Ecuador tiene una ley vigente desde 2023. Las entidades públicas y privadas que mantienen datos de ciudadanos y clientes deben legitimar el acceso y custodia de esa información. El ente encargado del control del buen uso de esa data es la Superintendencia de Protección de Datos Personales, creada en 2024. Nuestra información personal debe ser protegida en todas las esferas, pero especialmente en la digital, para evitar ser víctimas de ciberdelitos, como el phishing y el smashing. ¿Qué está ocurriendo?

“Ecuador tendría expuestos datos de más de 16 millones de usuarios de WhatsApp, siendo el puesto 38 entre 236 países con más usuarios en peligro”. La alerta la difundió el 18 de noviembre, a través de la red X, la organización ciudadana Usuarios Digitales. Alfredo Velazco, director de esa entidad, explicó la magnitud de la amenaza.

A nivel global, unos 3.500 millones de números de teléfonos pudieran extraerse a partir de la plataforma de WhatsApp. En Ecuador, del total vulnerable, casi la mitad incluye la fotografía de los titulares de esas cuentas. Y una cuarta parte, además, identifica a los usuarios por su nombre y revela su estado en esa plataforma.

En este caso, la responsabilidad de la protección de los datos no recae únicamente en los afectados, sino en los entes que custodian la información.

“No necesariamente hay riesgo por falta de cultura de protección de las personas, sino por falta de una respuesta tecnológica adecuada de quienes guardan esa información. Ya es hora de preocuparse de las instituciones que filtran bases de datos, por medio de funcionarios sin ética”, advierte el titular de Usuarios Digitales. Las grandes filtraciones se producen en el 99 por ciento de casos por fugas, más que por la acción ilegal de terceros o hackers, según sus registros.

Ocurrió en 2019. El 11 de septiembre, dos expertos en ciberseguridad de la firma vpnMentor, alertaron sobre una fuga de información que afectaba a casi toda la población ecuatoriana. Unas 18 Gigas (GB) de datos, incluyendo nombres completos, género, fecha, lugar de nacimiento, dirección, correo electrónico, teléfonos, estado civil y estudios, estaban alojadas en un servidor desprotegido, en Miami.

Pocos días después, el ministerio de Telecomunicaciones explicaba que una empresa de servicios domiciliada en Ecuador había obtenido de manera ilegal una base de datos y la había alojado en un servidor en esa ciudad de EE.UU.

No se trató de un hackeo, sino de robo de información, por parte de dos exfuncionarios públicos que durante la revolución ciudadana accedieron a data sensible. Se sabe que accedieron a al menos cuatro bases distintas, entre ellas, del banco de la seguridad social y del registro civil. Aparecían nombres de recién nacidos, inclusive.

El hecho motivó la creación de una comisión especial investigadora. Sin embargo, ante la ausencia de la Ley de Protección de Datos -aún no estaba vigente en 2019- quedó impune.

La conmoción aceleró el envío urgente de la ley, que se venía trabajando desde 2017. Este texto llegó a la Asamblea en 2019, según explica Lorena Naranjo, jurista, experta e impulsora de la iniciativa legal.

Ella dirigía en esa época la Dirección Nacional de Registro de Datos Públicos, Dinardap. “Durante dos años la entidad que dirigí elaboró el anteproyecto de ley de protección de datos, con 60 mesas técnicas que convocaron a instituciones públicas y privadas, academia y otros actores, para tener un contenido adecuado a la normativa y a la realidad ecuatoriana”.

Su tesis doctoral se enfocó en el proyecto de ley. El texto quedó pendiente de debate en la Asamblea Nacional. Como telón de fondo, el país cambió de gobierno en 2021.

Ese mismo año, otros episodios volvieron a crear preocupación. La empresa pública de telecomunicaciones sufrió un ataque informático. Una institución financiera privada también fue atacada.

A nivel local, parte de la data que maneja el Municipio de Quito quedó comprometida en otro evento que vulneró la seguridad informática.

Ese año, 2021, la Ley de Protección de Datos finalmente empezó a ser tratada en la Asamblea Nacional, y fue aprobada, por mayoría. Empezó a regir desde 2023.

“Estuvimos entre los últimos países de América Latina, con Bolivia y Venezuela, en tener la ley; pero este atraso nos permitió que el modelo de protección se acerque a la normativa vigente en Europa. Llegamos tarde pero nos subimos en el tren de la modernidad”, explica Lorena Naranjo, quien ahora dirige la Maestría en Derecho Digital e Innovación de la Universidad de las Américas.

La ley establece ocho razones como los pilares que legitiman el acceso y la tenencia de información: cuando la ley lo permite; por orden judicial; por interés público; por interés vital; por temas contractuales; por interés legítimo; por fuentes accesibles al público y por el consentimiento de las personas que constan en una base.

“La Ley obliga a enfrentar la necesidad de proteger datos de nuestros clientes, desde el sector privado, y de los ciudadanos, desde el sector público”, explica Manuel Jacho Chávez, intendente general de Regulación de Protección de Datos Personales y titular encargado de la Superintendencia de Protección de Datos Personales (SPDP), al momento de esta entrevista. El superintendente es Fabrizio Peralta-Díaz.

La entidad empezó a funcionar el último trimestre de 2024. Aunque había requerido dos millones de dólares para iniciar sus funciones, recibió el equivalente a la tercera parte.

Empezó su labor con 33 funcionarios. Para 2025, el presupuesto asignado subió a 1,5 millones de dólares. Requiere al menos 107 colaboradores para cumplir su misión, esa cifra está contemplada en el presupuesto de 2026.

