Hace unas semanas escribí un artículo sobre el triste destino que estaba teniendo la regulación de protección de datos personales en el Ecuador. En él señalé que, lamentablemente, en lugar de enfocar el peso regulatorio en aquellos tratamientos de datos masivos –big data– que representan un verdadero riesgo, la norma se había concentrado en generar una serie de requisitos regulatorios y burocráticos para el empresariado en general, los cuales solo sirven para aumentar la demanda de servicios legales. La ley, más que proteger datos, ha terminado siendo un negocio para abogados.
Casi como si fuera para darme la razón, el Superintendente de Protección de Datos, en una de sus primeras opiniones, ha declarado que sería supuestamente ilegal el uso de datos biométricos –huella dactilar– para “marcar tarjeta” en el trabajo. Según él, los empleados, por el solo hecho de ser empleados, son incapaces de consentir el uso de sus datos biométricos, pues cualquier intento de consentimiento estaría viciado por fuerza.
No voy a entrar a discutir aquí el carente argumento del que se vale el Superintendente. Sin embargo, llama la atención lo repentino y sorpresivo de su opinión, que declara ilegal una práctica bastante extendida y generalmente considerada inofensiva. Más aún cuando la conclusión del pronunciamiento es la siguiente:
Finalmente, cabe mencionar que es necesario realizar un análisis de riesgos previo a cualquier tratamiento de datos personales y, en aquellos tratamientos en los que se identifique un riesgo alto, se debe llevar a cabo una evaluación de impacto con la finalidad de implementar medidas adecuadas de seguridad para mitigar los riesgos y obtener un riesgo residual que sea manejable y prudente, de manera que no afecte los derechos de los titulares de datos personales. En este sentido, se recomienda que, previo a la posibilidad de aplicación de tratamientos de datos biométricos, se realice una evaluación de impacto para el cumplimiento de la LOPDP.
El mensaje es claro: esta es una advertencia y una amenaza dirigida a empresas de todo nivel para que contraten costosos servicios de evaluación de impacto, ya que prácticas tan cotidianas e inofensivas como el control biométrico pueden resultar en una infracción. La Superintendencia no se enfocará en el control de aquellos actores del mercado que, por la naturaleza de su negocio, realizan tratamiento masivo de datos –y que, por lo mismo, generan un mayor riesgo de mal uso y filtración–, sino que exigirá medidas costosas y burocráticas a las empresas en general, independientemente de su actividad económica. Para los abogados y consultores, el negocio acaba de mejorar.
Es lamentable que una autoridad regulatoria, que asume un cargo de nueva creación para cumplir una función antes inexistente en el país, desaproveche la oportunidad de generar pautas puntuales, dirigidas y quirúrgicas de control que permitan el libre desarrollo de los mercados, interviniendo solo en aquellos casos muy específicos en los que exista un verdadero daño o amenaza. En cambio, opta por más de lo mismo: regulación generalizada y molesta para todos, entorpeciendo el desarrollo, la competitividad, la innovación y la eficiencia por la que los mercados suelen ser conocidos. Al final, otra institución que sirve únicamente para beneficiar a abogados, lobistas, consultores y tramitadores, en detrimento de las empresas, los consumidores y el país.
