El Municipio de Quito tiene como objetivo implementar la tercera placa y asà tener una movilidad más ordenada. Para la alcaldÃa de Pabel Muñoz, permitirá que las tareas de control y restricción vehicular sean más eficientes y automatizadas.
Sin embargo, la protección de datos está de por medio. Ecuador tiene una normativa y para que nos aclare sobre los riesgos de este sistema, que será un chip colocado en los vehÃculos que se matriculen, entrevistamos a Lorena Naranjo Godoy, abogada experta en los derechos digitales y protección de datos personales. Es directora de la MaestrÃa en Derecho Digital de la UDLA.Â
Más noticias
Seguridad, privacidad y protección de datos personales
¿Qué implicaciones tiene la implementación de una tercera placa en términos de privacidad y seguridad de la información?
Antes de responder directamente, me gustarÃa aclarar algunos conceptos. Es fundamental distinguir entre privacidad, protección de datos y seguridad de la información, porque muchas veces se confunden o se usan indistintamente. Cuando nos referimos a privacidad se limita información privada de la persona; en cambio, protección de datos personales hace referencia a todo tipo de dato que identifique o haga identificable a una persona, como por ejemplo una placa vehicular. De otro lado, seguridad de la información es el conjunto de reglas que permiten evitar fugas o vulneraciones de la información.
Es necesario conocer a profundidad en qué consiste exactamente este sistema, porque la información disponible hasta ahora no es del todo claro.
Esto como consecuencia del mundo digital en el que vivimos que muchas veces nos abruma y en el que la definicion de la tecnologÃa que se va a usar por parte del Municipio es necesaria.
Si porque en otros paÃses, como Perú, se ha usado tecnologÃas con propósitos diferentes. Por eso, quiero orientar primero el análisis para que podamos hacer uno más completo. No quiero aventurarme a dar una respuesta sin contar con los elementos suficientes.
Es importante aclarar que “privacidad” no es un término propiamente ecuatoriano ni latinoamericano, ni siquiera europeo. Es un concepto anglosajón que representa un punto intermedio entre intimidad y protección de datos personales.
Entonces, para empezar con claridad, ¿cuál es la diferencia entre privacidad, intimidad y protección de datos?
Nuestra Constitución reconoce dos derechos fundamentales relacionados con estos temas: la protección de datos personales, que está en el artÃculo 66, numeral 19, y el derecho a la intimidad, que está en el numeral 20 del mismo artÃculo. Es importante aclarar que “privacidad” no es un término propiamente ecuatoriano ni latinoamericano, ni siquiera europeo. Es un concepto anglosajón que representa un punto intermedio entre intimidad y protección de datos personales. Por eso me genera cierto rechazo cuando se usa “privacidad” de manera indiscriminada, porque en Ecuador el término jurÃdico correcto es intimidad.
La intimidad y los datos personales
¿Qué es la intimidad?
La intimidad no solo se asocia con aquello que es visible, notorio o fisico, sino también con las manifestaciones digitales de las personas, pues hoy en dÃa somos ciudadanos digitales. Por ello, nuestros datos Ãntimos deben estar protegidos.
¿Cómo se protegen esos datos Ãntimos?
Por ejemplo, el Código Organico Integral Penal prohÃbe la difusión de videos con contenido sexual, que involucran datos personales intimos, pero también información que no necesariamente está en formato digital. Otro ejemplo puede ser un documento fÃsico o una carta escrita en papel que contengan datos intimos. Incluso una conversación en una reunión puede entrar en este ámbito. En cambio, cuando información Ãntima se publica en un medio de comunicación—digital o tradicional— deberá ser protegida la intimidad de la persona sin menoscabar la libertad de expresión.
¿Qué es la protección de datos personales y cuáles son ejemplos de su posible vulneración?
