El Municipio de Quito tiene como objetivo implementar la tercera placa y así tener una movilidad más ordenada. Para la alcaldía de Pabel Muñoz, permitirá que las tareas de control y restricción vehicular sean más eficientes y automatizadas.
Sin embargo, la protección de datos está de por medio. Ecuador tiene una normativa y para que nos aclare sobre los riesgos de este sistema, que será un chip colocado en los vehículos que se matriculen, entrevistamos a Lorena Naranjo Godoy, abogada experta en los derechos digitales y protección de datos personales. Es directora de la Maestría en Derecho Digital de la UDLA.
Más noticias
Seguridad, privacidad y protección de datos personales
¿Qué implicaciones tiene la implementación de una tercera placa en términos de privacidad y seguridad de la información?
Antes de responder directamente, me gustaría aclarar algunos conceptos. Es fundamental distinguir entre privacidad, protección de datos y seguridad de la información, porque muchas veces se confunden o se usan indistintamente. Cuando nos referimos a privacidad se limita información privada de la persona; en cambio, protección de datos personales hace referencia a todo tipo de dato que identifique o haga identificable a una persona, como por ejemplo una placa vehicular. De otro lado, seguridad de la información es el conjunto de reglas que permiten evitar fugas o vulneraciones de la información.
Es necesario conocer a profundidad en qué consiste exactamente este sistema, porque la información disponible hasta ahora no es del todo claro.
Esto como consecuencia del mundo digital en el que vivimos que muchas veces nos abruma y en el que la definicion de la tecnología que se va a usar por parte del Municipio es necesaria.
Si porque en otros países, como Perú, se ha usado tecnologías con propósitos diferentes. Por eso, quiero orientar primero el análisis para que podamos hacer uno más completo. No quiero aventurarme a dar una respuesta sin contar con los elementos suficientes.
Es importante aclarar que “privacidad” no es un término propiamente ecuatoriano ni latinoamericano, ni siquiera europeo. Es un concepto anglosajón que representa un punto intermedio entre intimidad y protección de datos personales.
Entonces, para empezar con claridad, ¿cuál es la diferencia entre privacidad, intimidad y protección de datos?
Nuestra Constitución reconoce dos derechos fundamentales relacionados con estos temas: la protección de datos personales, que está en el artículo 66, numeral 19, y el derecho a la intimidad, que está en el numeral 20 del mismo artículo. Es importante aclarar que “privacidad” no es un término propiamente ecuatoriano ni latinoamericano, ni siquiera europeo. Es un concepto anglosajón que representa un punto intermedio entre intimidad y protección de datos personales. Por eso me genera cierto rechazo cuando se usa “privacidad” de manera indiscriminada, porque en Ecuador el término jurídico correcto es intimidad.
La intimidad y los datos personales
¿Qué es la intimidad?
La intimidad no solo se asocia con aquello que es visible, notorio o fisico, sino también con las manifestaciones digitales de las personas, pues hoy en día somos ciudadanos digitales. Por ello, nuestros datos íntimos deben estar protegidos.
¿Cómo se protegen esos datos íntimos?
Por ejemplo, el Código Organico Integral Penal prohíbe la difusión de videos con contenido sexual, que involucran datos personales intimos, pero también información que no necesariamente está en formato digital. Otro ejemplo puede ser un documento físico o una carta escrita en papel que contengan datos intimos. Incluso una conversación en una reunión puede entrar en este ámbito. En cambio, cuando información íntima se publica en un medio de comunicación—digital o tradicional— deberá ser protegida la intimidad de la persona sin menoscabar la libertad de expresión.
¿Qué es la protección de datos personales y cuáles son ejemplos de su posible vulneración?
Un ejemplo claro para entender la importancia de la protección de datos es lo que ocurrió en la Alemania nazi. En Holanda, tenían un censo que registraba, entre otras cosas, las religiones de la población. Su propósito inicial era distribuir recursos económicos para apoyar a todas las religiones. Pero cuando llegaron los nazis, el 90% de la población judía en Holanda no sobrevivió al Holocausto, porque, a diferencia de otros países, los alemanes ya sabían con quién estaban emparentados, dónde podían haberse escondido, cuántos hijos tenían y cuántas personas debían buscar. Fue imposible para ellos ocultarse, porque esa información ya existía y estaba organizada.
Esa es la importancia de los datos. No importa si es un dato sensible, íntimo o privado. Esta recopilación de datos (censo) que, en teoría, no representaba riesgo porque tenía una finalidad de asignación de recursos estatales a las entidades religiosas holandesas, puso en riesgo la vida de las personas.
Y esto no es solo un hecho del pasado. Hoy en día, hay ejemplos similares en otros países. En Venezuela, por ejemplo, existió la lista Tascón, un registro de las personas que votaron en contra de Hugo Chávez en un referéndum. Esa lista fue utilizada después para discriminar a opositores, negándoles empleos y acceso a servicios del Estado.
Ahí vemos cómo los datos personales pueden ser utilizados como una herramienta de control social y persecución política.
¿Cómo se diferencia la libertad de expresión de la protección de datos?
