Los datos personales son “el nuevo petróleo de la internet y la nueva moneda del mundo digital”1. Esta descripción ilustra la relevancia del derecho a la protección de datos personales, respecto de la privacidad y la intimidad. En 2018, el diario estadounidense The New York Times publicó varios artículos sobre esta temática2. En estos precisamente se denuncia que la transferencia y manejo de datos se convirtió en un fenómeno imposible de ignorar, en Estados Unidos y en el mundo entero.
Aumentaron las protestas de los consumidores y los debates de los legisladores por el descubrimiento de cuán extensa, secreta e imparable llega a ser la recolección de datos3. Uno de los retos actuales de la sociedad, y sobre todo de las autoridades a escala mundial, es propulsar mecanismos idóneos y adecuados que regulen y controlen la utilización de datos personales y, al mismo tiempo, sancionen su uso malicioso.
Es de conocimiento general que, desde hace varios años, las empresas requieren transferir y manejar datos por el importante valor monetario que la información puede llegar a representar4. Las empresas aseguran que la recolección de datos se realiza a través de un intercambio voluntario. Si bien los consumidores proveen sus datos ¿qué reciben en compensación? Un reciente estudio publicado por la Universidad de Pensilvania, concluye que, en realidad, los consumidores generalmente no entienden las implicaciones de conceder “libremente” sus datos. Incluso se da que, en ocasiones, ni siquiera son conscientes de que están concediendo sus datos, ya sea por costumbre, por resignación o por desconocimiento5.
El objetivo del presente artículo es demostrar el impacto y la relevancia práctica que tiene la protección de los datos personales de los clientes en la relación cliente-empresa. En primer lugar, la presente investigación pretende realizar un acercamiento al funcionamiento y formación de la relación cliente-empresa. Posteriormente, se hará un análisis respecto de las nociones introductorias que resultan claves para entender la importancia de la protección de datos y su contenido. Así, la finalidad de este artículo será hacer una revisión de la normativa vigente en Ecuador y de los mecanismos disponibles para la protección de datos personales.
Para organizar sus esfuerzos y recursos en el ámbito económico, los seres humanos han optado por conformar empresas6. En la búsqueda de la eficiencia, a través de los años, se ha vuelto evidente que emprender esfuerzos desordenados, con fines económicos, genera más pérdidas que ganancias. Para el presente trabajo conviene establecer que una empresa es una “institución de orden eminentemente económico, que se caracteriza por tratarse esencialmente de una organización de capital y trabajo con fines que le son propios y que la diferencian de otras instituciones económicas”7. Tales fines, dentro de esta estructura de organización que conocemos como empresa, se concretan en “la producción de bienes y servicios para la satisfacción de las necesidades de la comunidad […] y de la empresa misma”8. En síntesis, es claro que los esfuerzos del ser humano para volverse productivo lo han conducido a desempeñar “una actividad económica organizada, con la finalidad de actuar en el mercado de bienes y servicios”9.Visto el concepto de empresa que resulta pertinente para el presente trabajo, es menester ahondar en uno de sus componentes fundamentales: sus clientes.
No es exagerado sostener que la relación empresa-cliente es uno de los eslabones fundamentales de la existencia y funcionamiento de todas las compañías. Al ser componentes receptores de los esfuerzos entablados por las diversas firmas, los consumidores y, específicamente, su manera y términos de relacionarse con la empresa, son determinantes para el funcionamiento del mercado. La significancia del cliente para la empresa es la de un “socio en el proceso de prestación del servicio [u oferta de bienes], que aporta diferentes experiencias, actitudes, emociones, necesidades y problemas a cada situación”10. A pesar de que un cliente puede comprender una persona, ya sea natural o jurídica, para efectos prácticos es sensato asumir que, al hablar de clientes, se hace referencia a personas naturales y se excluye a las personas jurídicas11, al no poseer derechos personalísimos.
Una vez establecida la relación existente entre la empresa y el cliente, es adecuado explorar los procesos que permiten su formación. Si bien estos acercamientos comienzan de manera espontánea en la historia, hoy existen ramas enteras de la gestión empresarial que se dedican a estudiar cómo propiciarlos. La mercadotecnia o marketing es una de las ramas más afines al estudio de las relaciones entre clientes y empresas que, más allá de solamente observarlas, busca fomentarlas de manera artificial y, sobre todo, mantenerlas a largo plazo. Estos objetivos se persiguen a través de “sistema total de actividades de negocios ideado para planear productos satisfactores de necesidades, asignarles precios, promover[los] y distribuirlos a los mercados meta, a fin de lograr los objetivos de [una] organización”12.
Se busca enganchar a un cliente para proveerle un producto o servicio que tenga valor para este y, posteriormente, mantener ese cliente. Un esquema de formación de relaciones cliente-empresa se da, según la doctrina del marketing relacional, mediante cuatro fases, que son las siguientes: i) atraer, mediante un llamado de atención que conquiste al cliente; ii) vender el producto cerrando el trato con el cliente y, entregándole a cambio de la respectiva contraprestación, el bien/servicio ofertado; iii) satisfacer, cumpliendo las expectativas del cliente de tal forma que este tiende a repetir la experiencia; y, iv) fidelizar, mantener al cliente como consumidor permanente e incluso promotor indirecto de la empresa13.
Sin embargo, la mercadotecnia, más allá de enfocarse únicamente en la difusión de productos o servicios, realiza un arduo trabajo a favor del componente consumidor. Esta especialidad observa constantemente la “ciencia de seleccionar mercados meta y de atraer y retener clientes mediante la generación, entrega y comunicación de un valor superior”14. Cabe preguntarse, entonces, ¿qué factor de una empresa hace que un cliente quiera quedarse?
En primer lugar, que surja el deseo de quedarse o apegarse a un determinado operador, prefiriéndolo por encima de otros, denota que se ha alcanzado una de las grandes metas de cualquier empresa: la fidelización de sus clientes. Para cumplir con este cometido, es esencial la transmisión de “valores que hagan que el comprador actual o potencial […] elija en la mayoría de [sic] ocasiones y sienta la suficiente confianza en ella [la firma proveedora del bien o servicio] como para recomendarla a sus amigos y conocidos”15. Esto se da a través de un proceso en el que se busca “gestionar el valor percibido por el cliente para conseguir su satisfacción y luego su lealtad”16.
Evidentemente, mantener un cliente asegura réditos, pero la finalidad de las estrategias de fidelización excede tal aspecto. Un cliente fiel representa beneficios tales como la obtención de mayores ventas, cantidades de compra media superior, con menores costes de transacción, mejor oportunidad de predictibilidad frente a las actitudes del consumidor, menor sensibilidad del cliente a incrementos en el precio, entre otros17.
En este sentido, la ciencia del mercadeo ha desarrollado diferentes métodos de acercamiento y enganche al cliente. Existen diversas corrientes que evidentemente dependerán de la industria de que se trate y del mercado objetivo. No obstante, es claro que cualquier empresa debe contar con mecanismos para atraer y mantener clientes que, eventualmente, puedan servir, incluso, como embajadores del bien o servicio que se provee. Entre algunos componentes que un buen programa de fidelización debería tener, se encuentran: metas, grupos objetivos, correcta elección de beneficios ofrecidos, conceptos financieros realistas y claros, procesos definidos y funcionales, integración con otras ramas de la compañía, indicadores de éxito, comunicación y tecnologías de información18.
Estos últimos componentes son cruciales y representan un reto en materia de protección de datos, ya que los medios para mantener y atraer clientes implican la necesidad de tener acceso a la esfera de privacidad de los consumidores. Los diferentes medios de comunicación juegan un rol crucial para el contacto cliente-empresa, hoy predominan mecanismos como el internet, por ser relativamente sencillo que el usuario proporcione información sin siquiera darse cuenta de lo que está haciendo19. Indudablemente, no se quedan atrás, estrategias tradicionales como la recepción de datos vía presencial.
