Sistema de Protección de Datos personales: Perspectiva del RGPD asimilada en la normativa ecuatoriana

Durante las últimas décadas, la evolución de la protección de datos personales, ha transitado de ser una inquietud periférica a convertirse en un elemento estructural de la sociedad digital. En el contexto latinoamericano, y específicamente en Ecuador, este camino presenta hitos marcados por la necesidad de integrarse en el comercio global, pero también por una urgencia constitucional de proteger este derecho fundamental.

La Ley Orgánica de Protección de Datos Personales (LOPDP), publicada el 26 de mayo de 2021, representa la culminación de una aspiración jurídica que encuentra sus raíces en el modelo europeo. Si bien la influencia del Reglamento General de Protección de Datos (RGPD) es innegable en la redacción de la norma ecuatoriana, existe un desafío en la implementación práctica: evitar que la protección de datos se reduzca a un ejercicio burocrático de cumplimiento formal.

A menudo, las organizaciones en general visualizan la protección de datos personales como un obstáculo administrativo o, en el mejor de los casos, como un requisito para evitar sanciones. Sin embargo, esta visión ignora la esencia misma de la normativa. La transformación no reside únicamente en las cláusulas de consentimiento, sino en el reconocimiento de la autodeterminación informativa como un derecho que habilita el ejercicio de otras libertades.

En un entorno donde actualmente tecnologías como la inteligencia artificial están redefiniendo la interacción humana, retornar a los principios fundamentales no constituye un retroceso, sino la forma de avanzar con criterios éticos sólidos. Una ley sin cultura de protección de datos personales permanece como declaración formal; por ello, resulta necesario analizar cómo Ecuador está transitando hacia ese cambio cualitativo.

Es frecuente escuchar en foros de diversa índole que "los datos son el nuevo petróleo". Esta afirmación, aunque válida desde una perspectiva de economía digital, resulta problemática desde la óptica de los derechos humanos. A diferencia de un recurso natural extractivo, el dato personal constituye una extensión de la individualidad. Tratarlo únicamente como activo intangible en el balance organizacional deshumaniza a la ciudadanía y mercantiliza su privacidad.

La normativa ecuatoriana, al igual que el RGPD, establece principios rectores como la lealtad y la transparencia, los cuales no constituyen sugerencias operativas, sino mandatos que gozan de reconocimiento legal y ético. Cuando una organización recaba datos, no solo está capturando información, está asumiendo la custodia de un fragmento de la vida de una persona. La lealtad en el tratamiento implica no sorprender a los titulares con usos secundarios no esperados, práctica que lamentablemente persiste en estrategias como el marketing digital a modo de ejemplo.

El cambio de paradigma que se busca instaurar requiere que quienes tienen la responsabilidad del tratamiento, comprendan que la protección de datos no protege al dato en sí mismo, sino a la persona detrás del dato. Esto resulta especialmente crítico al tratar categorías especiales de datos, como los de salud o crediticios, cuyo manejo inadecuado puede derivar en discriminación o exclusión social, vulnerando la dignidad humana garantizada constitucionalmente.

Uno de los aspectos críticos en la madurez del sistema ecuatoriano es la correcta asimilación de los roles definidos por la LOPDP. Con frecuencia se diluye la frontera entre quien decide (responsable del tratamiento) y quien ejecuta (encargado del tratamiento).

El responsable del tratamiento no puede delegar su obligación de rendición de cuentas; es quien define el por qué y el para qué de los datos, asumiendo la carga principal de demostrar el cumplimiento normativo (principio de finalidad y responsabilidad proactiva y demostrada o accountability). Por su parte, el encargado del tratamiento no es un prestador de servicios exento de responsabilidad; su obligación solidaria se activa si incumple las instrucciones del responsable o utiliza los datos para fines propios, convirtiéndose de facto en responsable.

Esta distinción no es meramente académica. En la práctica, determinar correctamente quién ostenta cada rol resulta fundamental para establecer las salvaguardas contractuales adecuadas, definir cadenas de responsabilidad claras y garantizar que los derechos de los titulares puedan ejercerse efectivamente ante quien corresponda.

Dentro de este esquema de responsabilidades, consta la figura del Delegado de Protección de Datos (DPD) quien representa un elemento distintivo del sistema de protección. A diferencia del Responsable y del Encargado del tratamiento, que tienen roles operativos o decisorios sobre los datos, el DPD cumple una función de supervisión, asesoramiento y enlace con la autoridad de control y los titulares. No decide sobre el tratamiento, tampoco lo implementa, ni lo ejecuta, sino que garantiza que quienes lo hacen cumplan con la normativa además demuestren el evidenciable de los mecanismos implementados en la organización.

