Pablo Solines explica los efectos de la aplicación de la Ley de Protección de Datos de la Unión Europea, en vigencia desde mayo pasado. Aclara que es una normativa extraterritorial y que todo el país debe informarse sobre su correcto cumplimiento.

La Ley de Protección de Datos de la Unión Europea (UE) está vigente desde mayo de este año. ¿Qué implicaciones tiene esta normativa?

Se trata de un reglamento de la UE de aplicación inmediata, es decir que no requiere un reglamento de los países miembros del bloque europeo. El 26 de mayo del 2016 se publicó el reglamento de protección de datos y se planteó un tiempo de adaptación de dos años, para que las empresas conozcan la normativa y adapten sus procesos y negocios. Superado ese tiempo empieza aplicarse el reglamento, con todo lo que implica. Es así que a partir del 25 de mayo de este año, las empresas y personas que regula el reglamento deben cumplirlo.

¿Cuál es el objetivo de esta normativa?

La protección de datos de carácter personal a nivel europeo ya tiene varias décadas de regulación. Entonces, el reglamento trae ahora una serie de nuevas disposiciones que buscan identificar nuevas necesidades generadas por los avances tecnológicos, a fin de adaptarlas a la regulación de protección de datos.

¿Qué es la protección de datos de carácter personal?

En Ecuador es un derecho constitucional que plantea una protección para la persona a efectos de que se pueda tener una regulación y control adecuados respecto de los distintos usos que se pueda dar a los datos de una persona. La importancia de este derecho es que no se limita a los datos íntimos, sino que es mucho más amplio. El dato de carácter personal es aquella información que permite identificar a alguien. Allí está la dirección de correo electrónico, el número de cédula, placas de vehículos, fotos. Esta información es objeto de una protección específica. En Ecuador, si bien en la Constitución que nos rige se configuró el derecho a la protección de datos personal, no es menos cierto que no ha sido desarrollado, ni regulado. La consecuencia es que empresas, instituciones públicas y personas utilicen datos de carácter personal como bien consideren, sin seguir ningún tipo de procedimiento u obligación.

El tema del manejo de datos es una preocupación de ciudadanos y de empresas. ¿Todo eso debe ser regulado?

Una persona que recibe la oferta de un producto o servicio de una determinada empresa debe haber dado su consentimiento expreso para que sus datos sean utilizados para esos fines.

Pero eso no pasa siempre...

El reglamento de la UE es de aplicación extraterritorial, es decir que en Ecuador, como país y como personas que podemos tratar datos personales, ya no somos ajenos a esa regulación, en la medida en la que vayamos a utilizar o tratar datos de carácter personal de ciudadanos europeos o que residan en la UE o que tengan como fin la oferta de bienes o servicios o que su fin sea el control del comportamiento. Como ejemplo pensemos en portales web que no están en la UE, pero sí captan información de ciudadanos europeos cuando navegan por la web y reciben publicidad de un portal de e-commerce.

¿En esto ya aparecen el big data y la inteligencia artificial?

Así es. Por eso estas nuevas tecnologías tienen una íntima relación con la protección de datos y de alguna manera el reglamento de protección de datos de la UE busca regular eventos que se dan en la práctica y que la normativa interna de cada país no ha podido controlar porque, obviamente, existe una jurisdicción limitada de cada país.

Siempre se dice que la tecnología avanza mucho más rápido que las leyes. ¿Cómo actuar cuando cada vez estamos más conectados y nuestros datos, más expuestos?

El desarrollo tecnológico siempre va a ser exponencial frente al desarrollo normativo, es una realidad. Esta nueva ley plantea principios de carácter general y busca que el desarrollo normativo no se quede obsoleto. El reglamento de la UE, al ser una norma extraterritorial, señala que la persona, natural o jurídica, se convierte en un sujeto de obligaciones y derechos. En ese sentido si no se cumplen los preceptos del reglamento puede ser objeto de sanciones. Es un asunto delicado porque una persona o una empresa ecuatoriana puede ser sujeto de sanciones si en el giro del negocio trata datos de ciudadanos europeos o residentes.

¿Esto genera nuevas obligaciones para empresas?

Empresas, estudios jurídicos, portales de Internet...están sometidos. Es un sacudón como país porque no hemos estado familiarizados con la regulación de protección de datos. Hay normas incipientes en la ley de comercio electrónico, la ley de telecomunicaciones, en el código penal. Son normas incipientes y plantean principios muy generales, pero no se regula la materia. A raíz del reglamento de la UE ya se está planteando, a nivel de instituciones públicas, trabajar en un proyecto de ley de manera seria.

¿Incide de alguna manera el acuerdo comercial firmado con la Unión Europea?

El reglamento de protección de datos no se limita a países con acuerdos comerciales con el bloque europeo. Es para toda persona que maneje datos de ciudadanos europeos o residentes en la UE.

Entonces, ¿las empresas deben informarse?

Lo más importante es identificar si es que existe manejo de datos de ciudadanos europeos y en qué términos se está haciendo. El problema es que en Ecuador recién estamos pretendiendo reaccionar ante la normativa, cuando ya se tuvo dos años.

¿En esos dos años no se avanzó?

Muy poco. En Ecuador, poco o nada se ha dicho. Ahora se trata el tema luego de que entró en vigencia en mayo pasado. De cara a la autoridad de la UE ya no hay justificación en caso de una infracción. Tenemos que intentar adaptarnos en el menor tiempo posible.

¿Las pymes que exportan a la UE están incluidas en la normativa?

Es probable. No toda empresa que tenga una relación con compañías europeas está dentro de la norma. Solo se aplica en la medida en que traten datos personales de ciudadanos europeos. Si no es así, no tienen de qué preocuparse.

¿Cuál es el mínimo dato que implica estar bajo esta normativa?

Si se ofrecen bienes o servicios o si se generan perfiles. Un desarrollador de software, por ejemplo, que trabaja para una empresa europea necesita correr el programa y utilizar datos, sin que necesariamente ofrezca un bien o servicio.

En caso de una infracción, ¿cuáles son las sanciones?

Primero hay que ver las obligaciones que van por un sinnúmero de situaciones, desde consentimientos expresos, explicar la finalidad del uso de datos, delegados de protección de datos ante la UE, etc. Si se incumplen las obligaciones existen sanciones económicas drásticas, la mínima es de 10 millones de euros.

Hoja de vida

Es abogado–socio  de Solines & Asociados desde el 2007. Realizó estudios de postgrado en universidades de España, como la Autónoma y la Carlos III de Madrid, donde obtuvo maestrías en temas relacionados con propiedad intelectual, media & entretenimiento, así como telecomunicaciones y TIC. Además tiene estudios de especialización en Derecho Administrativo.

En su ejercicio se ha destacado atendiendo asuntos relativos a la propiedad intelectual, industrial y nuevas tecnologías, principalmente en aquellos sectores como son el audiovisual, cine, música, editorial, artes, software, entre otros.