En Ecuador, la acción de habeas data se protege a nivel constitucional.¹ No obstante, aún no existe una legislación integral de protección de datos personales. Otros cuerpos se refieren a datos que pueden incluir a los personales, como la Ley de Transparencia y Acceso a la Información Pública que define la información confidencial como “aquella información pública personal, que no está sujeta al principio de publicidad y comprende aquella derivada de sus derechos personalísimos y fundamentales (…)”.² La Ley del Sistema Nacional de Registro de Datos Públicos crea el Sistema Nacional de Registro de Datos Públicos con la finalidad de proteger los derechos constituidos y los que se constituyan, que modifiquen, extingan y publiciten por efectos de la inscripción de los hechos, actos y/o contratos determinados por la Ley y en normas de registros; y para coordinar el intercambio de información de los registros de datos públicos. También establece que en el caso de que entidades privadas posean información que por su naturaleza sea pública, deberán incorporarse a este sistema³.

La Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos que establece que “para la elaboración, transferencia o utilización de bases de datos, obtenidas directa o indirectamente del uso o transmisión de mensajes de datos, se requerirá el consentimiento expreso del titular de éstos, quien podrá seleccionar la información a compartirse con terceros.”⁴ Por último, la Ley Orgánica de Telecomunicaciones dice que “las y los prestadores de servicios de telecomunicaciones deberán garantizar, en el ejercicio de su actividad, la protección de los datos de carácter personal”⁵; además, prohíbe la utilización de datos personales para la promoción comercial de servicios o productos, a menos que exista consentimiento específico del usuario⁶.

No existe aún reglas legales para implementar el mandato constitucional que reconoce “[e]l derecho a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos o información requerirán la autorización del titular o el mandato de la ley”.¹

El Código INGENIOS es el cuerpo normativo donde se regula de manera moderna a la propiedad intelectual. Se protegen los derechos de autor y derechos conexos sin que exista necesidad de registro, depósito o formalidad por el periodo de vida del autor y hasta setenta años después de la muerte¹. Se considera a los programas de computación como obras literarias y los protege como tales, sea que estén en código fuente o en código objeto. Además, se reconocen excepciones en la prensa del día, las reproducciones públicas, bibliotecas y conferencias y clases en universidades y colegios². Se faculta al Instituto Ecuatoriano de la Propiedad Intelectual (IEPI) como el organismo administrativo encargado de aplicar la Ley. No se regula dentro de su normativa la bajada de contenidos de internet ni la responsabilidad de los intermediarios.

Los delitos informáticos se establecieron en la reforma al Código Penal que tipifica las siguientes conductas: Revelación ilegal de base de datos, Interceptación ilegal de datos, Ataque a la integridad de sistemas informáticos, Delitos contra la información pública reservada legalmente, y Acceso no consentido a un sistema informático, telemático o de telecomunicaciones.¹ Otra ley sanciona la perpetración de claves o sistemas de seguridad para acceder a información protegida; la divulgación de la misma; la obtención y utilización no autorizada de información; la falsificación electrónica; la supresión o alteración de sistemas de bases de datos y la apropiación ilícita de objetos o derechos por vía de redes electrónicas². Además, se contempla la producción de material de explotación sexual infantil, la violación a la intimidad mediante soportes informáticos, la apropiación fraudulenta por medios electrónicos y la revelación ilegal de bases de datos³.

La ley establece y define el principio de neutralidad como el derecho de los abonados, clientes y usuarios a acceder a cualquier aplicación o servicio permitido disponible en la red de internet. En este sentido, “los prestadores no podrán limitar, bloquear, interferir, discriminar, entorpecer ni restringir el derecho de sus usuarios o abonados a utilizar, enviar, recibir u ofrecer cualquier contenido, aplicación, desarrollo o servicio legal a través de internet o en general de sus redes u otras tecnologías de la información y las comunicaciones, ni podrán limitar el derecho de un usuario o abonado a incorporar o utilizar cualquier clase de instrumentos, dispositivos o aparatos en la red, siempre que sean legales”.¹ Se establece una excepción a este principio en aquellos casos en los que el usuario solicite expresamente limitar o bloquear contenidos o aplicaciones, o en si las autoridades competentes así lo determinan. Sin embargo, la misma ley luego dice que “los prestadores de los servicios podrán establecer planes tarifarios constituidos por uno o varios servicios o por uno o varios productos de un servicio, de conformidad con su o sus títulos habilitantes”, lo cual contradice el principio anterior y podría ser perjudicial para los usuarios².