Un ejemplo claro para entender la importancia de la protección de datos es lo que ocurrió en la Alemania nazi. En Holanda, tenÃan un censo que registraba, entre otras cosas, las religiones de la población. Su propósito inicial era distribuir recursos económicos para apoyar a todas las religiones. Pero cuando llegaron los nazis, el 90% de la población judÃa en Holanda no sobrevivió al Holocausto, porque, a diferencia de otros paÃses, los alemanes ya sabÃan con quién estaban emparentados, dónde podÃan haberse escondido, cuántos hijos tenÃan y cuántas personas debÃan buscar. Fue imposible para ellos ocultarse, porque esa información ya existÃa y estaba organizada.
Esa es la importancia de los datos. No importa si es un dato sensible, Ãntimo o privado. Esta recopilación de datos (censo) que, en teorÃa, no representaba riesgo porque tenÃa una finalidad de asignación de recursos estatales a las entidades religiosas holandesas, puso en riesgo la vida de las personas.
Y esto no es solo un hecho del pasado. Hoy en dÃa, hay ejemplos similares en otros paÃses. En Venezuela, por ejemplo, existió la lista Tascón, un registro de las personas que votaron en contra de Hugo Chávez en un referéndum. Esa lista fue utilizada después para discriminar a opositores, negándoles empleos y acceso a servicios del Estado.Â
Ahà vemos cómo los datos personales pueden ser utilizados como una herramienta de control social y persecución polÃtica.
¿Cómo se diferencia la libertad de expresión de la protección de datos?
La libertad de expresión tiene un régimen especial. No hay censura previa, pero sà existe una responsabilidad ulterior, sobre las declaraciones que pudieran resultar injuriosas o afectar intimidad o protección de datos personales de otros.
Tratamiento y protección de datos personales
¿PodrÃa explicarnos cómo funciona la protección de datos personales y qué implica su tratamiento?
La protección de datos personales es un derecho que nos permite decidir qué información puede ser procesada por alguna organización. Cualquier persona natural o jurÃdica, pública o privada, que necesite tratar datos personales entra en esta categorÃa. Por ejemplo, bancos, universidades, municipios, colegios y hospitales requieren tratar datos personales para cumplir con sus funciones.
El tratamiento de datos personales abarca todo su ciclo de vida. Primero, el dato nace cuando se recopila. Luego, crece cuando se almacena, procesa, usa en bases de datos o se analiza. Después, se reproduce cuando se comparte, se transfiere o se transforma en información útil. Finalmente, muere cuando se elimina o se anonimiza.
La protección de datos personales es un derecho que nos permite decidir qué información puede ser procesada por alguna organización. Cualquier persona natural o jurÃdica, pública o privada, que necesite tratar datos personales entra en esta categorÃa.
La tercera placa en Quito y la protección de datos
Con esto en mente, ¿cómo encaja la tercera placa en este contexto? La tercera placa en Quito, según lo discutido en el Municipio, permitirÃa que tenga mayor control sobre los vehÃculos. Uno de los principales argumentos a favor de la tercera placa es que facilitarÃa la regulación del “pico y placa”.
Esto abre una discusión importante sobre el impacto en la protección de datos personales y la seguridad de la información. ¿Cómo se almacenarán estos datos? ¿Quién tendrá acceso a ellos? ¿Qué medidas de seguridad se implementarán para evitar su uso indebido?
Para entender los riesgos, pongamos un ejemplo común: cuando ingresamos a un edificio o urbanización, los guardias suelen pedir nuestros documentos y anotarlos en bitácoras. Esas bitácoras contienen datos personales y, en muchos casos, no tienen protección alguna. Algo similar podrÃa ocurrir con los datos que se recopilen mediante la tercera placa si no se establecen protocolos de seguridad adecuados.
¿Qué debemos considerar antes de la implementación de este sistema?
La implementación de la tercera placa en Quito es un tema que debe ser analizado con cuidado, no solo desde la perspectiva del tránsito, sino también desde la protección de datos personales. Es necesario que las autoridades sean claras sobre el manejo de esta información y garanticen medidas de seguridad adecuadas para evitar vulneraciones a la intimidad, protección de datos personales y a la seguridad de los ciudadanos.
