La obligatoriedad de incluir el código dactilar en los nombramientos de representantes legales y su implicación dentro del marco de protección de datos personales
11 de Julio , 2022
La Constitución de la República del Ecuador recoge, desde el año 2008, el derecho a la protección de datos personales y desde el 2021 contamos con la Ley Orgánica de Protección de Datos Personales, misma que es aplicable tanto para organizaciones privadas como para entidades e instituciones del sector público.
Bajo esta premisa, se debe entender que las organizaciones previamente mencionadas deben cumplir dentro de sus prácticas con las obligaciones establecidas en la citada Ley, pero ¿qué pasa cuando esta organización es una autoridad que emite una disposición que tiene un claro impacto sobre los datos personales de sus regulados o controlados?
Ese es el caso de la Resolución Nro. SCVS-INC-DNCDN-2022-008, emitida por la Superintendencia de Compañías, Valores y Seguros, que contiene el Reglamento Sobre los Requisitos que deben Contener el Nombramiento del Representante Legal y el Poder del Mandatario Mercantil de las Compañías, mismo que ahora incluye la obligatoriedad de contener el código dactilar de la persona natural en cuyo favor se extendiere el nombramiento de representante legal, un dato personal adicional dentro de este documento, que será sometido a una serie de tratamientos por diversas entidades -al menos por la misma Superintendencia y por los registros mercantiles o de la propiedad con funciones y facultades de registro mercantil-.
¿Por qué el código dactilar es un dato personal? Sencillo, un dato personal es aquel que identifica o hace identificable a una persona natural, directa o indirectamente y este código es una serie de números y letras, que está formado por 10 dígitos únicos e irrepetibles, otorgado por el Registro Civil durante el proceso de cedulación de una persona y luego de la lectura de la huella digital de la misma, siendo único e irrepetible, que permite su plena identificación.
¿A qué me refiero? El derecho a la protección de datos personales surge a fin de proteger a las personas de los abusos a los que podrían haberse visto sometidos por parte de quien controlara sus datos -en el contexto de la segunda guerra mundial los datos personales fueron utilizados para la identificación y catalogación de objetivos y prisioneros de guerra-, partiendo de un principio conocido como “autodeterminación informativa” -yo decido a quién entrego mis datos, para qué autorizo su uso, por cuánto tiempo, entre otros aspectos.
Con este antecedente, el uso de datos personales debe regirse por varios principios -no voy a entrar en discusión sobre la base legitimadora para hacer uso de los datos- voy únicamente a destacar tres, que al amparo de la resolución de la Superintendencia se aprecian como las más relevantes: finalidad, pertinencia y minimización de datos personales y proporcionalidad.
En resumen, la finalidad debe ser determinada, explícita, legítima y comunicada al titular; los datos personales deben ser pertinentes y estar limitados a lo estrictamente necesario para el cumplimiento de la finalidad; y el tratamiento debe ser adecuado, necesario, oportuno, relevante y no excesivo con relación a la finalidad -el concepto de tratamiento es bastante extenso, pero incluye cualquier acción que se realice con los datos personales-.
En consecuencia, debe haber un fin y se deben usar los datos estrictamente necesarios, ni más, ni menos.
Ahora sí, sobre la resolución de nuestro interés, la Superintendencia debió evaluar el impacto que su disposición tendría sobre los titulares de datos, al amparo del derecho constitucional y la Ley, en primer lugar, porque podría estar recayendo en un tratamiento excesivo, considerando que ya cuentan con el número de cédula, que ya es un código único e irrepetible entregado a cada persona, entonces ¿por qué necesitaría otro?, que incluso puede representar un riesgo mayor, al estar atado a la huella dactilar de las personas.
Asimismo, debió considerar que el código dactilar, toda vez que no es un dato conocido por todos, se utiliza como medio de verificación para acceder a una serie de servicios en línea -ente ellos varios pertenecientes a la administración pública- y que al incorporarlo en un documento como lo es el nombramiento, mismo que es fácilmente accesible desde el mismo sitio de la Superintendencia en cualquier momento y desde cualquier lugar, este dato puede ser utilizado para el cometimiento de ilícitos, como la suplantación de identidad.
El análisis de riesgo es fundamental en el derecho a la protección de datos personales, la misma norma recoge la obligatoriedad de incorporar prácticas desde el diseño de un tratamiento -para identificar riesgos antes de que el tratamiento entre en operación y luego para poder tomar las medidas de seguridad apropiadas-.
Este tipo de análisis no son nuevos, en otras partes del mundo las entidades suelen realizar consultas a las Autoridades de Protección de Datos en sus países respecto del impacto que sus propuestas puede tener en ese ámbito, como el caso de la relación que existe entre Il Garante y la Agenzia delle Entrate e alla Guardia di Finanza en Italia, autoridades de protección de datos y tributaria respectivamente, que han articulado varias acciones, incluso con otras instituciones, previo a la emisión de disposiciones -por ejemplo, la opinión favorable del Il Garante al Decreto para uso de datos para el análisis de riesgo de evasión tributaria-.
En conclusión, hay un deber y una responsabilidad clara de las autoridades, a las que les corresponde, antes de la emisión de una disposición que involucre datos personales, el realizar un análisis previo que le permita identificar si con esta no se está afectando a los titulares de datos o, de manera más clara, vulnerando su derecho constitucional.
Área de TMT, Privacidad y Protección de Datos Personales ECIJA Ecuador