Con todas estas prácticas sobre la mesa, es evidente que cada vez hay más tela que cortar en tema de protección de datos y derechos del cliente; la problemática es bastante clara. Se genera un debate entre “la capacidad de la empresa de obtener los máximos resultados en base [sic] al potencial de información adquirible sobre los clientes y el derecho a la privacidad de estos para mantener la confidencialidad de aquellos datos considerados más íntimos o simplemente personales”20.
Este esquema en su totalidad es una entrada abierta que tienen los operadores económicos para invadir la esfera de privacidad de sus clientes. Si bien la decisión de abrirla o no pareciera estar en manos de los clientes, esto no siempre funciona de esta manera. Por ello cabe preguntarse, una vez abierta esta puerta ¿cuál es el siguiente paso? ¿Acaso puede controlarse aquello que entra y aquello que sale del ámbito privado de cada individuo? O significa que, como ha expresado The Economist “¿la gente tendrá que empezar a asumir que simplemente no tiene privacidad?”21.
El objetivo de esta sección es responder la interrogante planteada previamente. No existen ni fronteras ni obstáculos para el desarrollo de la tecnología y la comunicación en el contexto de la globalización22. Este fenómeno no pretende crear una sola comunidad, al contrario, refleja la aparición de incontables redes y sistemas de interacción e intercambio a escala mundial23. Una de sus consecuencias más grandes es el surgimiento de la era de la revolución informática, que trajo consigo nuevas técnicas de procesamiento de datos personales: formas más rápidas, eficaces y económicas de almacenarlos, transportarlos y manejarlos24. Así, es indispensable entender desde sus nociones más básicas por qué y qué tan trascendente resulta que las empresas tengan acceso y manejen los datos personales de sus clientes.
El vocablo dato como se entiende hoy, se origina del término en latín datum, que significa: “Antecedente necesario para llegar al conocimiento exacto de una cosa o para deducir las consecuencias legítimas de un hecho” (énfasis añadido)25. Como afirma Puccinelli, la palabra dato se refiere “a un elemento circunscripto y aislado […], que no alcanza a tener el carácter de información, pues, para que se transforme en ella, se requiere la interconexión de esos datos de manera que, vinculado, se conviertan en una referencia concreta”26. Precisamente, los seres humanos son ese “objeto” respecto del cual las empresas compilan y registran datos, desde su primera interacción, para crear un historial cronológico de todos sus antecedentes, hábitos, experiencias y conductas. Hoy por hoy, para que una empresa compita en el mercado, necesitará mucho más que los datos públicos de sus consumidores.
Los datos tienen el carácter de personales en la medida que permiten crear perfiles y deducir inferencias que son atribuibles a un único consumidor27, lo que permite diferenciarlo de cualquier otro individuo en un determinado mercado objetivo. En este sentido, el concepto de datos de carácter personal se define como “toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de ser recogida”28, en este caso en particular, por una empresa. A su vez, como un precedente para las legislaciones del mundo, por cuanto es la primera vez que se reconoce de manera tan amplia el concepto de datos personales, el Parlamento Europeo y el Consejo de la Unión Europea precisó que son:
[T]oda información sobre una persona física identificada o identificable (“el interesado”); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona (énfasis añadido)29.
Los datos personales pueden clasificarse de diversas maneras o en función de su origen, contenido, uso. Para efectos de este análisis, interesa diferenciar el dato anónimo del dato nominativo, que es aquel que permite la personalización de una persona30. A su vez, el dato nominativo puede no ser sensible cuando la información que se divulga estaba destinada a ser pública31, como el número de cédula de cualquier individuo. Esto en teoría no generaría ningún riesgo de vulnerar derechos. No obstante, cuando las empresas manejan datos destinados a ser privados y, por ejemplo, se entrometen directamente en la intimidad de sus clientes, pueden llegar a generar perjuicios o incluso discriminación por tratarse de información delicada. Por esto, es de particular preocupación el manejo de datos personales nominativos sensibles por parte de las empresas, que buscan maximizar sus beneficios, sin perjuicio de la afectación a la privacidad de sus clientes.
Actualmente, en una escala sin precedentes, los avances tecnológicos permiten que entidades privadas y públicas utilicen datos personales a la hora de realizar sus diferentes actividades. Hace siglos despertó la ambición del ser humano por alcanzar un nivel superior de control y de conocimiento, respecto de la información de la vida privada de las personas32. Por esta razón, la protección de datos se estudia partiendo de la necesidad humana de proteger parcelas de libertad individual. El enfoque está encaminado a proteger los datos de personas físicas, es decir, personas naturales específicamente que llegan a cosificarse por el mal uso de la tecnología33.
La falta de control y, por ende, la mala utilización de los datos personales resulta ser atentatoria contra los derechos fundamentales de los seres humanos. En un primer momento, para entender la importancia del derecho a la protección de datos, es indispensable hacer un acercamiento al concepto de derecho a la privacidad y el derecho a la intimidad. El derecho a la intimidad entendido como la facultad “destinada a salvaguardar un determinado espacio con carácter exclusivo, y que consistía en un derecho del individuo a la soledad”34. Como lo señala Martínez de Pisón Cavero, la intimidad
hace alusión siempre a algo que es cercano al individuo, ya sea porque le es próximo o porque es algo propio, interno al mismo, que surge de él y que proyecta su entorno. Suele hablarse, por ello, de la existencia de una esfera individual, de una vida privada, en la que solo cada persona es quién para decidir que [sic] le afecta, sin tener que tolerar ningún tipo de intromisiones35.
Por otro lado, el derecho a la privacidad desde sus orígenes, “adquiere una connotación amplia, caracterizada por el rechazo de toda intromisión no consentida en la vida privada”36. Originalmente se entendía que esta intromisión se daba por parte del Estado y los medios de comunicación. En este sentido, la teoría que expusieron Warren y Brandeis es una de las más influyentes de la historia del derecho anglosajón. Es la primera en dar una noción per se de right of privacy, explicando su relevancia en los siguientes términos:
[…] The intensity and complexity of life, attendant upon advancing civilization, have rendered necessary some retreat from the world, and man, under the refining influence of culture, has become more sensitive to publicity, so that solitude and privacy have become more essential to the individual; but modern enterprise and invention have, through invasions upon his privacy, subjected him to mental pain and distress, far greater than could be inflicted by mere bodily injury […] (énfasis añadido)37.
En este sentido, Jed Rubenfeld explica que el derecho a la privacidad se sustenta en la autodeterminación, porque se basa en “«the right to make choices and decisions which», it is said, forms the «kernel of autonomy»”38. Mientras que Uicich siguiere que “el concepto de derecho a la intimidad incluye también el derecho a supervisar a quienes tienen la información excediendo el mero derecho a ser dejado solo”39. Es evidente que es muy fina la línea que distingue el derecho a la privacidad del derecho a la intimidad. Como manifiesta Pérez Luño, no se ha logrado definir unánimemente estos conceptos; su evolución ha dependido de factores culturales, sociológicos, y temporales40. Para efecto del presente análisis41, ha sido ineludible ampliar el concepto de derecho a la privacidad, abarcando la noción del derecho a la intimidad.