Este rol diferenciado es clave para comprender su naturaleza: el DPD no sustituye las responsabilidades del responsable o del encargado, sino que actúa como control interno cualificado. Su posición dentro de la organización debe caracterizarse por dos atributos esenciales: independencia y autonomía. La independencia implica que no puede recibir instrucciones sobre cómo ejercer sus funciones de supervisión, mientras que la autonomía requiere que disponga de los recursos, acceso a información y posición jerárquica necesarios para desempeñar su labor efectivamente. 

Sus funciones incluyen informar y asesorar sobre las obligaciones en materia de protección de datos, supervisar el cumplimiento de la normativa y, fundamentalmente, garantizar que los mecanismos implementados en la organización sean evidenciables y demostrables ante la autoridad de control. No basta con cumplir formalmente con la ley; el principio de responsabilidad proactiva exige que la organización pueda acreditar documentalmente las medidas técnicas, organizativas y de gobernanza adoptadas.

El DPD es quien debe velar por que esta capacidad de demostración exista y se mantenga actualizada. Adicionalmente, asesora sobre las evaluaciones de impacto en la protección de datos y actúa como punto de contacto con la Superintendencia de Protección de Datos Personales (SPDP) y sus titulares. Sin embargo, se observa en el mercado una tendencia preocupante a simplificar esta función, tratándola como un requisito formal más del sistema de cumplimiento normativo.

La proliferación de certificaciones de corta duración y la aparición de profesionales que ofrecen servicios de DPD sin la debida preparación plantea riesgos significativos. Un certificado de 40 u 80 horas, aunque pueda proporcionar nociones fundamentales, no sustituye la formación jurídica sólida, la experiencia práctica en tratamientos complejos y la actualización constante que exige este rol. La protección de datos es un campo en permanente evolución: nuevas tecnologías, criterios de las autoridades de control, jurisprudencia emergente y desarrollos normativos requieren un compromiso genuino con la formación continua.

El ejercicio responsable de la función de DPD demanda no solo conocimientos técnico-jurídicos actualizados, sino también capacidad de interlocución con distintas áreas organizacionales, comprensión de procesos de negocio y habilidades para traducir obligaciones normativas en medidas operativas viables. Quien asume este rol sin la preparación adecuada no solo expone a la organización a riesgos de cumplimiento, sino que compromete los derechos de las personas titulares de los datos.

Según la normativa vigente, el DPD puede enfrentar consecuencias derivadas de su actuación profesional en tres ámbitos:

• En lo administrativo: La organización que designa un DPD sin la cualificación necesaria o que no le proporciona los recursos adecuados puede ser sancionada por la SPDP por incumplimiento de sus obligaciones de supervisión.
• En lo civil: Quienes ejercen como DPD pueden enfrentar reclamaciones por daños y perjuicios derivados de asesoramiento negligente, conforme a los principios generales de responsabilidad profesional.
• En lo penal: La responsabilidad penal del DPD se limita a la comisión de infracciones penales comunes en el ejercicio de sus funciones (como falsificación documental o revelación de secretos), no existiendo en la legislación ecuatoriana tipos penales específicos por negligencia en las tareas de protección de datos.

Es importante que quienes asumen este rol comprendan la dimensión de sus responsabilidades y mantengan actualizadas sus competencias profesionales. La designación de un DPD no constituye el fin del proceso de cumplimiento, sino el inicio de una supervisión cualificada y continua.

La protección de datos personales en Ecuador, y por extensión en Iberoamérica, se encuentra en una fase de consolidación normativa. La ley existe, las sanciones son una posibilidad real conforme al régimen sancionador de la LOPDP, pero la cultura organizacional aún está en construcción.

El objetivo debe ser que la ciudadanía deje de percibir la entrega de sus datos como un requisito inevitable para acceder a servicios digitales y empiece a ejercer un control consciente sobre su esfera privada. 

Para lograrlo, resulta indispensable que:

• Las autoridades de control mantengan una labor educativa constante, complementaria a su función supervisora.
• Las organizaciones interioricen que el respeto al dato ajeno constituye una ventaja competitiva sostenible y comprendan la dimensión de los roles que asumen.
• Quienes ejercen profesionalmente en el ámbito de la privacidad eleven el estándar técnico y ético, rechazando prácticas que trivialicen figuras clave como el DPD.
• Se desarrollen programas de formación especializada que respondan a las necesidades del mercado ecuatoriano, adaptando las mejores prácticas internacionales al contexto local.

El cumplimiento normativo es el punto de partida, no la meta final. El objetivo es construir una sociedad digital donde la tecnología sirva a las personas y no al revés. Proteger los datos personales es, en última instancia, proteger la libertad de ser quien se es sin coacciones externas. La misión de quienes trabajamos en este campo es recordar que detrás de cada registro electrónico, hay una persona titular de derechos fundamentales.