La libertad de expresión tiene un régimen especial. No hay censura previa, pero sí existe una responsabilidad ulterior, sobre las declaraciones que pudieran resultar injuriosas o afectar intimidad o protección de datos personales de otros.
Tratamiento y protección de datos personales
¿Podría explicarnos cómo funciona la protección de datos personales y qué implica su tratamiento?
La protección de datos personales es un derecho que nos permite decidir qué información puede ser procesada por alguna organización. Cualquier persona natural o jurídica, pública o privada, que necesite tratar datos personales entra en esta categoría. Por ejemplo, bancos, universidades, municipios, colegios y hospitales requieren tratar datos personales para cumplir con sus funciones.
El tratamiento de datos personales abarca todo su ciclo de vida. Primero, el dato nace cuando se recopila. Luego, crece cuando se almacena, procesa, usa en bases de datos o se analiza. Después, se reproduce cuando se comparte, se transfiere o se transforma en información útil. Finalmente, muere cuando se elimina o se anonimiza.
La protección de datos personales es un derecho que nos permite decidir qué información puede ser procesada por alguna organización. Cualquier persona natural o jurídica, pública o privada, que necesite tratar datos personales entra en esta categoría.
La tercera placa en Quito y la protección de datos
Con esto en mente, ¿cómo encaja la tercera placa en este contexto? La tercera placa en Quito, según lo discutido en el Municipio, permitiría que tenga mayor control sobre los vehículos. Uno de los principales argumentos a favor de la tercera placa es que facilitaría la regulación del “pico y placa”.
Esto abre una discusión importante sobre el impacto en la protección de datos personales y la seguridad de la información. ¿Cómo se almacenarán estos datos? ¿Quién tendrá acceso a ellos? ¿Qué medidas de seguridad se implementarán para evitar su uso indebido?
Para entender los riesgos, pongamos un ejemplo común: cuando ingresamos a un edificio o urbanización, los guardias suelen pedir nuestros documentos y anotarlos en bitácoras. Esas bitácoras contienen datos personales y, en muchos casos, no tienen protección alguna. Algo similar podría ocurrir con los datos que se recopilen mediante la tercera placa si no se establecen protocolos de seguridad adecuados.
¿Qué debemos considerar antes de la implementación de este sistema?
La implementación de la tercera placa en Quito es un tema que debe ser analizado con cuidado, no solo desde la perspectiva del tránsito, sino también desde la protección de datos personales. Es necesario que las autoridades sean claras sobre el manejo de esta información y garanticen medidas de seguridad adecuadas para evitar vulneraciones a la intimidad, protección de datos personales y a la seguridad de los ciudadanos.
Ese es el problema de la tecnología…
La tecnología no es el problema. El problema es quién tiene el poder de manejar los datos y con qué intención lo hace. Por eso es fundamental que existan regulaciones claras y mecanismos de control que garanticen el uso adecuado de la información. Solo así podemos asegurar que los datos personales se utilice para el bien y no para el mal, no importa si es un dato íntimo, un dato privado, un dato personal de una persona identificada o identificable.
Volviendo a la pregunta inicial…
Ahora sí, vamos a la pregunta inicial. Hay la experiencia peruana de la tercera placa. Es solamente un mecanismo para digitalizar la placa y tener la información en el celular, igual que ahora se puede tener la licencia y la cédula. No le veo problema, porque es como tener una matrícula digital. Yo puedo decir: “Aquí está mi matrícula digital, revísela”. A veces nos quedamos sin cédula, sin licencia, y tener la versión digital nos ayuda, porque para acceder a esa información tengo un espacio seguro. Normalmente, cuando ingreso a un sistema, uso una contraseña; que no puede acceder cualquiera y todo está bajo mi control y seguridad.
La tecnología no es el problema. El problema es quién tiene el poder de manejar los datos y con qué intención lo hace. Por eso es fundamental que existan regulaciones claras y mecanismos de control que garanticen el uso adecuado de la información.
¿Cómo se aplica esto al Municipio y la Tercera Placa?
Primero, hay que determinar hasta dónde llega la competencia del Municipio. No es lo mismo la Agencia Nacional de Tránsito que la Agencia Metropolitana de Tránsito. Si la municipalidad quiere implementar un sistema de monitoreo con matrículas digitales, hay que analizar qué bases de datos usarán, si solo usan las municipales, tendrían acceso limitado a matrículas de Quito. También hay que ver si tiene convenios con la Agencia Nacional de Tránsito, porque permitiría el acceso a matrículas nacionales.
También se debe ver qué tecnologías emplearán, si son sistemas de tracking, lectores de placas, cámaras de videovigilancia. Finalmente, deberán explicar cómo garantizar la seguridad de la información, es decir que me aseguren que los datos sean protegidos y utilizados correctamente.
¿Cómo funciona la normativa de protección de datos personales?
Es factible implementar estos sistemas, pero deben cumplir con todos los estándares de seguridad y protección de datos personales. El ciudadano tiene derecho a saber cómo se usa su información y exigir transparencia.