Ahora, la noción de protección de datos se entiende que es este segmento de la legislación destinado a proteger los derechos fundamentales inherentes a la libertad de los seres humanos, en particular el derecho a la intimidad individual, respecto del procesamiento de datos, sea manual o automático. El derecho a la protección de datos debe ser considerado como autónomo e independiente. Su trascendencia recae en que su espectro de protección abarca más que la protección individual y concierne el cómo interfieren terceros, como los distintos operadores económicos. Esto quiere decir que se establece la capacidad del individuo, particularmente del consumidor, para decidir sobre su propia información personal42. Como lo mencionó el Tribunal Constitucional Español:
La función del derecho fundamental a la intimidad […] es la de proteger frente a cualquier invasión que pueda realizarse en aquel ámbito de la vida personal y familiar que la persona desea excluir del conocimiento ajeno y de las intromisiones de terceros en contra de su voluntad […]. En cambio, el derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado43.
Por lo tanto, es legítimo reconocer que los datos son bienes per se y, por ende,“se trata de aprehender el concepto de dato como un producto o un servicio, como un bien en sí mismo; es decir, como algo que tiene valor económico y jurídico propio”44. Sin embargo, el verdadero peligro no se origina de la mera recopilación de datos, sino del manejo abusivo que puedan tener los terceros y, por ende, el hecho de que las personas pierden la capacidad de disponer sobre ella45. En síntesis, el derecho a la protección de datos personales recoge un conjunto de derechos, principios y garantías previamente establecidas. Tiene como objeto precautelar, proteger y reparar por el daño a quienes podrían resultar lesionados por la mala utilización de su información.
En el escenario internacional, se discute permanentemente la inminente necesidad de desarrollar normativa que regule la protección de los datos personales; tomando en cuenta los derechos fundamentales y los riegos constantes46, cuestión que por el momento, en Ecuador, se ha dejado de lado. Ecuador se proclama como un “Estado constitucional de derechos y justicia social”47; la Constitución de la República del Ecuador (en adelante CRE) se caracteriza por ser una de las más progresistas e innovadora en materia de derechos, de la región. Sin embargo, si bien se reconoce una amplia gama de derechos constitucionales, no se han desarrollado los mecanismos aptos para protegerlos y, de existir, no son adoptados adecuadamente. El objetivo de esta sección, entonces, es establecer un referente y analizar los antecedentes normativos de la protección de los datos personales en el Ecuador.
Como se mencionó anteriormente, la protección de datos personales es un derecho per se. Al mismo tiempo, es un mecanismo para proteger varias dimensiones del derecho a la intimidad y el derecho a la privacidad, que podrían verse afectados por las empresas en sus procesos de captación de clientes.
De manera general, en Ecuador, sobre el derecho a la privacidad y a la intimidad, se debe considerar como uno de los primeros antecedentes a la Declaración Universal de los Derechos Humanos de las Naciones Unidos: “Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o su reputación”48. Del mismo modo, los Estados han reconocido estos derechos en la Declaración Americana de los Derechos y Deberes del Hombre49 y, casi en los mismos términos, en la Convención Americana sobre Derechos Humanos50.
Así, varios instrumentos internacionales, que Ecuador ha adoptado, manifiestan que las personas tienen derecho a la protección de su vida privada en sus diferentes facetas, sin injerencias arbitrarias o abusivas. Por otro lado, se reconoció constitucionalmente el derecho a la intimidad en la vida personal y familiar51; y, de la misma forma, se plasmó su importancia en todo el ordenamiento jurídico.
Particularmente, en lo que concierne la actuación del Estado, se prescribe, en el artículo 24 del Código Orgánico Administrativo, que: “Las administraciones públicas, cuando manejen datos personales, deben observar y garantizar el derecho a la intimidad personal, familiar y respetar la vida privada de las personas”52. Del mismo modo, en el artículo 9 de la Ley Orgánica del Sistema Nacional del Registro de Datos Públicos (en adelante Ley del Registro de Datos Públicos) se prescribe:
La recopilación y uso de datos personales responderá a los derechos de privacidad, intimidad y confidencialidad garantizados por la Constitución Política de la República y esta ley, los cuales podrán ser utilizados o transferidos únicamente con autorización del titular u orden de autoridad competente (énfasis añadido)53.
La Ley Orgánica de Telecomunicaciones, en la misma línea, recoge nuevamente el derecho a la privacidad, estableciendo como derechos de los usuarios: “la privacidad y protección de sus datos personales por parte del prestador con el que contrate servicios, con sujeción al ordenamiento jurídico vigente”54. Del mismo modo, recoge el derecho a la intimidad, en el artículo 78:
Derecho a la intimidad. Para la plena vigencia del derecho a la intimidad, establecido en el artículo 66, numeral 20 de la Constitución de la República, las y los prestadores de servicios de telecomunicaciones deberán garantizar, en el ejercicio de su actividad, la protección de los datos de carácter personal55.
Es evidente que, de alguna manera, se ha intentado plasmar el derecho a la privacidad y a la intimidad en la legislación ecuatoriana como elemento esencial a la hora de referirse al manejo de datos. No obstante, estas normas no tienen el alcance que se esperaría, ya que únicamente se refieren a la actuación de entidades públicas. Esto implica que se genere un vacío normativo concerniente al comportamiento de privados, como empresas. Además, no se prescribe específicamente la protección de datos personales como un fin en sí mismo, es decir que no figura de manera autónoma, como se demostrará a continuación.
Es un deber del Estado ecuatoriano consagrado en la CRE “respetar y hacer respetar los derechos garantizados en la Constitución”56; tomando en cuenta la evolución de la sociedad y las necesidades que surgen por dicho progreso. La CRE de 2008, en ese sentido, innovó al referirse individualmente a la protección de datos personales como uno de los derechos de libertad, en el artículo 66.19.:
19. El derecho a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos o información requerirán la autorización del titular o el mandato de la ley (énfasis añadido)57.
Sin embargo, la protección de datos está dispersa en el ordenamiento jurídico ecuatoriano. Llama la atención que no sea posible identificar una definición explícita de datos personales en la legislación ecuatoriana; solo referencias poco precisas. Es difícil entender, por ello, cómo puede estar protegido, de manera eficiente, algo que no llega a estar definido claramente. Una primera e insuficiente definición figura en la novena disposición general de la Ley de Comercio Electrónico aplicada a la regulación del comercio y a la producción a través herramientas electrónicas: “Datos personales: son aquellos datos o información de carácter personal o íntimo, que son materia de protección en virtud de esta Ley”58.
Por otro lado, existen los datos públicos, es decir datos personales que, en conjunto y por su naturaleza, constituyen información pública. De manera general, la Ley Orgánica de Transparencia y Acceso a la Información Pública (en adelante LOTAIP) prescribe, que, en principio se considera pública toda información que emane o que esté en poder del Estado, directamente o a través de algún privado que tenga participación del Estado59. Particularmente, los datos públicos se encuentran bajo el manejo y control del Estado ecuatoriano, a través del Sistema Nacional del Registro de Datos Públicos que se integra por varios órganos como la Dirección Nacional de Registro de Datos Públicos (en adelante Dinardap), la Dirección General de Registro Civil, Identificación y Cedulación o el Registro de la Propiedad, entre otros60. En ciertos casos, también se entienden incorporadas a este sistema y a su regulación aquellas instituciones privadas que poseen información que, por su naturaleza, es pública61. Es importante precisar que las entidades privadas pueden, según lo expuesto, manejar datos personales tanto públicos como privados.
El punto clave es entender que la información pública y, por ende, los datos públicos están sometidos al principio de publicidad62. Por lo que acceder a dicha información es un derecho de todas las personas sin restricciones. No obstante, debemos recordar que se entiende también por información pública aquella que, al ser difundida, no podría menoscabar los derechos. Así, se establece la confidencialidad respecto de ciertos datos personales, lo que constituye un límite al principio de publicidad, como se prescribe en el artículo 6 de la Ley de Acceso a la Información:
Información confidencial.- Se considera información confidencial aquella información pública personal, que no está sujeta al principio de publicidad y comprende aquella derivada de sus derechos personalísimos y fundamentales, especialmente aquellos señalados en los artículos 23 y 24 de la Constitución Política de la República.