Ese es el problema de la tecnologÃa…
La tecnologÃa no es el problema. El problema es quién tiene el poder de manejar los datos y con qué intención lo hace. Por eso es fundamental que existan regulaciones claras y mecanismos de control que garanticen el uso adecuado de la información. Solo asà podemos asegurar que los datos personales se utilice para el bien y no para el mal, no importa si es un dato Ãntimo, un dato privado, un dato personal de una persona identificada o identificable.Â
Volviendo a la pregunta inicial…
Ahora sÃ, vamos a la pregunta inicial. Hay la experiencia peruana de la tercera placa. Es solamente un mecanismo para digitalizar la placa y tener la información en el celular, igual que ahora se puede tener la licencia y la cédula. No le veo problema, porque es como tener una matrÃcula digital. Yo puedo decir: “Aquà está mi matrÃcula digital, revÃsela”. A veces nos quedamos sin cédula, sin licencia, y tener la versión digital nos ayuda, porque para acceder a esa información tengo un espacio seguro. Normalmente, cuando ingreso a un sistema, uso una contraseña; que no puede acceder cualquiera y todo está bajo mi control y seguridad.
La tecnologÃa no es el problema. El problema es quién tiene el poder de manejar los datos y con qué intención lo hace. Por eso es fundamental que existan regulaciones claras y mecanismos de control que garanticen el uso adecuado de la información.
¿Cómo se aplica esto al Municipio y la Tercera Placa?
Primero, hay que determinar hasta dónde llega la competencia del Municipio. No es lo mismo la Agencia Nacional de Tránsito que la Agencia Metropolitana de Tránsito. Si la municipalidad quiere implementar un sistema de monitoreo con matrÃculas digitales, hay que analizar qué bases de datos usarán, si solo usan las municipales, tendrÃan acceso limitado a matrÃculas de Quito. También hay que ver si tiene convenios con la Agencia Nacional de Tránsito, porque permitirÃa el acceso a matrÃculas nacionales.
También se debe ver qué tecnologÃas emplearán, si son sistemas de tracking, lectores de placas, cámaras de videovigilancia. Finalmente, deberán explicar cómo garantizar la seguridad de la información, es decir que me aseguren que los datos sean protegidos y utilizados correctamente.
¿Cómo funciona la normativa de protección de datos personales?
Es factible implementar estos sistemas, pero deben cumplir con todos los estándares de seguridad y protección de datos personales. El ciudadano tiene derecho a saber cómo se usa su información y exigir transparencia.
La placa está asociada a datos personales. Por lo tanto, esta placa es un dato pesonal. Si esa placa se usa para la asignación de infracciones, significa que ¿voy a tener una cámara o varias cámaras en las zonas de borde de la ciudad para que automáticamente emita una alerta y me diga: “Vas a cruzar el borde” (lÃmite de la resticción por el pico y placa)?. Además, yo me cuestionarÃa: ¿no tengo derecho a que me avisen? Porque a veces me olvido. O sea, ¿vamos a hacer un sistema en el que uno voluntariamente se inscriba o no? ¿O va a ser como que ni me acordé y simplemente entré y ya me tomaron la foto?
Los datos personales y la vigilancia
¿No habrÃa problema de seguimiento como vigilancia?
Si al carro le toman la foto y entra en área restringida por el pico y placa, ese carro no lo cumple, está sancionado. Pero no es “tracking” vehicular, es distinto a colocar un tag o chip que funciona con tecnologia GPS, donde yo veo por dónde se fue en toda la ciudad.
Entonces, la primera posibilidad es verificar si la tecnologÃa planteada para estre proyecto funcionará en el lÃmite de la ciudad o borde donde rige el pico y placa, o si se usará otra tecnologÃa de monitoreo.
¿Cómo serÃa un posible monitoreo?
