Ecuador aparece en la lista de los países con más publicidad no solicitada a través de llamadas y mensajes. Hace un año se aprobó una normativa para frenar esta tendencia.
El 26 de mayo de 2021 entró en vigor la Ley de Protección de Datos Personales. Desde esa fecha comenzó a correr un plazo de dos años para que las empresas privadas y las instancias públicas correspondientes hagan los cambios necesarios para que la normativa se aplique de forma efectiva.
En un año se ha avanzado poco o casi nada. El punto de partida era que, en promedio, un ecuatoriano puede ser contactado hasta seis veces al día por una misma empresa para venderle un producto o servicio.
Esa tendencia se ha profundizado. Así, según el último reporte de la empresa internacional Truecaller, Ecuador ingresó por primera vez en el top 20 de países que registran más llamadas comerciales no deseadas o ‘spam’ a escala mundial en 2021.
“Ecuador es un nuevo participante en la lista de Truecaller de los 20 países más ‘spameados’ del mundo. La mayor parte (59,7%) de las llamadas de spam reportadas se etiquetaron como de ventas, seguidas por los servicios financieros con una participación del 35,4%. Los usuarios de Truecaller en el país están etiquetando alrededor del 2,8% de todas las llamadas de spam como estafas”, indica el informe.
Sin reglamento ni control
Al momento, ya se debería haber aprobado el reglamento de la Ley vigente desde el año 2021. Sin embargo, lo único que ha circulado, de forma extraoficial durante diciembre de 2021, es un borrador de dicho reglamento, cuya elaboración es de responsabilidad de la Dirección Nacional de Registros Públicos (Dinarp) y el Ministerio de Telecomunicaciones.
Además, desde el Gobierno tampoco están claros los plazos, el procedimiento ni los candidatos de la terna para escoger al Superintendente de Protección de Datos. Esa autoridad debe aterrizar todos los aspectos de la Ley, establecer el régimen sancionatorio para los incumplimientos y aclarar toda la hoja de ruta.
Alberto Medina, abogado corporativo, explica que solo en el sector financiero, a través de una resolución de la Superintendencia de Bancos, se ha dado la directriz de pedir planes de prevención de riesgos en el manejo de sistemas, datos y ciberseguridad.
En zonas como la Unión Europea, con normativas creadas hace más de 15 años, funcionan Agencias de Protección de Datos con capacidad reguladora y sancionadora.
“Estos retrasos en establecer la institucionalidad mínima, no solo han profundizado el desconocimiento para la mayoría de las empresas y la ciudadanía, sino que, muy probablemente, provocará que se prorrogue al menos un año más la aplicación de la Ley”, puntualizó Medina.
Falta de especialistas
Jorge Jaramillo, gerente general de Handytec, empresa ecuatoriana especializada en Big Data Analytics desde 2012, explica que uno de los principales vacíos en el mercado es la falta de especialistas en ciberseguridad y manejo adecuado de bases de datos.
“Tenemos pocos profesionales en esas áreas. Se ve en los últimos exámenes para ingresar a las universidades. Hay muchos para leyes y muy pocos para sistemas. De esos pocos que se gradúan en sistemas, una fracción mínima busca una especialización en ciberseguridad. Incluso en las empresas más grandes, los mayores equipos de ciberseguridad no superan las 10 personas”, puntualiza.
Además, desde hace dos años, tanto en redes sociales como en plataformas de búsqueda de empleo, se ven cada vez más convocatorias para cubrir el puesto de custodio de datos o responsable de gobierno de datos.
Ese puesto, aunque tiene más profesionales disponibles que el de ciberseguridad, también es deficitario.
Otra figura importante para la aplicación de la Ley es la del encargado de datos personales. Ese puesto necesita un perfil híbrido entre un especialista en leyes y temas tecnológicos y de telecomunicaciones.
“Se supone que es una especie de interlocutor entre la Superintendencia y cada empresa. Debe elaborar un ‘check list’ de riesgos y hacer una valoración sobre dónde se debe mejorar. A la par de esa figura se deben establecer unas entidades certificadoras de que las empresas cumplen con la Ley”, asevera Jaramillo.
Desconocimiento
Luego de un año de la vigencia de la Ley, de acuerdo con Andrés Pazmiño, consultor en telecomunicaciones y procesos tecnológicos corporativos, existe un gran desconocimiento de ciudadanos y empresas no solo sobre la existencia de la normativa, sino también de su importancia y obligaciones a cumplir.
“Menos del 1% de las empresas del país, es decir, solo las más grandes y con músculo financiero e institucional para hacer cambios, está consciente de lo que hay que hacer para mejorar el manejo de los datos de los clientes. El resto, sobre todo las más pequeñas y micro, no tienen idea, aunque la ventaja es que la inversión y los procesos que necesitan son menores”, recalca.
Jaramillo asevera que, desde el lado ciudadano, se debe entender que los datos son más o igual de valiosos que el efectivo que se tiene en el bolsillo.
“Con la Ley hay la posibilidad de saber dónde está ese dato, por qué alguien lo tiene, quién tiene acceso a él y cómo se lo utiliza. Además, se podrá establecer quién te puede contactar, en qué casos y sobre qué temas. Debe haber una corresponsabilidad de la gente para saber los derechos que brinda la normativa. Eso no existe en la actualidad”, recordó. (JS)
En América Latina, Ecuador ocupa el sexto lugar por la cantidad de llamadas comerciales no deseadas, según el informe de Truecaller.
Más fallos en procesos que hackeos
Jorge Jaramillo, gerente general de Handytec, explica que la mayoría de las noticias que circulan sobre vulneración de los sistemas de empresas están contaminadas por el desconocimiento y la especulación.
“Se asume que hay alguna entidad perversa o hackers detrás, pero en la mayoría de los casos se debe a fallas de diseños o fallas de los operadores del sistema. Por ejemplo, una empresa grande comparte cierta información con un proveedor pequeño; pero este proveedor no cumple todos los protocolos y se produce la vulneración del sistema”, acota.
Por eso hacen falta más perfiles especializados y protocolos claros sobre cómo se deben manejar las bases de datos y toda la información sensible de los clientes.