Este límite está también prescrito en la Ley del Registro de Datos Públicos y nos permite identificar otra noción de los datos personales en nuestro país:
Son confidenciales los datos de carácter personal, tales como: ideología, afiliación política o sindical, etnia, estado de salud, orientación sexual, religión, condición migratoria y los demás atinentes a la intimidad personal y en especial aquella información cuyo uso público atente contra los derechos humanos consagrados en la Constitución e instrumentos internacionales63.
Una vez más, es posible identificar ciertas pautas sobre lo que respecta la protección de datos personales al referirse a la información pública y a las actuaciones del Estado. No obstante, existe un vacío respecto de las buenas prácticas que deberían tomar en cuenta personas jurídicas de derecho privado, como las empresas. Particularmente, no se encuentra normativa que involucre de alguna manera la protección de los datos personales de clientes y, por tanto, el correcto ejercicio de sus derechos constitucionalmente reconocidos.
La legislación ecuatoriana no ha procurado regular áreas que resultarían esenciales para la plena vigencia de los derechos constitucionales. Respecto del derecho a la protección de datos, no se han logrado grandes avances. El habeas data es un mecanismo que intenta precautelar esta esfera de la intimidad de las personas en Ecuador frente al desarrollo de la informática. Lo manifestó la Corte Constitucional en una de sus sentencias: “[L]a acción constitucional de habeas data en el fondo lo que pretende es proteger el derecho a la intimidad de la persona, puesto que no toda la información relativa a esta tiene el carácter de pública y por tanto, de [sic] divulgable en forma libre”64.
Sin embargo, es preciso realizar un análisis para conocer su idoneidad. El ordenamiento jurídico ecuatoriano prevé las garantías jurisdiccionales con la finalidad de proteger de manera eficaz los derechos reconocidos en la CRE como en instrumentos internacionales, y declarar “la reparación integral a los daños causados por la violación de estos derechos”65. Particularmente, el habeas data, como una de las garantías, fue constitucionalizándose en América Latina a partir de 1988 en Brasil66. Ecuador fue uno de los últimos países en reconocerla en la Constitución de 199767, por lo que es un mecanismo jurídico particularmente reciente en nuestra región. Las garantías jurisdiccionales en Ecuador han sido históricamente objeto de ilegítimas restricciones, por cuestiones políticas o falta de desarrollo de la noción de garantía per se68. Actualmente la CRE ha intentado fortalecerlas: ampliando el tipo de garantías y desarrollando las que estaban vigentes en 199869.
La CRE de 2008 y la Ley Orgánica de Garantías Jurisdiccionales y Control Constitucional (en adelante Ley de Garantías), prescriben que el habeas data es la acción que prevé específicamente que los titulares de los datos personales, que no hacen parte de los datos públicos, puedan acceder a la justicia constitucional. Esto significa que tienen la posibilidad de acudir a un juez, en caso de que no se atienda su petición presentada previamente para acceder a cualquier tipo de registro que contenga sus datos para su simple supervisión o para su actualización, rectificación, eliminación o anulación70. La Corte Constitucional para definir la naturaleza de la acción parte de la misma definición71 y agrega que esta acción jurisdiccional es considerada “como un mecanismo de satisfacción urgente para que las personas puedan obtener el conocimiento de los datos a ellos referidos, y advertirse sobre su finalidad, sea que dicha información conste en el registro o banco de datos público o privado”72.
En este punto, es importante identificar los distintos derechos tutelados y distinguirlos individualmente. Es menester diferenciar el derecho autodeterminación informativa o protección de datos personales, de otros derechos personalísimos amparados por el habeas data73. Esto con el objetivo de entender cuál es la finalidad de la acción. Sobre la base al artículo 50 de la Ley de Garantías, se reduce el ámbito de protección, esencialmente, a dos aspectos importantes: (i) respecto del conocimiento de los datos personales: qué datos existen en cualquier tipo de registro, quién los recopiló y con qué finalidad; (ii) respecto de la actuación de los titulares sobre los datos personales existentes: cancelar los datos personales, actualizarlos, rectificarlos, reservarlos o suprimirlos74.
Ahora, si bien este podría ser un primer paso a la plena vigencia de derechos constitucionales, específicamente la protección de datos, el derecho a la intimidad y el derecho a la privacidad no resultan suficientes. Primero, no existe un plazo señalado en la ley, que permita establecer en qué momento presentar la acción de habeas data. En el artículo 50 de la Ley de Garantías únicamente se prescribe que es posible presentarla en caso de negativa de la institución requerida con la información o de suscitarse la violación de un derecho75. No existe un plazo dentro del cual es posible presentar la acción después de la negativa expresa y, en el caso de la negativa tácita, la situación es más ambigua por cuanto es más delicado determinar cuándo se configura. Se entiende que debe esperarse un “plazo razonable”, lo que tampoco resuelve el problema puesto que debe considerarse que, al no lograr definirse qué se entiende por plazo razonable, en este período las personas quedan en situación de indefensión76.
Segundo, surge una duda respecto de la legitimación activa. Como se aclaró previamente al hablar de protección de datos personales, se entiende que se atañe únicamente a personas naturales por referirse a la esfera de su intimidad propia de los seres humanos. No obstante, el artículo 51 de la Ley de Garantías prescribe: “Toda persona, natural o jurídica, por sus propios derechos o como representante legitimado para el efecto, podrá interponer una acción de hábeas data”77. Por esta razón, se legitima para actuar a las personas jurídicas, como las empresas, que, en realidad, como se demostró previamente, son quienes ponen en situación de vulnerabilidad a las personas físicas, sus consumidores, por el manejo indebido de sus datos personales. Esto podría provocar que se desnaturalice la acción de habeas data.
Tercero, si bien la naturaleza de la acción es amparar los derechos y reparar a los accionantes en caso de violación, se advierte la evidente ausencia de regulación previa respecto de cómo manejar e implementar buenas prácticas de tratamiento de datos personales. El artículo 50 del mismo cuerpo normativo, prescribe que, lógicamente, se interpone la acción de habeas data: “3.Cuando se da un uso de la información personal que viole un derecho constitucional, sin autorización expresa, salvo cuando exista orden de jueza o juez competente”78. Por otro lado, en el artículo 92 de la CRE, se manifiesta lo siguiente: “Las personas responsables de los bancos o archivos de datos personales únicamente podrán difundir la información archivada con autorización del titular o de la ley”79.
Conviene, entonces, cuestionarse ¿qué parámetros existen en Ecuador para plantear las buenas prácticas respecto de la difusión y el tratamiento? ¿Cabe la acción por el mal manejo? ¿Cómo se configura el consentimiento para la difusión de datos personales? Son cuestiones que no han sido reguladas. En realidad, los dos artículos previamente citados, permiten afirmar que está a disposición de todo aquel que esté en territorio ecuatoriano acceder a una acción que repara algo que no está normado. Existe, claramente, un vacío normativo que permite, particularmente a todos los entes privados, las empresas especialmente, actuar bajo su discrecionalidad y disponer a su arbitrio de la información que poseen de cada consumidor.
En definitiva, se ha hecho un recuento del habeas data, unade las garantías jurisdiccionales que existen en Ecuador, siendo estas aquellas que forman parte del derecho procesal constitucional80. No obstante, al constatar que no es suficiente su ámbito de protección para el manejo adecuado de datos personales, se requiere que se desarrollen otros mecanismos que garantizan derechos, como son las garantías normativas y políticas en nuestro país.
