una coma, seguida del siguiente texto: “en tanto no sea posible identificar a su titular. Tan pronto los datos dejen de estar disociados o de ser anónimos, su tratamiento estará sujeto al cumplimiento de las obligaciones de esta ley, especialmente la de contar con una base de licitud para continuar tratando los datos de manera no anonimizada o disociada.”
2. Agregar al final de la letra e) del Artículo 2, un punto seguido del siguiente texto: “en cualquiera de estos casos deberá darse cumplimiento a los estándares internacionales en la materia de derechos humanos y a los principios de esta ley, y como mínimo a los criterios de legalidad, proporcionalidad y necesidad.”
3. Agregar al final de la letra f) del Artículo 2, una coma seguida del siguiente texto: “llevado a cabo por los organismos estatales competentes en cumplimiento de sus funciones legales. En cualquiera de estos casos deberá darse cumplimiento a los estándares internacionales en la materia de derechos humanos y a los principios de esta ley, y como mínimo a los criterios de legalidad, proporcionalidad y necesidad.”
4. Eliminar Artículos 11 y 27.
2. Ámbito de aplicación territorial
En relación al Artículo 3 (Ámbito de aplicación territorial) del Proyecto, el texto de su numeral (3) resulta bastante confuso dada la sobre referencia a “personas residentes en el territorio nacional”, no quedando claro cuál sería, en definitiva, el ámbito de aplicación territorial. Es por esto que sugerimos la siguiente redacción alternativa:
5. Reemplácese el numeral (3) del Artículo 3, por el siguiente: “El responsable o encargado del tratamiento de datos personales, que no se encuentre domiciliado en Ecuador, oferte bienes o servicios dentro de Ecuador; o realice actividades relativas a la recolección de datos personales de personas residentes en el territorio nacional; y”
3. Fuente accesible al público
En el Artículo 4 (Términos y definiciones) se definen las fuentes accesibles al público de manera excesivamente amplia y ambigua, cuestión que en otros países (v.gr.: Chile) ha generado un problema interpretativo relevante respecto a bajo qué circunstancias una fuente de datos que puede ser consultada libremente, puede ser legítimamente considerada una fuente accesible al público, o no, para los efectos de la protección de datos personales. Al no estar delimitado el concepto, se puede dar como ejemplo el caso de que la base de datos sea publicada ya sea por error o de forma ilícita en un lugar público, por ejemplo una filtración de datos personales obtenidos ilícitamente que se pone a disposición en Internet sin consentimiento de los titulares de los datos, dando pie a que exista un tratamiento masivo de dichos datos sin que ellos hayan sido obtenidos legítimamente a través de consentimiento de sus titulares o satisfagan el principio de finalidad conforme al cual ellos pudieron haber sido entregados originalmente.
