L
Lorena Naranjo Godoy
Guest
La reciente imposición de multas por más de US$450 000 por parte de la Superintendencia de Protección de Datos Personales (SPDP) a la Liga Profesional de Fútbol del Ecuador (LIGAPRO) y a la Federación Ecuatoriana de Fútbol (FEF), marca un hito en la aplicación de la Ley Orgánica de Protección de Datos Personales (LOPDP) en el país. Estas sanciones, consideradas por infracciones graves, envían un mensaje claro, la Protección de Datos Personales, especialmente de categorías especiales como los biométricos, debe ser una prioridad de seguridad desde su diseño y no un “check” al final del proyecto.
La SPDP ha pasado de la teoría a la acción, estableciendo las nuevas reglas del juego y demostrando que la gestión de datos “exige rigor, transparencia y responsabilidad proactiva”.
El motivo de la sanción fue el uso de las aplicaciones Fan ID (LigaPro) y Fan FEF (FEF), donde se requería el tratamiento de datos personales, incluyendo datos biométricos (reconocimiento facial), bajo un consentimiento que la SPDP determinó como inválido.
Nuestra normativa reconoce a la biometría como un dato sensible conforme señala el artículo 4 de la Ley Orgánica de Protección de Datos Personales.
Un dato es sensible cuando su tratamiento puede dar lugar a discriminación o un daño grave al titular. La biometría facial cumple esta condición por las siguientes razones clave:
Los riesgos asociados al tratamiento de la biometría facial pueden tener graves consecuencias para los derechos y libertades de los individuos:
Asimismo, el artículo 25 de la LOPDP, establece cuáles son las Categorías Especiales de Datos Personales que requieren una mayor protección legal debido a su potencial para causar discriminación o a la vulnerabilidad de sus titulares. Estas categorías incluyen los datos sensibles (incluidos los biométricos), los datos de salud, los datos de niñas, niños y adolescentes, y los datos de personas con discapacidad. Al ser considerados de alto riesgo, la ley impone barreras más estrictas para su manejo, reconociendo que su uso inadecuado puede afectar gravemente los derechos y libertades fundamentales del titular, siendo la base para las restricciones detalladas en el artículo siguiente.
El Artículo 26 de la LOPDP, aborda directamente el Tratamiento de Datos Sensibles, sentando una regla fundamental, su tratamiento está, por principio, prohibido. No obstante, establece un conjunto muy limitado de excepciones para permitir su uso únicamente en situaciones cruciales. Estas excepciones incluyen obtener el consentimiento explícito del titular, la necesidad de cumplir con obligaciones de Derecho Laboral o Seguridad Social, la protección de intereses vitales cuando el titular no puede consentir, cuando los datos ya han sido hechos manifiestamente públicos por el titular, cuando lo ordena una autoridad judicial, o para fines de investigación científica o archivo de interés público, siempre que se tomen medidas adecuadas de protección.
Un factor crítico en la resolución fue el consentimiento viciado. Las aplicaciones funcionaban bajo una lógica de atadura: “Si quieres tu entrada, dame tu rostro”. La SPDP ha dictaminado que este “condicionamiento del servicio (Bundling)” anula la validez legal del tratamiento, dejando claro que el consentimiento debe ser libre.
Se violó el Principio de Minimización, pues para vender una entrada, no es “estrictamente necesario tener el registro facial de la persona”. Además, el Principio de Proporcionalidad se vio comprometido, ya que la medida se aplicó “indiscriminadamente a todos los asistentes sin ofrecer una alternativa menos intrusiva”. Esta situación generó un “desequilibrio de poder” , forzando al hincha a ceder “sus datos más íntimos (su rostro) a cambio de un servicio que no debería requerir tal nivel de intrusión por defecto”.
Más allá de los aspectos tecnológicos, “fallaron los cimientos documentales”. Las resoluciones dela SPDP se basaron en la existencia de una infracción grave relacionada con la “falta de implementación de medidas administrativas, técnicas, físicas, organizativas y jurídicas suficientes”.
La SPDP constató la falta de documentación base, lo cual es “letal para la defensa de las entidades sancionadas”:
La LigaPro, además, fue obligada a informar a 14.398 titulares sobre la invalidez de su consentimiento y a eliminar dichos datos personales. Por su parte, la FEF deberá actualizar su RAT, implementar una Política de Protección de Datos y notificar la invalidez del consentimiento. Los montos de la sanción se encuentran entre el 0.7% (mínimo) y el 1% (máximo) para infracciones graves, y están influenciados por factores agravantes como la Masividad (volumen de datos), la Intencionalidad (dolo o negligencia grave), la Reincidencia (incumplimiento de medidas correctivas previas) y el Tipo de Datos (uso de datos sensibles como los biométricos).
Estas primeras multas graves demuestran que la LOPDP está en plena vigencia. La SPDP ha cumplido su compromiso con la “defensa efectiva del derecho a la Protección de Datos Personales”. El verdadero mensaje no está solo en el monto de la sanción, sino en el “por qué”. La lección final es que “No existe ‘seguridad’ sin gobernanza”. La falta de documentación base es la prueba reina de la falta de comprensión de la Responsabilidad Proactiva y Demostrada (Art. 10 literal k).
