or: Mario Cuvi
ABOGADO ESPECIALIZADO EN TECNOLOGÍA E INVERSIONES EN M. BODERO Y ASOCIADOS

Septiembre 2019. Los datos de 17 millones de ecuatorianos se filtraron por una grave falla informática de un servidor en Miami que no cumplía adecuados estándares de seguridad y protección de datos. La información salió, principalmente del Banco del Instituto Ecuatoriano de Seguridad Social (BIESS). La violación de datos implicó una gran cantidad de información sensible como:

  • números identificación
  • teléfono
  • registros familiares
  • registros de trabajo
  • estados de cuenta
  • balances y tipos de crédito[1]

Febrero 2021, el banco más grande del Ecuador sufre una filtración de datos personales de sus usuarios. Esta filtración fue verificada por cientos de usuarios que exigieron al banco respuestas por redes sociales y anunciaron retiros de fondos, así como su decisión de no utilizar la entidad bancaria en el futuro.[2] Así, además de los posibles inconvenientes legales y financieros, este evento representó un daño reputacional para el banco.

Julio 2021, la ministra de Salud Pública, Ximena Garzón, confirmó en una rueda de prensa la filtración de una base de datos que contenía información de 1,5 millones de personas. Entre la información sensible filtrada estaban nombres, apellidos, números de cédula, teléfonos, números de historias clínicas, diagnósticos médicos y comorbilidades de usuarios. La información se podía descargar, pulsando un botón de descarga, sin ningún tipo de restricción, sin necesidad de registro o clave.[3]

Julio 2021, la Corporación Nacional de Telecomunicaciones (CNT) sufre un ataque de tipo ransomware, que impide que los usuarios accedan a su sistema o a sus archivos. Los responsables exigieron el pago de un rescate para poder acceder de nuevo a ellos. Este tipo de virus puede atacar diversas instancias: el sitio, la red o las bases de datos. En el caso de CNT, fuentes oficiales aseguraron que el ataque fue directamente a los sistemas informáticos internos de la empresa como facturación, activaciones y recargas.[4] Esto significó perdidas millonarias para la empresa.

Octubre 2021, el banco más grande de Ecuador sufre un nuevo ataque de ciberseguridad que dejó deshabilitados por más de 72 horas sus servicios electrónicos y banca virtual.[5]

Lo que queda claro es que el mundo digital ha llegado a un nivel de desarrollo, profundidad, e interconexión que exige tomar en serio las medidas y procesos de seguridad necesarios para precautelar los ecosistemas digitales que hoy usuarios internos y externos de compañías e instituciones utilizan diariamente.

Desde el registro de un nuevo cliente en una agencia de venta de celulares hasta el otorgamiento de un crédito hipotecario son procesos en que se intercambian datos sensibles que, de no ser protegidos adecuadamente, pueden ser filtrados y exponer a su propietario a riesgos tan graves como la suplantación de identidad, extorsión, o robo directo de fondos. Y por supuesto, de no contar con políticas, normativa interna, y procesos de protección de datos personales, las compañías a las que se le filtren los datos son responsables ante las autoridades de control y sus usarios.

Por eso es necesario que empresarios, gerentes, funcionarios públicos, abogados, y ciudadanos en general comprendan la importancia de la protección de datos personales. Los datos personales son por sí mismos importantes. Si en la era digital su protección se hizo un imperativo cada vez más claro, en la era del Big Data se ha vuelto indiscutible que no se puede avanzar a un mejor futuro sin garantizar esa protección.

Teniendo estos elementos en cuenta, la Constitución reconoce el derecho a la protección de datos personales en el artículo 66 numeral 19, y el 26 de mayo de 2021, se publicó la Ley Orgánica de Protección de Datos Personales (LOPDP) la base más importantes para la construcción y desarrollo adecuado de una sociedad digital.

Esta ley establece los principales derechos, conceptos, y requerimientos para la protección de datos personales en Ecuador. En la parte que quizás más interesa a muchos empresarios, crea la Superintendencia de Protección de Datos Personales, y establece sanciones considerables. Así, una compañía privada podría recibir multas de entre el 0,1 y el 1% de su volumen de negocio, esto es, la facturación bruta del año fiscal anterior a aquel en que se cometió la infracción por inadecuada protección de datos.

Así también, la Dirección Nacional de Registro de Datos Públicos (DINARDAP) emitió el: “Reglamento para el acceso y verificación de datos de los hechos y actos del estado civil e identidad de las personas, por parte de las entidades públicas y privadas (naturales y jurídicas) a través de servicios electrónicos y de interoperabilidad de la dirección general de registro civil, identificación y cedulación – DIGERCIC.” El nuevo reglamento exige la implementación de medidas vinculadas a la seguridad de la información, protección de datos personales y migración de aplicativos para mantener los convenios y el servicio de intercambio y consulta de información con las bases del registro civil.

Entidades financieras, empresas de venta a plazo, y otras que requieren de consultas constantes a la base del Registro Civil deben adaptarse al reglamento o perderán el acceso al servicio. Las compañías tienen hasta finales de noviembre para cumplir con los requisitos. De no hacerlo, perderán acceso al servicio con el Registro Civil. 

Así, la protección de datos personales y procesos de seguridad digital pasan de ser una opción para las compañías y se convierte en una necesidad para cumplir con obligaciones legales, y para proteger su reputación y sostenibilidad en el tiempo.

Las compañías, instituciones privadas, y entidades del Estado harían bien en asesorarse con expertos especializados en estas nuevas y complejas áreas del derecho y el diseño de procesos para, de manera oportunda y proactiva, adaptarse a la nueva legislación y obligaciones que la misma trae, evitando multas millonarias y procesos de desprestigio público por no proteger de manera adecuada los datos de sus clientes y usuarios.

[1] https://www.bbc.com/mundo/noticias-america-latina-49721456

[2] https://www.labarraespaciadora.com/ddhh/hotarus-corp-datos-bancarios-filtrados-que-puede-hacer-el-ciudadano-de-a-pie/

[3] https://gk.city/2021/07/28/ministerio-salud-denunciara-filtracion-datos/

[4] https://www.eluniverso.com/noticias/economia/cnt-remplazo-algunos-equipos-afectados-por-hackeo-y-otros-se-lograron-reutilizar-nota/ ver también https://www.labarraespaciadora.com/ddhh/ecuador-un-agujero-negro-de-datos-personales/

[5] https://www.elcomercio.com/actualidad/negocios/banco-pichincha-ciberseguridad-ciberataque-hackeo.html