Protección de Datos

Claves de la Ley Orgánica de Protección de Datos Personales de Ecuador

🕑 6 minutos de lectura

Ley Orgánica de Protección de Datos Personales de Ecuador (LOPDP)

Con fecha de 26 de mayo de 2021 se ha publicó La Ley Orgánica de Protección de Datos de Ecuador, una vez que el texto fue aprobado por la Asamblea Nacional tras los correspondientes debates y sancionado por el señor Presidente de la República. Cabe destacar que las empresas cuentan desde ese momento con un período de adaptación de dos años con el objetivo de poder adecuar todos sus procesos a lo exigido por esta nueva normativa

De la citada ley cabe destacar la clara influencia de la ya existente normativa europea, así como un inequívoco espíritu garantista respecto a los titulares, en tanto aboga por la protección de los derechos personales como un derecho del ciudadano y no de las empresas y reconoce entre sus principios básicos la aplicación favorable al titular de los datos en caso de duda.

Ámbito de aplicación. ¿A quién afecta?

En relación al ámbito de aplicación territorial de la ley, es preciso indicar que deberá atenerse a su cumplimiento, todo aquel tratamiento de datos personales que se realice en cualquier parte del territorio nacional porque el responsable o encargado se encuentre domiciliado en Ecuador.

No obstante lo anterior, hay que señalar que tras el segundo debate de la Asamblea Nacional, se introdujo como novedad la extraterritorialidad. Ello quiere decir que “será de aplicación la ley cuando se realice tratamiento de datos personales de titulares que residan en el Ecuador por parte de un responsable o encargado no establecido en el Ecuador, cuando las actividades del tratamiento estén relacionadas con:

  1. La oferta de bienes o servicios a dichos titulares, independientemente de si a estos se les requiere su pago, o,
  2. Del control de su comportamiento, en la medida en que este tenga lugar en el Ecuador”

Asimismo, este nuevo marco normativo trae consigo una serie de principios que se deberán imperar en todo tratamiento de datos personales que se aprecie: juridicidad, lealtad y transparencia, legitimidad, finalidad, pertinencia y minimización de los datos personales, así como la proporcionalidad del tratamiento, consentimiento, confidencialidad, calidad, conservación y seguridad de los mismos, cuya redacción fue mejorada en el ya citado segundo debate.

Responsabilidad proactiva. Eje central de la normativa

No obstante y sin lugar a dudas, será el principio de responsabilidad proactiva y demostrada el que constituya el eje central de la normativa. Principio que requiere no sólo una actitud diligente por parte de las organizaciones a la hora de cumplir con lo establecido, sino también estar en todo momento en disposición de acreditar la implementación de mecanismos efectivos para la protección de los datos personales que les han sido encomendados.

Lo dispuesto anteriormente exige la continua evaluación y revisión de los procesos implantados para cumplir con el principio de responsabilidad de forma permanente con el objetivo mejorar su nivel de eficacia.

La figura del DPO

Además, como garantes del cumplimiento de todo lo dispuesto en la ley, entra en escena una nueva figura; el Delegado de Protección de Datos, quien entre sus funciones tendrá asignadas las de informar y asesorar al responsable de los requisitos exigidos por la normativa, supervisar el correcto cumplimiento de los mismos y cooperar con la Autoridad de Protección de Datos personales, actuando como punto de contacto entre la misma y las entidades a las que representen.

Resulta significativa la creación del Registro Nacional de Protección de Datos, registro que deberá mantenerse actualizado en todo momento por parte de los responsables de tratamiento a través del reporte a la Autoridad de Protección de Datos Personales, entre otras cuestiones, informando de la identificación de la base de datos o del tratamiento, la naturaleza de los datos tratados, el tiempo de conservación de los datos y la existencia de transferencias internacionales.

Nuevos derechos

Por otra parte y de cara a garantizar la efectiva aplicación de la ley, se dota a los interesados de una serie de derechos:

  • Derecho de acceso.
  • Derecho de rectificación y actualización.
  • Derecho de eliminación.
  • Derecho de oposición.
  • Derecho de portabilidad.
  • Derecho a la limitación de tratamiento.
  • Derecho a no ser objeto de una decisión basada únicamente en valoraciones automatizadas.
  • Derecho de consulta.
  • Derecho a la educación digital.

En relación con los derechos, cabe destacar que si bien inicialmente se preveían también el derecho de anulación y derecho al olvido digital, éstos han fueron descartados en el segundo debate de la Asamblea Nacional.

Asimismo, es preciso destacar la introducción de la prohibición general para los prestadores de servicios del régimen general de telecomunicaciones, quienes no podrán usar los datos personales de los usuarios para la promoción comercial de sus servicios o productos a menos que cuenten con su consentimiento expreso

Medidas de seguridad

En lo que se refiere a medidas y controles de seguridad destinados a garantizar la privacidad de los datos personales, incidir en que los mismos han de ser necesariamente el resultado de la realización de un análisis de riesgos y una evaluación de impacto. En este sentido, la metodología utilizada para ello deberá tener en consideración, entre otros, las particularidades del tratamiento, las particularidades de las partes involucradas y el tipo y volumen de datos personales objeto de tratamiento

Al hilo de lo indicado en el párrafo anterior, cabe mencionar que en la última revisión de la ley, como novedad, la evaluación de impacto relativa a la protección de los datos será de carácter obligatoria en caso de:

  • Evaluación sistemática y exhaustiva.
  • Tratamiento a gran escala de las categorías especiales de datos, o de los datos personales relativos a condenas e infracciones penales.
  • Observación sistemática a gran escala de una zona de acceso público.

Adicionalmente y en caso de que se produzca una vulneración de seguridad, se fija un plazo de tres días desde su detección para notificar la misma a la Autoridad de Protección de Datos Personales, así como a la Agencia de Regulación y Control de las Telecomunicaciones. Asimismo, en algunos supuestos la notificación también se debe realizar al titular tan pronto como sea posible y a más tardar en el término de 5 días.

Sanciones

Por último y no menos importante, las multas por violar la normativa en materia de protección de datos podrían ascender a la cuantía entre el 0.7% y el 1% calculada sobre el volumen de negocios, correspondiente al ejercicio económico inmediatamente anterior al de la imposición de la multa.

Debido a la ingente cantidad de requisitos novedosos que trae consigo esta nueva normativa, resulta fundamental abordar un proyecto que garantice un fiel cumplimiento de la legislación, así como de las medidas de seguridad a implementar para asegurar la privacidad de los datos personales.

Desde GlobalSuite Solutions para dar cumplimiento de las distintas normativas de protección de datos existentes a nivel mundial contamos con el software GlobalSuite® Data Protection. Además, tenemos más de 15 años de experiencia ayudando a las compañías en Protección de Datos Personales y Seguridad de la Información.