Todo Responsable y Encargado del Tratamiento en Ecuador debe entender que la implementación de tecnología de alto riesgo sin una Evaluación de Impacto (EIPD) y sin una arquitectura legal robusta lo pone en riesgo de sanción.
Es fundamental revisar y actualizar de inmediato los procesos de cumplimiento de la LOPDP. Si su organización maneja datos sensibles o condiciona servicios a la entrega de datos no esenciales, debe realizar una EIPD rigurosa y asegurar que su Registro de Actividades de Tratamiento y Avisos de Privacidad estén al día y sean totalmente transparentes.
Los sistemas biométricos modernos no almacenan la imagen real de la característica, lo que dificulta la reversión de la plantilla a la imagen original; el uso de biometría plantea preocupaciones éticas y de privacidad, ya que un rasgo biométrico no se puede cambiar si se ve comprometido. Por esta razón, su regulación es estricta en muchas jurisdicciones, tal es el caso del manejo de datos sensibles dispuesto en la Ley Orgánica de Protección de Datos Personales en Ecuador; no espere a que la SPDP toque a su puerta para comenzar a proteger los datos personales de sus usuarios.
Sigue leyendo...
La SPDP ha pasado de la teoría a la acción, estableciendo las nuevas reglas del juego y demostrando que la gestión de datos “exige rigor, transparencia y responsabilidad proactiva”.
El motivo de la sanción fue el uso de las aplicaciones Fan ID (LigaPro) y Fan FEF (FEF), donde se requería el tratamiento de datos personales, incluyendo datos biométricos (reconocimiento facial), bajo un consentimiento que la SPDP determinó como inválido.
Nuestra normativa reconoce a la biometría como un dato sensible conforme señala el artículo 4 de la Ley Orgánica de Protección de Datos Personales.
Un dato es sensible cuando su tratamiento puede dar lugar a discriminación o un daño grave al titular. La biometría facial cumple esta condición por las siguientes razones clave:
- Identificación Única e Inmutable: El patrón facial es una característica única e ineludible de cada persona que no se puede cambiar (a diferencia de una contraseña). Si este dato se ve comprometido o es robado, la persona afectada no puede “regenerar” un nuevo rostro para fines de seguridad.
- Vínculo Directo con la Persona: El rostro es la forma más directa de identificar a una persona en el mundo físico. Su captura y procesamiento permiten una identificación inequívoca de la persona, facilitando el seguimiento y la elaboración de perfiles.
- Posibilidad de Usos Secundarios: Más allá de la autenticación simple, la biometría facial puede utilizarse para inferir otra información sensible, como el estado de ánimo, la salud (temperatura, etc.), la etnia, o incluso la ubicación y el movimiento de una persona.
Los riesgos asociados al tratamiento de la biometría facial pueden tener graves consecuencias para los derechos y libertades de los individuos:
- Violación de Datos Irreversible: Si la base de datos que almacena las plantillas faciales es vulnerada, los datos robados no se pueden reemplazar. Los ciberdelincuentes podrían intentar descifrarlos y usarlos para suplantación de identidad de forma permanente.
- Ataques de Presentación (Spoofing): Los sistemas pueden ser engañados con resultados visuales falsos, como fotos de alta resolución o “máscaras”, aunque las tecnologías más avanzadas tienen medidas de prevención.
- Falta de Calidad o Fallos del Sistema: Si la tecnología de escaneo o el algoritmo de comparación no son robustos, pueden llevar a falsos positivos (permitir el acceso a un atacante) o falsos negativos (negar el acceso al usuario legítimo).
- Vigilancia Masiva y Excesiva: El reconocimiento facial permite el seguimiento constante de las personas en espacios públicos o privados sin su conocimiento, lo que puede derivar en una vigilancia desmedida y coartar la libertad de expresión o manifestación.
- Creación de Perfiles y Usos No Autorizados: La recopilación excesiva de datos puede utilizarse para crear perfiles detallados de las personas para usos que nunca consintieron, como la vigilancia predictiva o la segmentación comercial o política.
- Sesgos Algorítmicos: Los algoritmos de reconocimiento facial entrenados con conjuntos de datos no diversos pueden tener sesgos raciales o de género, lo que lleva a identificar erróneamente a personas de ciertas comunidades (falsos negativos) o a someterlas a un mayor escrutinio. Esto puede resultar en efectos discriminatorios.
Asimismo, el artículo 25 de la LOPDP, establece cuáles son las Categorías Especiales de Datos Personales que requieren una mayor protección legal debido a su potencial para causar discriminación o a la vulnerabilidad de sus titulares. Estas categorías incluyen los datos sensibles (incluidos los biométricos), los datos de salud, los datos de niñas, niños y adolescentes, y los datos de personas con discapacidad. Al ser considerados de alto riesgo, la ley impone barreras más estrictas para su manejo, reconociendo que su uso inadecuado puede afectar gravemente los derechos y libertades fundamentales del titular, siendo la base para las restricciones detalladas en el artículo siguiente.