La placa está asociada a datos personales. Por lo tanto, esta placa es un dato pesonal. Si esa placa se usa para la asignación de infracciones, significa que ¿voy a tener una cámara o varias cámaras en las zonas de borde de la ciudad para que automáticamente emita una alerta y me diga: “Vas a cruzar el borde” (límite de la resticción por el pico y placa)?. Además, yo me cuestionaría: ¿no tengo derecho a que me avisen? Porque a veces me olvido. O sea, ¿vamos a hacer un sistema en el que uno voluntariamente se inscriba o no? ¿O va a ser como que ni me acordé y simplemente entré y ya me tomaron la foto?
Los datos personales y la vigilancia
¿No habría problema de seguimiento como vigilancia?
Si al carro le toman la foto y entra en área restringida por el pico y placa, ese carro no lo cumple, está sancionado. Pero no es “tracking” vehicular, es distinto a colocar un tag o chip que funciona con tecnologia GPS, donde yo veo por dónde se fue en toda la ciudad.
Entonces, la primera posibilidad es verificar si la tecnología planteada para estre proyecto funcionará en el límite de la ciudad o borde donde rige el pico y placa, o si se usará otra tecnología de monitoreo.
¿Cómo sería un posible monitoreo?
Ese es el gran tema de análisis. Si es que se usa un tag o chip, cómo esta tecnología reportará la información, pues mis datos de movilidad podrían estar a disposición. Si esta información además ¿podría llegar a usarse incluso como evidencia en un proceso administrativo de infracción o incluso penal? Entonces, ¿qué pasa si piden un reporte de pico y placa para saber dónde estuvo una persona? Sin duda, esta información puede ser útil para temas de seguridad, pero también puede caer en malas manos.
¿Qué se debe garantizar para que cualquier tecnología pueda procesar datos personales?
Tienes que garantizar que tienes base legal como por ejemplo: interés público o consentimiento informado, y que además la organización publica que maneja la información actúe dentro de tus competencias. ¿Cómo lo vas a hacer? ¿Cuándo lo vas a hacer? ¿Por cuánto tiempo? ¿Cómo vas a almacenar la información? ¿Cuál es la política de protección de datos? ¿Qué empresa maneja los datos? ¿La empresa que ofrece el servicio también se lleva datos? ¿Cuál es el acuerdo de protección de datos?
¿Quién tiene la competencia para proteger los datos personales?
Ahí entra el rol de la Superintendencia de Protección de Datos. Apenas en 2023 se dictó el reglamento, pero recién en marzo del año pasado nombraron al superintendente y en septiembre asignaron presupuesto para contratar personal y comenzar a trabajar.
Los peligros sobre la protección de los datos
¿Se puede volver algo desproporcionado el rastreo de las personas?
El peligro es que, si el sistema no está bien regulado, puede volverse desproporcionado. Puede terminar rastreando personas en toda la ciudad sin justificación. El principio de proporcionalidad en la ley dice que el tratamiento de datos debe ser adecuado a la finalidad para la que fueron recogidos. Si se excede, no se puede hacer.
Por eso es importante hacer análisis de riesgo, evaluación de impacto y determinar si la tecnología cumple con la proporcionalidad. Si el Municipio quiere hacerlo bien, para que se transparente la finalidad o finalidades para lo cual usará la informacion.
¿Cuáles serían los riesgos?
Posibles riesgos son: la obtención de información adicional al incumplimiento del pico y placa, por ejemplo una foto, la geolocolización, el tracking. Por ello, todo depende de la tecnología que se use si se trata de cámaras de videovigilancia, sensores que incluso pueden ser satelitales.
Y ahí ya estamos hablando de seguimiento total de personas.
La pregunta es: ¿quién audita esto? ¿Quién verifica que no se abuse del poder? Si no se hace bien, puede ser una tecnología desproporcionada y excesiva.
Entonces, ¿cómo se debe proceder? ¿Ya está todo dicho sobre cómo actuar en este caso?
El primer paso es identificar la base legal o base legitimadora que habilita a la Agencia Metropolitana de Tránsito para un tratamiento con una finalidad determinada. Este análisis debe identificar los riesgos del tratamiento. Si no es legítima, ni siquiera pasamos a la siguiente fase que es el análisis de riesgo. Sin este análisis, el proyecto no puede seguir.
¿Y en qué consiste este análisis de riesgo?
En evaluar los riesgos a los derechos y libertades que podrían verse afectados por este tratamiento. Se identifican los riesgos y, por cada uno, se establecen controles o medidas de mitigación. Luego, se revisa si esas medidas son eficaces.
Con todo esto, se determina si es necesaria una evaluación de impacto. Esta evaluación es una metodología que permite decidir si el diseño del proyecto puede o no llevarse a cabo, dependiendo de si los riesgos están controlados y si el tratamiento de los datos es proporcional.
¿Este análisis se hace de forma general para todo el proyecto o por partes?
Se hace por cada finalidad de tratamiento. Es decir, no se puede hacer un análisis único para todo el sistema. Se debe hacer uno específico para “pico y placa”, otro para los semáforos, otro para el control del tránsito, etc. Cada uno requiere una evaluación de riesgos, controles y medidas mitigantes. Estas medidas pueden incluir tecnologías, directrices, regulaciones, entre otras.