“El círculo vicioso continuará hasta que se tramite la ley”
Lorena Naranjo fue subsecretaria de Desarrollo Normativo del Ministerio de Justicia. También fue funcionaria judicial y asesora de la Dirección de Asesoría Jurídica y Asuntos Internacionales de la Presidencia de la Corte Nacional de Justicia. Es abogada y máster en Derecho de Nuevas Tecnologías.
La historia se repite. Una ley urgente para el país llega a la Asamblea Nacional y queda en el olvido. Esta vez, sin embargo, la lentitud del Legislativo pone en riesgo la seguridad de información de todos los ecuatorianos. En septiembre de 2019, millones de datos personales de ecuatorianos fueron robados. La alerta salió de la firma VPN Mentor. Novaestrat fue la víctima del robo de información. La empresa fue creada en 2017 por dos exfuncionarios que trabajaron en la Senplades, Secom y en el Banco Nacional de Fomento. Lorena Naranjo, titular de la Dirección Nacional de Registro de Datos Públicos (Dinardap), conversó con EXPRESO sobre la necesidad de una ley para evitar robos de información como el registrado en septiembre del año pasado.
¿Qué pasó con la Ley de Protección de Datos? Se presentó en septiembre y la Asamblea aún no le da trámite...
Es triste, porque no haremos conciencia hasta que vuelva a pasar. La realidad no ha cambiado. Sabemos que en este mes, según los representantes de la Asamblea, se dará prioridad al proyecto de ley de Protección de Datos. Esperemos que se movilice el tema. Lo que estamos haciendo, de nuestra parte, es convocar a la sociedad civil y a la academia para que den sus aportes en la Comisión de Soberanía y Relaciones Internacionales de la Asamblea. Ellos harían un aporte como amicus curiae. Con ese mecanismo queremos impulsar el tratamiento legislativo. Sabemos que la Asamblea siempre tiene temas importantes, pero el de la seguridad de los datos debe ser reconocido como prioritario.
¿Qué riesgos estamos corriendo por la falta de la ley?
Pues lo que ha estado pasando hasta ahora. Existe un comercio ilegal de bases de datos y ahí consta toda nuestra información y que corremos el riesgo de que toda nuestra información caiga en manos inadecuadas. El momento que eso ocurra estamos hablando de robos de identidad, uso inadecuado de esa información, otras personas se benefician de nuestros servicios, puede que usted no acceda a algo porque una base de datos está equivocada en el origen y se niega de manera errónea un beneficio. Las bases de datos deben llevarse de forma correcta. El problema no es solo de seguridad tecnológica, quienes administran ese dato pueden estar haciéndolo de una manera equivocada.
¿Es responsabilidad de quienes manejan los datos, no solo de una ley?
Los responsables del tratamiento de los datos, quienes procesan información pueden estar haciéndolo de manera inadecuada. Eso provoca que, por ejemplo, regresemos a las llamadas que ofrecen productos y servicios, pero que nosotros no hemos solicitado.
Es triste porque no haremos conciencia hasta que vuelva a pasar (un robo de bases de datos). La realidad no ha cambiado
¿Esa práctica disminuyó?
En diciembre dimos nuestros datos para sorteos y promociones y desde este mes, otra vez, están llamando a ofrecer bienes y servicios que no hemos solicitado. Nosotros mismos actualizamos las bases de datos de las empresas. Y no hay el marco legal.
¿Las llamadas son legales?
Son legales siempre y cuando se advierta que se dará ese uso a la información. Ahora incluso hay llamadas donde se pregunta por el titular de la línea telefónica. En dichas llamadas se obtiene más información y se alimenta el círculo vicioso que continuará hasta que se tramite la ley.
El proyecto solicita que se cree un cargo especializado para el manejo de datos en las empresas, ¿qué perfil debe tener ese funcionario?
Independientemente de que la Asamblea retome el trámite de la normativa y lo priorice, es una responsabilidad de las instituciones que comiencen a contar con ese personal, porque si vuelve a ocurrir un robo de bases de datos se afecta incluso a la credibilidad de las empresas. Hay que anticiparse a riesgos de seguridad.
¿Quién debe hacer esa labor hasta que exista el personal especializado?
El responsable de seguridad de las empresas por su formación tiene mayor criterio para combatir los riesgos. No es lo óptimo, pero es algo hasta que se cuente con el personal adecuado. Las empresas no pueden decir que no se sabía. La sanción existe.
¿Qué pueden hacer las empresas ante la falta de ley, pero con un riesgo constante?
Las empresas serias buscan certificaciones. La ISO Antisobornos, por ejemplo, establece que debe existir un responsable de la vigilancia de datos. Eso aunque no exista una ley. Dentro de los riesgos, la vulnerabilidad de datos es equivalente a un incendio. No podemos pensar que no va a pasar.
La ISO 27.001 se tramita en entidades como la Dinardap, Sercop y Petroecuador, ¿qué más se puede hacer?
Todas las buenas prácticas que ahora existen en el entorno se pueden replicar. Los sellos de confianza, como las ISO, son un ejemplo. Hay certificaciones especializadas. También es importante que hagamos conciencia y entendamos que, por el momento, el responsable de seguridad general debe estar al frente del tema de datos. Nosotros como Dinardap brindamos charlas gratuitas sobre los mínimos que se deben cumplir para disminuir el riesgo. Si la Asamblea aprueba más o menos, no importa. Las empresas capacitadas conocen el marco mínimo. Debemos entender que con o sin ley las empresas son responsables a nivel civil y penal de la filtración de datos. La capacitación es importante. Por eso yo mismo doy charlas en colegios, universidades y otras entidades.
Hay que anticiparse a los riesgos de la seguridad de todos los ecuatorianos. No se puede decir que no se sabía.
Aunque es importante que las empresas inicien el trabajo, que la Asamblea apruebe la ley ayudaría a que todos hagamos conciencia de la gravedad de la seguridad de datos...
En la Asamblea nos comentaron que a finales del año pasado la atención se centró en las normativas de carácter tributario, pero que desde enero se iban a retomar los proyectos que están a la espera. Esta semana insistiré en que se priorice nuestro texto y se discuta el articulado.
El tema es complejo, ¿alguno de los 137 asambleístas está capacitado para discutir una ley de protección de datos?
Creo que es necesario un trabajo conjunto. En cuanto arranquen las discusiones en la Comisión de Soberanía y Relaciones Internacionales, estaremos ahí. Además, vamos a dar alertas a las universidades y a los especialistas para que vigilen el tratamiento. Hay que tener cuidado, por ejemplo, con excepciones, que se intenten poner porque ahí se pueden filtrar novedades. En el exterior existe suficiente experiencia para que Ecuador no caiga en errores en la ley. Debemos recordar que somos de los pocos países que aún no tienen una normativa adecuada al respecto. Incluso hay organizaciones no gubernamentales que ya tienen instructivos con las alertas que debemos tomar en cuenta. Hay la documentación suficiente.