La Constitución de Ecuador protege el derecho a la inviolabilidad y secreto de la correspondencia física y virtual, que no puede ser retenida, abierta ni examinada excepto en los casos previstos en la ley, previa intervención judicial.¹ En la misma línea, el Código Penal establece que “toda persona tiene derecho a su intimidad personal y familiar y no podrán hacerse registros, allanamientos, incautaciones en su domicilio, residencia o lugar de trabajo, sino en virtud de orden de la o el juzgador competente”².

En Ecuador, una de las obligaciones de los prestadores de servicios es “adoptar las medidas técnicas y de gestión adecuadas para preservar la seguridad de sus servicios y la invulnerabilidad de la red y garantizar el secreto de las comunicaciones y de la información transmitida por sus redes.”¹ No hay mandato especial de retención de datos de comunicación. En 2013 hubo un gran debate en Ecuador, pues el gobierno pretendía reformar el artículo 474 del Código Penal para exigir a los proveedores de servicios de Internet que almacenaran los datos de sus usuarios “a fin de poder realizar las investigaciones correspondientes”. Sin embargo, y gracias al trabajo de la sociedad civil, la reforma no prosperó.

La regla general es que en toda interceptación de comunicaciones debe contarse con orden judicial. El Código Penal prevé que únicamente se podrán realizar interceptaciones de datos y mensajes “cuando exista orden expresa de la o el Juez competente, en el marco de una investigación de un delito o por razones de seguridad pública y del Estado, de conformidad con lo que establece la ley y siguiendo el debido proceso”. ¹ Se permite la interceptación de las comunicaciones o datos informáticos en el marco de un proceso judicial, previa solicitud motivada del fiscal.² Deben existir indicios suficientes que prueben su valor, de otra manera no podrá hacerse. El plazo de intercepción no puede ser mayor a noventa día, prorrogables una sola vez. Tratándose de investigaciones de delincuencia organizada y sus delitos relacionados, la interceptación podrá́ realizarse hasta por un plazo de seis meses prorrogables. Todo lo que se intercepte debe ser guardado en secreto. No se pueden interceptar las comunicaciones protegidas por secretos profesionales y religiosos; tampoco las comunicaciones que vulneren los derechos de los niños, niñas y adolescentes; o en aquellos casos que generen la revictimización de mujeres víctimas de violencia³.

Las actividades de inteligencia se definen como aquellas “consistentes en la obtención, sistematización y análisis de la información específica referida a las amenazas, riesgos y conflictos que afecten a la seguridad integral”.¹ Esta información de inteligencia es sustancial para la toma de decisiones en materia de seguridad. Sin embargo, existen mecanismos de control en lo que se refiere a la interceptación de comunicaciones, pues si los organismos de inteligencia (incluyendo a la SENAIN) necesitan “retener, abrir, interceptar o examinar documentos o comunicaciones por cualquier medio”, deben solicitar una orden judicial al Presidente o Presidenta de la Corte Nacional de Justicia. Dicha interceptación puede concederse hasta por un plazo máximo de sesenta (60) días prorrogables. Además, se puede negar la solicitud por “afectación grave a los derechos de los sujetos sobre quienes se ejerce la operación encubierta, o por considerar que tiene como único objetivo el beneficio político del requirente”².

Además de que el espionaje con fines políticos es ilegal, la ley es muy clara al establecer que está prohibido obtener información, producir inteligencia o almacenar datos sobre personas en razón de “etnia, orientación sexual, credo religioso, acciones privadas, posición política o de adhesión o pertenencia a organizaciones partidarias”³.