Parto este brevísimo artículo señalando que Constitución de la República del Ecuador recoge, desde el año 2008, el derecho a la protección de datos personales y desde el 2021 contamos con Ley Orgánica de Protección de Datos Personales, misma que es aplicable tanto para organizaciones privadas como para entidades e instituciones del sector público.
Bajo esta premisa, se debe entender que dentro de sus prácticas deben cumplir con las obligaciones establecidas en la citada ley, pero ¿qué pasa cuando una autoridad emite una disposición que tiene un claro impacto sobre los datos personales de sus regulados o controlados?
Ese es el caso de la Resolución Nro. SCVS-INC-DNCDN-2022-008, emitida por la Superintendencia de Compañías, Valores y Seguros que contiene Reglamento Sobre los Requisitos que deben Contener el Nombramiento del Representante Legal y el Poder del Mandatario Mercantil de las Compañías, mismo que ahora incluye la obligatoriedad de contener el código dactilar de la persona natural en cuyo favor se extendiere el nombramiento de representante legal, un dato personal más dentro de este documento, que será sometido a una serie de tratamientos por diversas entidades -al menos por la misma Superintendencia y por los registros mercantiles o de la propiedad con funciones facultades de registro mercantil-.
¿Por qué es un dato personal? Sencillo, un dato personal es aquel que identifica o hace identificable a una persona natural, directa o indirectamente y el código dactilar es una serie de números y letras, que está formado por 10 dígitos únicos e irrepetibles, otorgado por el Registro Civil durante el proceso de cedulación de una persona y luego de la lectura de la huella digital de una persona, siendo único e irrepetible, que permite su plena identificación.
¿A qué me refiero? El derecho a la protección de datos personales surge a fin de proteger a las personas de los abusos a los que podrían haberse visto sometidos por parte de quien controlara sus datos -tendríamos que regresarnos a la segunda guerra mundial para ver esto en mayor detalle-, partiendo de un principio conocido como “autodeterminación informativa” -yo decido a quién entrego mis datos, para qué autorizo su uso, por cuánto tiempo, entre otros aspectos.
Con este antecedente, el uso de datos personales debe regirse por varios principios -no voy a entrar en discusión sobre la base legitimadora para hacer uso de los datos- y voy a destacar al menos tres, que al amparo de la resolución de la Superintendencia se aprecian como las más relevantes: finalidad, pertinencia y minimización de datos personales y proporcionalidad.
Brevemente, la finalidad debe ser determinada, explícita, legítima y comunicada al titular; los datos personales deben ser pertinentes y estar limitados a lo estrictamente necesario para el cumplimiento de la finalidad; y el tratamiento debe ser adecuado, necesario, oportuno, relevante y no excesivo con relación a la finalidad.
Aún más breve, debe haber un fin y se deben usar los datos estrictamente necesarios, ni más y ni menos.
Ahora sí, sobre la resolución de nuestro interés, la Superintendencia debió evaluar el impacto que su disposición tendría sobre los titulares de datos, en primer lugar, porque podría estar recayendo en un tratamiento excesivo, considerando que ya cuentan con el número de cédula, que ya es un código único e irrepetible entregado a cada persona, entonces ¿por qué necesitaría otro?, que incluso puede representar un riesgo mayor, al estar atado a la huella dactilar de las personas.
Asimismo, debió considerar que el código dactilar, debido que no es un dato conocido por todos, se utiliza como medio de verificación para acceder a una serie de servicios en línea -ente ellos varios pertenecientes la administración pública- y que al incorporarlo en un documento como lo es el nombramiento, mismos que son fácilmente accesibles desde el mismo sitio de la Superintendencia en cualquier momento y desde cualquier lugar, este dato puede ser utilizado para el cometimiento de ilícitos, como la suplantación de identidad.
El análisis de riesgo es fundamental en el derecho a la protección de datos personales, la misma norma recoge la obligatoriedad de incorporar prácticas desde el diseño de un tratamiento -para identificar riesgos antes de que el tratamiento entre en operación y luego para poder tomar las medidas de seguridad apropiadas-.
Este tipo de análisis no son nuevos, en otras partes del mundo las entidades suelen realizar consultas a las Autoridades de Protección de Datos en sus países respecto del impacto que sus propuestas puede tener en ese ámbito -les dejo como ejemplo la relación que existe entre Il Garante y la Agenzia delle Entrate e alla Guardia di Finanza en Italia-.
En conclusión, hay un deber y una responsabilidad clara de las autoridades, a las que les corresponde, antes de la emisión de una disposición que involucre datos personales, el realizar un análisis previo que le permita identificar si con esta no se está afectando a los titulares de dato o, de manera meas clara, vulnerando su derecho constitucional.
Gracias muy útil