Ese es el gran tema de análisis. Si es que se usa un tag o chip, cómo esta tecnologÃa reportará la información, pues mis datos de movilidad podrÃan estar a disposición. Si esta información además ¿podrÃa llegar a usarse incluso como evidencia en un proceso administrativo de infracción o incluso penal? Entonces, ¿qué pasa si piden un reporte de pico y placa para saber dónde estuvo una persona? Sin duda, esta información puede ser útil para temas de seguridad, pero también puede caer en malas manos.
¿Qué se debe garantizar para que cualquier tecnologÃa pueda procesar datos personales?
Tienes que garantizar que tienes base legal como por ejemplo: interés público o consentimiento informado, y que además la organización publica que maneja la información actúe dentro de tus competencias. ¿Cómo lo vas a hacer? ¿Cuándo lo vas a hacer? ¿Por cuánto tiempo? ¿Cómo vas a almacenar la información? ¿Cuál es la polÃtica de protección de datos? ¿Qué empresa maneja los datos? ¿La empresa que ofrece el servicio también se lleva datos? ¿Cuál es el acuerdo de protección de datos?
¿Quién tiene la competencia para proteger los datos personales?
Ahà entra el rol de la Superintendencia de Protección de Datos. Apenas en 2023 se dictó el reglamento, pero recién en marzo del año pasado nombraron al superintendente y en septiembre asignaron presupuesto para contratar personal y comenzar a trabajar.Â
Los peligros sobre la protección de los datos
¿Se puede volver algo desproporcionado el rastreo de las personas?
El peligro es que, si el sistema no está bien regulado, puede volverse desproporcionado. Puede terminar rastreando personas en toda la ciudad sin justificación. El principio de proporcionalidad en la ley dice que el tratamiento de datos debe ser adecuado a la finalidad para la que fueron recogidos. Si se excede, no se puede hacer.
Por eso es importante hacer análisis de riesgo, evaluación de impacto y determinar si la tecnologÃa cumple con la proporcionalidad. Si el Municipio quiere hacerlo bien, para que se transparente la finalidad o finalidades para lo cual usará la informacion.
¿Cuáles serÃan los riesgos?
Posibles riesgos son: la obtención de información adicional al incumplimiento del pico y placa, por ejemplo una foto, la geolocolización, el tracking. Por ello, todo depende de la tecnologÃa que se use si se trata de cámaras de videovigilancia, sensores que incluso pueden ser satelitales.Â
Y ahà ya estamos hablando de seguimiento total de personas.
La pregunta es: ¿quién audita esto? ¿Quién verifica que no se abuse del poder? Si no se hace bien, puede ser una tecnologÃa desproporcionada y excesiva.
Entonces, ¿cómo se debe proceder? ¿Ya está todo dicho sobre cómo actuar en este caso?
El primer paso es identificar la base legal o base legitimadora que habilita a la Agencia Metropolitana de Tránsito para un tratamiento con una finalidad determinada. Este análisis debe identificar los riesgos del tratamiento. Si no es legÃtima, ni siquiera pasamos a la siguiente fase que es el análisis de riesgo. Sin este análisis, el proyecto no puede seguir.
¿Y en qué consiste este análisis de riesgo?
En evaluar los riesgos a los derechos y libertades que podrÃan verse afectados por este tratamiento. Se identifican los riesgos y, por cada uno, se establecen controles o medidas de mitigación. Luego, se revisa si esas medidas son eficaces.
Con todo esto, se determina si es necesaria una evaluación de impacto. Esta evaluación es una metodologÃa que permite decidir si el diseño del proyecto puede o no llevarse a cabo, dependiendo de si los riesgos están controlados y si el tratamiento de los datos es proporcional.
¿Este análisis se hace de forma general para todo el proyecto o por partes?
Se hace por cada finalidad de tratamiento. Es decir, no se puede hacer un análisis único para todo el sistema. Se debe hacer uno especÃfico para “pico y placa”, otro para los semáforos, otro para el control del tránsito, etc. Cada uno requiere una evaluación de riesgos, controles y medidas mitigantes. Estas medidas pueden incluir tecnologÃas, directrices, regulaciones, entre otras.