La era de la tecnología implica no solo que los datos personales sean fuente de negocio y comercio, sino que sean objeto de nuevas formas de criminalidad. La falta protección de datos personales en Ecuador puede ser también revisada a partir de otra rama del Derecho: el Derecho Penal. En este sentido, el objeto o el bien jurídico protegido es múltiple, ya que depende del delito en particular al que nos refiramos. Es necesario hacer una breve revisión, entonces, respecto de la idoneidad de este mecanismo para la protección de datos personales.
Como menciona Jijena Leiva respecto de los datos personales se debe tutelar “su recolección, correcta administración, permanente actualización, utilización para fines específicos e irrestrictos derechos de acceso”81. Los delitos informáticos, considerados como un género, han sido definidos como aquellas conductas indebidas realizadas por el sujeto activo que lesionan el bien jurídico tutelado, afectando la integridad de los equipos y la intimidad de sus propietarios82.
En Ecuador, el Código Orgánico Integral Penal (en adelante COIP) intentó modernizar un sistema obsoleto. Se tipificaron nuevas conductas sin considerar en el hecho de que su vigencia no implica su eficacia. El legislador tipificó, por ejemplo, la violación a la intimidad, en el artículo 178 del COIP, que castiga en teoría toda acción que implique la difusión, acceso o divulgación no consentida de información privada a través de cualquier medio83. Por lo que sanciona conductas ilícitas e ilegales en un sentido amplio que afecten la intimidad. Por otro lado, también se incorporó una sección exclusiva para castigar conductas que atentan contra la confidencialidad, integridad y disponibilidad de datos y, particularmente, considerando como bien jurídico protegido, a los sistemas informáticos84.
En nuestra legislación existen muy pocos indicios, o no es claro, qué conducta, relacionada con el procesamiento de datos, podría considerarse poco ética o es simplemente no autorizada85, a pesar de que tienen lugar de forma recurrente en las prácticas cotidianas de la empresa. Existen ejemplos puntuales de sanciones previstas, como es el caso del Código Orgánico Monetario y Financiero, que prescribe una sanción grave y una multa pecuniaria por incurrir en una de las prohibiciones del artículo 255: “Prohibiciones a entidades de sistema financiero nacional. Se prohíbe a las entidades del sistema financiero nacional: […] 18.Comercializar las bases de datos de sus clientes”86. Sin embargo, existe una gama extensa de delitos que de una u otra manera atañen a la protección de la intimidad personal a través de datos personales.
Tomando esto como referencia, resulta interesante que el ordenamiento jurídico ecuatoriano no contemple pautas básicas de buenas prácticas, pero sancione penalmente conductas ilegítimas o ilegales que tiene estrecha relación con la difusión y tratamiento de datos. Nuevamente, los delitos informáticos tienen una utilización casi inexistente en Ecuador por falta de entendimiento sobre la materia. Además, nuevamente el problema con este mecanismo es que constituye una sanción, sin que exista una norma específicamente preventiva.
Tan multifacético es el tema de la protección de datos, que también se ha intentado regular desde ramas como el Derecho de Competencia y de Consumo. En este punto, debe hacerse una precisión. En teoría, la protección de datos personales está únicamente regulada por el Derecho de Consumo. Poco o nada, entonces, tendría que ver el Derecho de Competencia, dado que este busca la protección de la competencia efectiva, más que la de un determinado operador económico o consumidor. No obstante, en el ordenamiento jurídico ecuatoriano, el Derecho de Competencia, a través de la Ley Orgánica de Regulación y Control del Poder de Mercado (en adelante LORCPM), erróneamente recoge disposiciones que aluden a otros campos del Derecho, como la Propiedad Intelectual y el mismo Derecho de Consumo. Por esta razón es ineludible realizar el presente análisis a la luz de la LORCPM.
Respecto del Derecho de Competencia, se contempla en la LORCPM la necesidad de lealtad en el ejercicio de cualquier hecho, acto o práctica en el desarrollo de actividades económicas, en observancia de “usos o costumbres honestos”87. De acuerdo con dicha ley, la práctica de conductas desleales se asumirá como un cuasidelito, independientemente, de que haya existido conciencia o voluntad sobre su realización o un daño efectivo como resultado, bastando una potencialidad de este último88. Ahondando en la regulación prescrita por la LORCPM, se prohíbe y sanciona cualquier conducta cuando atenta contra “el bienestar general o los derechos de los consumidores o usuarios”89.
Dejando de lado estas cláusulas paraguas, prescritas en la LORCPM, que abarcan un espectro de prácticas que podrían ser incluidas bastante amplio, se encuentran tipificadas varias conductas de prácticas desleales que atentan contra el derecho a la privacidad e intimidad. En primer lugar, se prohíbe la divulgación de secretos empresariales90. En segundo lugar, las prácticas agresivas de “acoso, coacción e influencia indebida contra los consumidores”, entre otras, la ley contempla las “prácticas dirigidas al desgaste del consumidor”91.
Un secreto empresarial se entiende como “cualquier información no divulgada que una persona natural o jurídica legítimamente posea, que pueda utilizarse en alguna actividad productiva, industrial o comercial, que sea susceptible de transmitirse a un tercero”92. Al hablar de secretos empresariales es preciso aclarar que, para que determinada información pueda encajar bajo la denominación de secreto empresarial, debe verificarse el cumplimiento de tres parámetros: i) la información debe ser secreta, es decir, no debe ser fácilmente accesible a personas integrantes de los círculos que manejen ese tipo de información; ii) la información debe tener valor comercial efectivo o potencial por ser secreta; y, iii) la persona que controle tal información debe haber adoptado medidas para mantenerla secreta93.
Es evidente que los datos personales recolectados por las empresas cumplen a cabalidad con estos criterios, pasando a ser un activo de las empresas94. Considerando este contexto, es común que los operadores, al recolectar datos de potenciales clientes, prometan guardar su confidencialidad. Si bien existen datos que son proporcionados por los clientes, que podrían ser accesibles por otros medios, como el sistema de la Dinardap, por ejemplo, a lo largo de la relación comercial entre el cliente y la empresa, se recopilarán datos que, de otra forma, no se conocerían. Estos pueden tratarse de: preferencias de productos, patrones de consumo, opiniones, datos de mecanismos de pago, entre otros. Básicamente, los negocios “requieren la máxima información que puedan gestionar”95.
Respecto del segundo criterio, la información tiene, efectivamente, valor comercial. Por el conocimiento de estos datos es relativamente sencillo que cualquier empresa realice un acercamiento al cliente e incluso promueva su marca, producto o servicio de una manera personalizada e individualizada. Permite que las empresas ofrezcan una ventaja competitiva frente a otros operadores que se dedican a su mismo negocio. Esto sucede porque realizar el acercamiento de manera generalizada ya no es un método eficiente de mercadeo hoy en día. De antemano, si se tiene conocimiento no solo de información básica, sino de preferencias y tendencias del cliente al consumir se le puede ofrecer productos y servicios a la medida, sin perder el tiempo en promocionarle aquellos que no le servirían96. Finalmente, en cuanto al tercer criterio, dado que la información tiene el valor que ya ha sido explicado, usualmente las empresas no lo compartirán con sus competidores.
Si bien la recolección de información de los consumidores no tiene por qué resultar extenuante hoy, el manejo de esta información una vez recopilada, sí puede resultar en un desgaste del consumidor. El hecho de que una empresa cuente con información de un actual o potencial consumidor, ya sea esta básica o específica, se traduce en que el operador económico tiene una vía de contacto con el cliente, es decir, lo tiene a su alcance.