“El desafío es hacer entender a la sociedad sobre la urgencia de una redefinición en el manejo de datos, normalmente la actividad de protección se considera como una carga y un gasto”, explica el superintendente encargado. “Quien trata datos debe tener una base de legitimación para acceso, uso y conservación de esa información”.

La normativa camina, pero la tecnología corre. Una empresa privada pagaba 30 dólares a ciudadanos para registrar datos biométricos, en concreto, el reconocimiento del iris. ¿Qué pasa si el ciudadano consiente pero no sabe el alcance de su decisión? ¿Quién garantiza cuál será el uso de esa información? Y ni hablar de los avances de la inteligencia artificial que se basa, precisamente, en información acopiada en megabases de datos.

¿Le ha pasado que recibe una llamada a su número de celular, en la que le ofrecen un servicio o un producto que usted no requiere ni está buscando?

Este hecho pudiera considerarse una vulneración a su derecho a proteger sus datos. Usted puede pedir tres cosas: que le informen de dónde obtuvieron su contacto, que le muestren su consentimiento para haberlo contactado; y, que le borren de la base de datos de la entidad de la cual usted recibe la llamada.

“Si alguien detecta que sus datos se usan sin su consentimiento debe reportarlo a la Superintentencia de Protección de Datos Personales, para iniciar un procedimiento”, según el superintendente encargado. Según la SPDP, se registraron 271 denuncias, 55 en sustanciación y 132 pendientes. Además, se iniciaron siete procedimientos administrativos sancionatorios, de los cuales seis están en fase de sustanciación. “La entidad está encargada de tutelar los derechos de 18 millones de ecuatorianos; su autonomía le da un rol fundamental”.

Las organizaciones que deben cumplir la normativa de protección superan las 3.450, entre públicas y privadas. Todas ellas deben registrar un delegado de protección de datos hasta fin de este año. Hasta fines de octubre, se inscribieron 1.408 delegados, en su mayoría del sector público. El rol del delegado en el ecosistema de protección es esencial, debe supervisar el cumplimiento de los lineamientos de protección de datos, con garantía de independencia frente a la organización a la que pertenece, explica Jacho.

Ciberdelitos

“No hay una cultura consolidada de protección de datos en Ecuador por parte de las personas”, advierte el presidente de la Asociación de Bancos Privados, Marco Rodríguez.

“No voy gritando por la calle mi número de cédula, ese mismo cuidado debo tener con mis datos en el mundo digital”. Y cita dos ejemplos cotidianos. Uno, la facilidad con la que las personas llenan boletos para supuestos sorteos, consignando su información, sin leer la letra pequeña que, al final de ese papel, establece que esa data pudiera ser entregada a terceras personas. Y la forma en que los visitantes entregan su información personal para acceder a lugares públicos.

Rodríguez aclara que el sistema financiero ecuatoriano aplica reserva y sigilo a la información que maneja, desde que rige legislación bancaria emitida en 1994. “Los sistemas de gestión de seguridad de información se apegan a estándares internacionales y establecen la obligación de preservar la información aplicando tres principios básicos: confidencialidad, integridad y disponibilidad. Esto significa que la información está protegida para que no acceda cualquier persona, pero está disponible para el cliente”.

Alerta, sin embargo, que nuevas formas de fraude informático aprovechan la falta de cultura digital del cliente para perjudicarlo.

El phishing es un ciberataque que se realiza a través de correos electrónicos fraudulentos. Simulan pertenecer a una entidad bancaria o una institución formal. Usualmente, piden que la persona dé un clic en un enlace. Al hacerlo se instala un virus troyano que roba los usuarios y contraseñas. “Esta modalidad viene mutando a otra, el smishing. A través de mensajes de texto (sms) le advierten que se van a caducar las millas, al dar clic en un enlace pasa lo mismo, se instala un virus que roba las claves”.

“Como el principal elemento del fraude es que el delincuente entra con las credenciales y las claves de un cliente, el banco no tiene forma de saber que no es el cliente el que entró”. La Asociación empezó campañas para informar de estos riesgos, el perjudicado suele ser el usuario que facilitó el acceso de terceros a sus claves personales.

Un estudio revelador

Un informe emitido por el área de derechos digitales de Fundación Ciudadanía y Desarrollo detecta que la cultura de protección de datos en el país es limitada.

Según Andrés Reyes, uno de los responsables de la investigación, el estudio abordó un análisis de marco normativo e institucional y la aplicación de políticas públicas. Además se enfocó en grupos vulnerables y de atención prioritaria, población GLBTI y pobladores de la Amazonía.

Desde la vigencia de la Constitución de 2008, explica, rige el derecho a la protección de datos personales, lo que incluye derechos complementarios, como el derecho a la educación digital.

“La gente no sabe la importancia de sus derechos, no sabe qué puede hacer cuando un tercero accede a su información, a dónde debe acudir cuando ha sido vulnerado su derecho a la protección de sus datos”.

A través de técnicas de grupos focales, identificaron que los grupos vulnerables como la población GLBTI es susceptible al riesgo de discriminación al exponerse información sensible, como su estado de salud.

En el caso de pobladores amazónicos, activistas y defensores de los derechos humanos y de la naturaleza se ven expuestos a amenazas contra su integridad, al revelarse datos como sus direcciones personales u otra información a través de sus redes sociales.

Una de las recomendaciones es fomentar el acceso a la educación digital, especialmente de las personas adultas, que tienen mayores dificultades para enfrentarse con la tecnología. Fuente: Vistazo