El Artículo 26 de la LOPDP, aborda directamente el Tratamiento de Datos Sensibles, sentando una regla fundamental, su tratamiento está, por principio, prohibido. No obstante, establece un conjunto muy limitado de excepciones para permitir su uso únicamente en situaciones cruciales. Estas excepciones incluyen obtener el consentimiento explícito del titular, la necesidad de cumplir con obligaciones de Derecho Laboral o Seguridad Social, la protección de intereses vitales cuando el titular no puede consentir, cuando los datos ya han sido hechos manifiestamente públicos por el titular, cuando lo ordena una autoridad judicial, o para fines de investigación científica o archivo de interés público, siempre que se tomen medidas adecuadas de protección.
Un factor crítico en la resolución fue el consentimiento viciado. Las aplicaciones funcionaban bajo una lógica de atadura: “Si quieres tu entrada, dame tu rostro”. La SPDP ha dictaminado que este “condicionamiento del servicio (Bundling)” anula la validez legal del tratamiento, dejando claro que el consentimiento debe ser libre.
Se violó el Principio de Minimización, pues para vender una entrada, no es “estrictamente necesario tener el registro facial de la persona”. Además, el Principio de Proporcionalidad se vio comprometido, ya que la medida se aplicó “indiscriminadamente a todos los asistentes sin ofrecer una alternativa menos intrusiva”. Esta situación generó un “desequilibrio de poder” , forzando al hincha a ceder “sus datos más íntimos (su rostro) a cambio de un servicio que no debería requerir tal nivel de intrusión por defecto”.
Más allá de los aspectos tecnológicos, “fallaron los cimientos documentales”. Las resoluciones dela SPDP se basaron en la existencia de una infracción grave relacionada con la “falta de implementación de medidas administrativas, técnicas, físicas, organizativas y jurídicas suficientes”.
La SPDP constató la falta de documentación base, lo cual es “letal para la defensa de las entidades sancionadas”:
- Ausencia o deficiencia en el Registro de Actividades de Tratamiento (RAT): Sin un RAT, “la organización no sabe qué tiene ni dónde está”. La deficiencia en los RAT y los Avisos de Privacidad “demostraron improvisación”.
- Falta de Evaluación de Impacto (EIPD): Antes de usar reconocimiento facial, es “obligatorio realizar una Evaluación de Impacto a la Protección de Datos”. La sanción fue impuesta en parte por la falta de una EIPD.
- Incumplimiento de Medidas de Seguridad: Se determinó la “Falta de implementación de medidas de seguridad (técnicas, organizativas y jurídicas) adecuadas según el Art. 68 de la LOPDP”. La SPDP constató una infracción grave prevista en el artículo 68, numeral 1, de la LOPDP.
La LigaPro, además, fue obligada a informar a 14.398 titulares sobre la invalidez de su consentimiento y a eliminar dichos datos personales. Por su parte, la FEF deberá actualizar su RAT, implementar una Política de Protección de Datos y notificar la invalidez del consentimiento. Los montos de la sanción se encuentran entre el 0.7% (mínimo) y el 1% (máximo) para infracciones graves, y están influenciados por factores agravantes como la Masividad (volumen de datos), la Intencionalidad (dolo o negligencia grave), la Reincidencia (incumplimiento de medidas correctivas previas) y el Tipo de Datos (uso de datos sensibles como los biométricos).
Estas primeras multas graves demuestran que la LOPDP está en plena vigencia. La SPDP ha cumplido su compromiso con la “defensa efectiva del derecho a la Protección de Datos Personales”. El verdadero mensaje no está solo en el monto de la sanción, sino en el “por qué”. La lección final es que “No existe ‘seguridad’ sin gobernanza”. La falta de documentación base es la prueba reina de la falta de comprensión de la Responsabilidad Proactiva y Demostrada (Art. 10 literal k).
Todo Responsable y Encargado del Tratamiento en Ecuador debe entender que la implementación de tecnología de alto riesgo sin una Evaluación de Impacto (EIPD) y sin una arquitectura legal robusta lo pone en riesgo de sanción.
Es fundamental revisar y actualizar de inmediato los procesos de cumplimiento de la LOPDP. Si su organización maneja datos sensibles o condiciona servicios a la entrega de datos no esenciales, debe realizar una EIPD rigurosa y asegurar que su Registro de Actividades de Tratamiento y Avisos de Privacidad estén al día y sean totalmente transparentes.
Los sistemas biométricos modernos no almacenan la imagen real de la característica, lo que dificulta la reversión de la plantilla a la imagen original; el uso de biometría plantea preocupaciones éticas y de privacidad, ya que un rasgo biométrico no se puede cambiar si se ve comprometido. Por esta razón, su regulación es estricta en muchas jurisdicciones, tal es el caso del manejo de datos sensibles dispuesto en la Ley Orgánica de Protección de Datos Personales en Ecuador; no espere a que la SPDP toque a su puerta para comenzar a proteger los datos personales de sus usuarios.
Sigue leyendo...