En teoría, esto no debería generar conflicto, ya que únicamente permitiría que las opciones del cliente crezcan y tenga a su disposición varias alternativas de productos o servicios. El problema florece cuando las empresas intentan forzar la compra del producto, no solo cuando este no ha sido solicitado, sino cuando ni siquiera es deseado o requerido. Un ejemplo claro de esta situación es el famoso cold-calling, que conceptualmente consiste en la oferta o promoción de servicios o productos por vía telefónica97. En la práctica, sin embargo, los operadores no solo se enfocan en la oferta o promoción, sino que llegan al punto de imponer el consumo del producto. No es difícil ilustrar esto dado que es común que bancos, entidades financieras, hospitales, aseguradoras y otros llamen al cliente a informarle que se ha hecho acreedor a beneficios, tarjetas o productos que no ha solicitado.
Se pensaría que basta con declinar estas ofertas, pero es de conocimiento general que, en tales casos, no basta una negativa por respuesta. Además, muchas veces los operadores telefónicos contratados por las empresas exigen al cliente explicaciones o incluso le hacen proporcionar mayor información que servirá para futuro contacto. Este esquema de escudarse en la promoción y oferta de productos o servicios para terminar prácticamente imponiéndolos genera un desgaste en el cliente. Este no solo debe consumir su tiempo y energía declinando las propuestas de las empresas, sino que, dado que estas prácticas son recurrentes, a veces debe emprender acciones informales o incluso legales para lograr que su información sea retirada de las bases de datos. Como se estableció anteriormente, estas acciones suelen ser escasas y, de existir, resultan infructuosas dado que están presenten de manera aislada en un sistema que no ha interiorizado la protección de datos. Claramente, los consumidores han sido victimizados por esta práctica98.
Es preocupante que, en Ecuador, a pesar de que existen estas disposiciones, no exista una plena protección al consumidor. Pocos clientes conocen sus derechos como han sido descritos anteriormente, por lo que el índice de denuncias al respecto de su vulneración es marginal. Más preocupante aún resulta que, siendo estas estrategias de alcance masivo, incluso si se denunciara, no habría garantía de una reacción por parte de las autoridades.
Este asunto no ha llegado a discutirse en las esferas legislativas de manera plena y productiva todavía. Los medios, sin embargo, dejan claro lo recurrente y cotidiano de estas prácticas desleales violatorias al derecho de protección de datos. En un artículo del diario El Telégrafo queda demostrada esta problemática de modo bastante simple. El artículo se refiere al caso de “Carla Grijalva, ama de casa, [quien] recibía llamadas de números desconocidos que le ofrecían seguros médicos para ella y su familia. La insistencia de los vendedores fue tanta que la mujer, de 35 años, buscó en YouTube un tutorial para saber cómo bloquear ciertas llamadas”99.
No obstante, lo verdaderamente inquietante es la opinión de la otra parte, el vendedor, recogida en el mismo artículo. El gerente de una empresa dedicada a proveer cursos de lectura e idiomas comenta, como justificando su accionar: “[S]i nosotros, como vendedores, entendemos lo que el consumidor quiere, también podremos saber cuándo lo necesita”100. Sorprende cómo, en una frase, este razonamiento despoja al consumidor de su voluntad e incluso viola principios económicos elementales como la ley de oferta y demanda. Resulta que ya no son los consumidores, sino los proveedores, quienes determinan la demanda de bienes, y con ello, incluso precios y cantidad de producción.
Por el lado del Derecho de Consumo, la Ley Orgánica de Defensa del Consumidor protege al cliente contra “la publicidad engañosa o abusiva, los métodos comerciales coercitivos o desleales”101. En este sentido, tal ley prescribe que “serán nulas de pleno derecho y no producirán efecto alguno las cláusulas y estipulaciones contractuales que impliquen renuncia a los derechos que esta ley reconoce a los consumidores o de alguna manera limiten su ejercicio”102 y aquellas que “causen indefensión al consumidor o sean contrarias al orden público y a las buenas costumbres”103.
Sin embargo, a pesar de establecer la protección al consumidor contra prácticas coercitivas, por ejemplo, que involucran el mal uso o manejo de datos personales, el enfoque no está precisamente encaminado a protegerlos específicamente. Además, hay una carencia de efectividad de las disposiciones descritas. Si bien el consumidor puede entablar reclamos frente a la Defensoría del Pueblo, por ser la autoridad encargada, es verdaderamente difícil llevar ante la justicia a las grandes empresas quienes, a menudo, son sujetos activos de las conductas descritas.
En la presente investigación, se ha intentado demostrar con claridad, que la legislación ecuatoriana no ha logrado sentar las bases para tutelar el derecho de protección de datos. Muestra de ello es el hecho de que ni siquiera una noción básica de datos personales ha sido definida en la legislación ecuatoriana. Hay una fuerte disonancia entre el enfoque del ordenamiento jurídico ecuatoriano, y las escasas acciones y alternativas que tienen los consumidores para tutelar el manejo de su información por parte de las empresas. Lamentablemente, los mecanismos que existen, habeas data, denuncias por delitos informáticos, acciones administrativas según el Derecho de Competencia o reclamos por materia de consumo, carecen de idoneidad por el alcance limitado del amparo que otorgan.
Ninguno de estos mecanismos ha sido específicamente diseñado para la protección de datos. El ordenamiento jurídico ecuatoriano no es coherente al solo sancionar conductas que en ninguna de sus disposiciones ha buscado prevenir. Esto genera que, a diario, tengan lugar conductas que vulneran el derecho a la protección de datos. Tan común es esto que hasta se han naturalizado estas prácticas y, más allá de verse como verdaderos abusos, se conciben simplemente como molestias cotidianas.
Otro problema evidente es que las normas relativas a la protección de datos no se encuentran codificadas y están dispersas en varios cuerpos normativos, por lo que es aún más difícil que el consumidor promedio se defienda. Se empeora la situación, ya que, en Ecuador, ni siquiera existe como tal una rama de Derecho para la Protección de Datos, a pesar de que sería un error enfocar este asunto desde una sola óptica, ya que requiere tratamiento multidisciplinario, como se ha procurado realizar a lo largo de este trabajo.
No puede negarse que han existido proyectos de ley con la finalidad de materializar la protección de datos personales. Sin embargo, ninguna de estas propuestas ha sido lo suficientemente formal y clara en su contenido. Si bien se ha realizado un análisis respecto de la falta de regulación sobre la protección de datos en la relación empresa-cliente, el problema escapa a este enfoque. Más allá de no existir mecanismos eficientes de protección de datos para los consumidores frente a la empresa, de plano no existen ni de manera general. La “víctima” de la inexistencia de este sistema tan necesario, resulta ser, literalmente, cualquier persona. Esto hace que el desarrollo legislativo en esta área sea de inminente urgencia considerando que la protección de datos personales termina siendo tierra de nadie en Ecuador.
––––––
1 . Remolina-Angarita, Nelson. “¿Tiene Colombia un nivel adecuado de protección de datos personales a la luz del estándar europeo?” International Law: Revista Colombiana de Derecho Internacional. No.16 (2010), p. 492.
