La Constitución de la República del Ecuador estableció el derecho a la protección de datos personales desde 2008. Recientemente, este derecho ha sido ampliado y regulado con la publicación de la Ley Orgánica de Protección de Datos Personales (LOPDP) el 6 de mayo de 2021. Tanto las organizaciones privadas como las entidades e instituciones del sector público están sujetas a las obligaciones establecidas en esta ley.
Estas obligaciones entrarán en vigor en mayo de 2023, lo que implica la aplicación del sistema sancionatorio y medidas correctivas en caso de incumplimiento de la Ley de Protección de Datos Personales. La ley contempla la creación de una Superintendencia de Protección de Datos Personales, encargada de vigilar y controlar el cumplimiento de la ley y de imponer las sanciones administrativas correspondientes en caso de detectar infracciones, entre otras responsabilidades.
Régimen sancionador y Autoridad de control
Este sistema sancionatorio de la LOPDP ha determinado una clasificación que son leves y graves, considerando como infracciones leves aquellas tipificadas con una multa entre el 0.1% y el 0.7% calculada sobre su volumen de negocio correspondiente al ejercicio económico anterior al de la imposición de la multa y las graves entre el 0.7% y el 1% del volumen de negocio correspondiente al ejercicio económico anterior, siendo el volumen de negocio “(…) la cuantía resultante de la venta de productos y de la prestación de servicios realizados por operadores económicos, durante el último ejercicio que corresponda a sus actividades, previa deducción del Impuesto al Valor Agregado y de otros impuestos directamente relacionados con la operación económica.” (Art. 73 LOPDP)
Al momento de escribir este artículo, aún no se ha designado a la Autoridad de Control ni se ha creado la Superintendencia de Protección de Datos, lo que significa que no se ha podido proporcionar los recursos y medios necesarios para su correcta aplicación según lo establecido por la ley. La falta de supervisión por parte de estas autoridades inexistentes impide que la Ley de Protección de Datos Personales (LOPDP) sea aplicada adecuadamente. Además, la LOPDP ha establecido un plazo de dos años para imponer sanciones, lo que puede dar la falsa impresión de tener suficiente tiempo para cumplir con la normativa. Sin embargo, es importante señalar que algunas empresas desconocen los procesos necesarios -que pueden ser extensos y complejos- y, en otros casos, carecen de presupuesto debido a los cambios internos que deben implementar para cumplir con esta nueva ley.
Medidas de seguridad técnicas y organizativas
La realidad frente a esta situación de incertidumbre es que los tiempos se van reduciendo, ya que el régimen sancionador administrativo entrará en vigor en apenas unos meses. Como se comentaba anteriormente, es importante tener en cuenta, que un proceso de adaptación a la ley e implementación de medidas de seguridad técnicas y organizativas para dar cumplimiento a la misma, como las que se enumeran a continuación;
- Formación del personal en materia de protección de datos de carácter personal, y formación en las aplicaciones implicadas en el tratamiento.
- Procedimiento para la atención de ejercicio de derechos de los interesados.
- Registro de brechas de seguridad y protocolo de actuación.
- Registro de activos implicados en los tratamientos.
- Nombramiento de un responsable dentro de la entidad para verificar el cumplimiento de la normativa: “DPD” Delegado de protección de datos.
- Designación de un responsable de seguridad.
- Realización periódica de auditorías en materia de seguridad y protección de datos.
- Evaluación de impacto protección de datos.
- Implantación de políticas de privacidad y protección de datos.
- Protocolo de Destrucción y conservación de documentos
- Uso y actualización de credenciales de acceso físico y lógico.
- Protección de contraseñas a través del establecimiento de obligaciones como el cambio periódico de la misma.
Puede llevar varios meses -superando el año- dependiendo del tamaño de la organización, el número de departamentos con los que cuente la entidad, los procesos internos que haya implementados, los datos personales que se traten (si son datos de categorías especiales, como por ejemplo, datos de salud o datos biométricos) y formas de tratamiento (como por ejemplo, si existen transferencias internacionales, si se realizan cesiones de datos, tratamientos automatizados, etc.), entre otros muchos factores, que deben tenerse en cuenta a la hora de analizar la forma de dar cumplimiento a esta regulación.
¿Cómo podemos ayudarte para evitar sanciones de la LOPDP?
Debido a la ingente cantidad de requisitos novedosos que trae consigo esta nueva normativa, resulta fundamental abordar un proyecto que garantice un fiel cumplimiento de la legislación, así como de las medidas de seguridad a implementar para asegurar la privacidad de los datos personales.
Desde GlobalSuite Solutions, con el soporte de nuestro software y de nuestro equipo de consultoría, somos especialistas en ayudar a nuestros clientes a encontrar las soluciones técnicas y legales necesarias para tu negocio, en lo relativo a la adecuación legal que requiere cualquier organización en virtud de la Ley Orgánica de Protección de Datos Personales, así como de cara a la realización de análisis de riesgos y la implantación de todo requerimiento existente en materia de seguridad de la información o continuidad de negocio.