2 . Vid. Dance, Gabriel J. X et al. “Todo lo que Facebook compartió con empresas pese a prometer más privacidad”. New York Times, 19 de diciembre de 2018. https://www.nytimes.com/es/2018/12/19/facebook-privacidad/ (acceso: 10/03/2019); Rosenberg, Matthew y Dance, Gabriel J.X. “Así funcionaba la recolección de datos de Cambridge Analytica”. New York Times, 10 de abril de 2018. https://www.nytimes.com/es/2018/04/10/facebook-cambridge-analytica/ (acceso: 10/03/2019); Wakabayashi, Daisuke. 2018. “¿Cómo funciona el algoritmo de búsqueda de Google?”. New York Times, 7 de septiembre de 2018. https://www.nytimes.com/es/2018/09/07/google-algoritmo-busqueda-trump/ (acceso: 10/03/2019); Valentino-Devries, Jennifer y Singer, Natasha. 2018. “No dejes que las empresas sepan tu ubicación”. New York Times, 11 de diciembre de 2018. https://www.nytimes.com/es/2018/12/11/como-desactivar-ubicacion-apps/ (acceso: 10/03/2019).
3 . Maheshwari, Sapna. “Para compartir tus datos en línea, suspira y da clic aquí”. New York Times, 27 de diciembre de 2018. https://www.nytimes.com/es/2018/12/27/privacidad-compartir-datos/ (acceso:27/02/2019).
4. Cfr. Turow, Joseph et al. Divided We Feel. 2018.https://www.asc.upenn.edu/sites/default/files/documents/Turow-Divided-Final.pdf (acceso: 27/02/2019).
5 . Ibid.
6 . Para efectos del presente análisis se empleará los términos empresa, firma, compañía y sociedad como sinónimos.
7 . Adriasola Navarrete, José Manuel. La transformación de la empresa. Santiago de Chile: Editorial Jurídica de Chile, 1971, p. 19.
8 . Carrillo Tomic, Eduardo y Carrillo Tomic, Julio. Tributación normal a la renta de las empresas de Chile y en la legislación comparada. Santiago de Chile: Editorial Jurídica de Chile. 1968, s.p. Citado en Adriasola Navarrete, José Manuel. Óp. cit., p. 19.
9 . Uría González, Rodrigo. Derecho Mercantil. Madrid: Silverio Aguirre Torre, 1962. Citado en Adriasola Navarrete, José Manuel. Óp. cit., p. 20.
10 . Shaw, John C. Gestión de servicios: la consecución del éxito en empresas de servicios mediante el desarrollo de planes. Madrid: Díaz de Santos, 1991, p. 38.
11 . Reglamento (UE) 2016/679. (2016). Considerando 14 y 27.
12 . Stanton, William; Walker, Bruce y Etzel, Michael. Fundamentos de marketing, decimocuarta edición. México D.F.: McGraw Hill/ Interamericana de México, 2007, p. 7.
13 . Cfr. Chiesa, Cosimo. CRM: Las 5 pirámides del marketing relacional: Cómo conseguir que los clientes lleguen para quedarse. Barcelona: Deusto, 2009, p. 33 y ss.
14 . Kotler, Philip y Keller, Kotler. Dirección de Marketing. México D.F.: Pearson Educación, 2006, p. 31.
15 . Sainz de Vicuña Ancín, José María. La distribución comercial: opciones estratégicas. Madrid: ESIC, 2000, p. 424.
16 . Id., p. 426.
17 . Cfr. Martínez Martínez, Inmaculada. La comunicación en el punto de venta: estrategias de comunicación en el comercio real y on-line. Madrid: ESIC, 2005, p. 181.
18 . Cfr. Butscher, Stephen. Customer Loyalty Programmes and Clubs. Londres: Routledge, 2017, p. 7-8.
19 . Ziesak, Jrg. The Dark Side of Personalization: Online Privacy Concerns Influence Customer Behavior. Alemania: Anchor Academic Publishing, 2013, p. 4.
20 . Alet, Josep. Marketing directo e interactivo: Campañas efectivas con sus clientes. Madrid: ESIC, 2007, p. 122.
21 . The Economist. “The end of privacy”. The Economist, 29 de abril de 1999. https://www.economist.com/leaders/1999/04/29/the-end-of-privacy (acceso: 23/03/2019).
22 . Cfr. Palfrey, Jonh y Gasser, Urs. Born Digital: Understanding the First Generation of digital Natives. New York: Basic Book, 2008, p. 44.
23 . Mc Grew, Anthony et al. Transformaciones globales: política, economía y cultura. México: Oxford University Press, 2002, p. 53.
24 . Cfr. Uicich, Rodolfo Daniel. Los bancos de datos y el derecho a la intimidad. Buenos Aires: Ad-Hoc, 1999, p. 14.
25 . Esta es la definición y el origen exacto de la palabra dato que consta en el diccionario de la Real Academia Española. Para introducir el concepto el autor citado a continuación la emplea también. (Cesario, Roberto. Habeas data. Ley 25.326. Buenos Aires: Universidad, 2001, p. 24.)
26 . Puccinelli, Oscar Rául. El habeas data en el constitucionalismo indoiberoamericano finisecular. En El amparo constitucional. Buenos Aires: Depalma, 1999, p. 189.
27 . Cfr. Delpech Fernández, Horacio. Internet: Su problemática jurídica. Buenos Aires: Abeledo-Perrot, 2001, p. 210.
28 . Hernández-Delgado, Vicente. “Referentes legales para un marco protector de datos personales” Revista Ra Ximhai, Vol. 2 (2006), p. 568.
29 . Reglamento (UE) 2016/679. (2016). Artículo 4.1.
30 . Cfr. Uicich, Rodolfo Daniel. Óp. cit., p.47.
31 . Pierini, Alicia; Lorences, Valentina y Tornabene, María Inés. Habeas data: derecho a la intimidad. Buenos Aires: Universidad, p. 25.
32 . Cfr. Rojas Bejarano, Marcela. “Evolución del Derecho de Protección de Datos Personales en Colombia respecto a estándares internacionales”. Novum Jus. Vol. 8, No. 1 (2014), p. 128.
33 . Podría ser una aclaración innecesaria, sin embargo, se protege a personas físicas vivas, tomando en consideración que los derechos personalísimos no son transmisibles. (Cfr. Bejar, Helena. El ámbito de lo intimo. Privacidad, individualismo y modernidad. Madrid: Alianza, 1995, p. 34.)
34 . Traducción libre. Solove, Daniel. “Conceptualizing Privacy”. California Law Review. Vol. 90 (2002), p. 1126-1146.
35 . Martínez de Pisón Cavero, José María. El derecho a la intimidad en la jurisprudencia constitucional. Madrid: Cívitas, 1993, p. 27.
36 . Saldaña, María Nieves. “«The right to privacy». La génesis de la protección de la privacidad en el sistema constitucional norteamerciano: el centenario legado de Warren y Brandeis”. Revista de Derecho Político. No. 85 (2012), p. 200-201.
37 . Warren, Samuel y Brandeis, Louis. “The Right to privacy”. Harvard Law Review. Vol. 4, No. 5 (1890), p. 194-220.
38 . Rubenfeld, Jed. “The right of Privacy”. Harvard Law Review. Vol. 4 (1989), p. 751.
39 . Cfr. Uicich, Rodolfo Daniel. Óp. cit., p. 33.
40 . Cfr. Pérez Luño, Antonio Enrique. Los derechos fundamentales. Madrid: Tecnos, 2004, p.45.
41 . Más adelante, se expondrá que, en la legislación ecuatoriana, la diferencia entre el derecho a la privacidad y el derecho a la intimidad es muy sutil, tanto que se utilizan ambos términos indistintamente en las diferentes normas.
42 . Cfr. Tejerina Rodríguez, Ofelia. Protección de datos y seguridad de Estado. Tesis doctoral. Universidad Complutense de Madrid, Madrid, 2012, p. 45.
43 . Tribunal Constitucional Español. Sentencia 292/2000. Sentencia, 30 de noviembre de 2000.
44 . Cesario, Roberto. Óp. cit., p. 24.
45 . Cfr. Benda, Ernesto. Dignidad humana y derecho de la personalidad. En Manual de Derecho Constitucional, segunda edición. Barcelona: Marcial Pons, p. 131. Citado en García, Aristeo. “La protección de datos personales: derecho fundamental del siglo XXI. Un estudio comparado”. Boletín Mexicano de Derecho Comparado. No. 120 (2007), p. 762.
46 . Cfr. Gozaíni, Osvaldo Alfredo. Hábeas data: protección de datos personales. Santa Fe: Rubinzal-culzoni, 2001, p. 15.
47 . Constitución de la República del Ecuador (CRE). Artículo 1. Registro Oficial No. 449 de 20 de octubre de 2008.
48 . Declaración Universal de los Derechos Humanos (1948). Artículo 12.
49 . “Artículo V. Toda persona tiene derecho a la protección de la ley contra los ataques abusivos a su honra, a su reputación y a su vida privada y familiar”. Declaración Americana de los Derechos y Deberes del Hombre. (1948). Artículo 5.
50 . “Artículo 11. Protección de la honra y de la dignidad. 1. Toda persona tiene derecho al respeto de su honra y al reconocimiento de su dignidad. 2. Nadie puede ser objeto de injerencias arbitrarias o abusivas en su vida privada, en la de su familia, en su domicilio o en su correspondencia, ni de ataques ilegales a su honra o reputación. 3. Toda persona tiene derecho a la protección de la Ley contra esas injerencias o esos ataques”. (Convención Americana sobre Derechos Humanos. (1969). Artículo 11.)
51 . CRE. Eiusdem. Artículo 66.20.
52 . Código Orgánico Administrativo. Artículo 24. Registro Oficial Suplemento No. 31 de 7 de julio de 2017.
53 . Ley Orgánica del Sistema Nacional del Registro de Datos Públicos. Artículo 9. Registro Oficial No. 162 Suplemento de 31 de marzo de 2010.
54 . Ley Orgánica de Telecomunicaciones. Artículo 22. Registro Oficial No. 439 Suplemento de 18 de febrero de 2015.
55 . Eiusdem. Artículo 78.
56 . CRE. Eiusdem. Artículo 11.9.
57 . Eiusdem. Artículo 66.19.
58 . Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos. Disposición general novena. Registro Oficial No. 557 Suplemento de 17 de abril de 2002.
59 . Ley Orgánica de Transparencia y Acceso a la Información Pública. Artículo 5. Registro Oficial No. 337 Suplemento de 18 de mayo de 2004.
60 . Ley Orgánica del Sistema Nacional… Eiusdem. Artículo 13.
61 . Eiusdem. Artículo 28.
62 . Ley Orgánica de Transparencia… Eiusdem. Artículo 1.
63. Ley Orgánica del Sistema Nacional… Eiusdem. Artículo 6.
64. Corte Constitucional del Ecuador. Sentencia 182-15-SEP-CC. Sentencia, 3 de junio de 2015.
65 . Ley Orgánica de Garantías Jurisdiccionales y Control Constitucional. Artículo 6. Registro Oficial No.52 Suplemento de 22 de octubre de 2009.
66 . Montaña Pinto, Juan y Porras Velasco, Angélica. Apuntes de derecho procesal constitucional: parte especial: garantías constitucionales en Ecuador. Quito: Corte Constitucional para el Período de Transición, 2012, p. 81.
67 . Constitución Política de la República del Ecuador, Codificación 1997. Artículo 30. Registro Oficial No. 2 de 13 de febrero de 1997.
68 . Cfr. Grijalva Jiménez, Agustín. Constitucionalismo en Ecuador. Quito: Corte Constitucional para el Periodo de Transición, 2012, p. 239.
69 . Cfr. Id., p. 250.
70 . Sobre el habeas data en Ecuador, vid. CRE. Eiusdem. Artículo 92; Ley Orgánica de Garantías… Eiusdem. Artículo 49.
71 . Corte Constitucional del Ecuador. Sentencia 032-15-SEP-CC. Sentencia, 11 de febrero de 2015.
72 . Corte Constitucional del Ecuador. Sentencia 025-15-SEP-CC. Sentencia, 4 de febrero de 2015.
73 . Cfr. Basterra, Marcela. Protección de datos personales: la garantía de habeas data. Buenos Aires: Ediar, 2008, p. 30.
74 . Ley de Garantías… Eiusdem. Artículo 50.
75 . Eiusdem.
76 . A diferencia del habeas data, la acción de acceso a la información pública puede plantearse, si a los 15 días de requerida la información, la entidad no responde a la solicitud. Sobre la diferencia que existen en cuanto al plazo de estas dos garantías, vid. Ley de Orgánica de Transparencia… Eiusdem. Artículo 9.
77 . Ley de Garantías… Eiusdem. Artículo 51.
78 . Ley de Garantías… Eiusdem. Artículo 50.
79 . Constitución de la República del Ecuador. Eiusdem. Artículo 92.
80 . Cfr. Trujillo, Julio César. Teoría del Estado en el Ecuador. Quito: Corporación Editora Nacional, 2006, p. 247.
81 . Jinena Leina, Renato Javier. Chile. La Protección Penal de la Intimidad y el Delito. Santiago de Chile: Editorial Jurídica de Chile, 1992, p. 30.
82 . Cfr. Pérez Luño, Antonio Enrique. Manual de Informática y Derecho. Barcelona: Editorial Ariel, 1996, p. 69.
83 . Código Orgánico Integral Penal (COIP). Artículo 178. Registro Oficial No. 180 Suplemento de 10 de febrero de 2014.
84 . Eiusdem. Artículos 229, 231 y 232.
85 . Mata y Martín, Ricardo. Delincuencia Informática y Derecho Penal. Madrid: Edisofer, 2001, p. 21.
86 . Código Orgánico Monetario y Financiero. Artículos 255.18, 262 y 264. Registro Oficial No. 332 Suplemento de 12 de septiembre de 2014.
87 . Ley Orgánica de Regulación y Control del Poder de Mercado. Artículo 25. Registro Oficial No. 555 Suplemento de 13 de octubre de 2011.
88 . Eiusdem. Artículo 25.
89 . Eiusdem. Artículo 26.
90 . Eiusdem. Artículo 27.
91 . Eiusdem.
92 . Eiusdem.
93 . Eiusdem
94 . Cfr. Velásquez Bautista, Rafael. Protección jurídica de datos personales automatizados. España: Colex, 1993, p. 162.
95 . Alet, Josep. Visión cliente: Crecer y ganar más con los clientes. España: Profit, 2015, s.p.
96 . Cfr. Sierra, Jorge Alfonso. Marketing para editoriales universitarias en el siglo XXI. San José: Direct Libros, 2005, p. 48.
97 . Cfr. Mailoc, Marcos., Illera, Carlos. Invertir en hedge funds: análisis de su estructura, estrategias y eficiencia. España: Díaz de Santos, 2004, p. 135.
98 . Cfr. Twomey, David y Jennings, Marianne. Business Law: Principles for Today’s Commercial Environment. Ohio: Cengage Learning, 2011, p. 106.
99 . Sandoval, Fernando. «La insistencia de ventas telefónicas genera malestar». El Telégrafo, 12 de marzo 2017. https://www.eltelegrafo.com.ec/noticias/702/51/la-insistencia-de-ventas-telefonicas-genera-malestar (acceso: 02/03/2018).
100. Ibíd.
101. Ley Orgánica de Defensa del Consumidor. Artículo 4. Registro Oficial No. 116 Suplemento de 10 de julio de 2000.
102. Eiusdem Artículo 43.
103. Eiusdem