Claves del proyecto de Ley Orgánica de Protección de Datos Personales de Ecuador

 

La ley Orgánica de Protección de Datos Personales de Ecuador se hizo publica el pasado mes de septiembre de 2019. A pesar de que no se trata aún del texto definitivo, si podemos adelantar que las empresas contarán con un período de adaptación de dos años con el objetivo de poder adecuar todos sus procesos a lo exigido por esta nueva normativa.

De la citada ley cabe destacar la clara influencia de la ya existente normativa europea, así como un inequívoco espíritu garantista respecto a los titulares, en tanto aboga por la protección de los derechos personales como un derecho del ciudadano y no de las empresas y reconoce entre sus principios básicos, la aplicación favorable al titular de los datos en caso de duda.

Ámbito de aplicación. ¿A quién afecta?

En relación con el ámbito de aplicación territorial de la ley, es preciso indicar que deberá atenerse a su cumplimiento, todo aquel tratamiento de datos personales que se realice en cualquier parte del territorio nacional, bien porque el responsable o encargado se encuentre domiciliado en Ecuador, o bien porque los mismos oferten bienes o servicios o realice actividades relativas a la recogida de datos personales de personas localizadas en el territorio nacional.
Asimismo, este nuevo marco normativo, trae consigo una serie de principios que se deberán imperar en todo tratamiento de datos personales que se aprecie:

  • Juridicidad
  • Lealtad y transparencia
  • Legitimidad, finalidad
  • Pertinencia y minimización de los datos personales
  • Proporcionalidad del tratamiento
  • Consentimiento
  • Confidencialidad
  • Calidad
  • Conservación
  • Seguridad
Responsabilidad proactiva. Eje central de la normativa

No obstante, y sin lugar a duda, será el principio de responsabilidad proactiva el que constituya el núcleo de la normativa. Principio que requiere no sólo una actitud diligente por parte de las organizaciones a la hora de cumplir con lo establecido, sino también estar en todo momento en disposición de acreditar la implementación de mecanismos efectivos para la protección de los datos personales que les han sido encomendados.

Lo dispuesto anteriormente exige la continua evaluación y revisión de los procesos implantados para cumplir con el principio de responsabilidad de forma permanente con el objetivo mejorar su nivel de eficacia.

La figura del DPO

Además, como garantes del cumplimiento de todo lo dispuesto en la ley, entra en escena una nueva figura; el delegado de protección de datos (DPO – Data Protection Officer en sus siglas en inglés), quien entre sus funciones tendrá asignadas las de informar y asesorar al responsable de los requisitos exigidos por la normativa, supervisar el correcto cumplimiento de estos y cooperar con la Autoridad de Protección de Datos personales, actuando como punto de contacto entre la misma y las entidades a las que representen.

Resulta significativa la creación del Registro Nacional de Protección de Datos, registro que deberá mantenerse actualizado en todo momento por parte de los responsables de tratamiento a través del reporte a la Autoridad de Protección de Datos, entre otras cuestiones, informando de la identificación de la base de datos o del tratamiento, la naturaleza de los datos tratados, el tiempo de conservación de los datos y la existencia de transferencias internacionales.

Nuevos derechos

Por otra parte, y de cara a garantizar la efectiva aplicación de la ley, se dota a los interesados de una serie de derechos:

  • Derecho de acceso
  • Derecho de rectificación y actualización
  • Derecho de eliminación
  • Derecho al olvido digital
  • Derecho de oposición
  • Derecho de anulación
  • Derecho de portabilidad
  • Derecho a la limitación de tratamiento
  • Derecho a no ser objeto de una decisión basada únicamente en valoraciones automatizadas
  • Derecho de consulta
  • Derecho a la educación digital

Asimismo, es preciso destacar la introducción de la prohibición general para los prestadores de servicios del régimen general de telecomunicaciones, quienes no podrán usar los datos personales de los usuarios para la promoción comercial de sus servicios o productos a menos que cuenten con su consentimiento expreso.

Medidas de seguridad

En lo que se refiere a medidas y controles de seguridad destinados a garantizar la privacidad de los datos personales, incidir en que los mismos han de ser necesariamente el resultado de la realización de un análisis de riesgos y una evaluación de impacto. En este sentido, la metodología utilizada para ello, deberá tener en consideración, entre otros, las particularidades del tratamiento, las particularidades de las partes involucradas y el tipo y volumen de datos personales objeto de tratamiento.

Adicionalmente y en caso de que se produzca una vulneración de seguridad, se fija un plazo de tres días desde su detección para notificar la misma a la Autoridad de Protección de Datos Personales.

Sanciones

Por último y no menos importante, las multas por violar la normativa en materia de protección de datos podrían ascender al 17% del volumen de negocio correspondiente al ejercicio económico inmediatamente anterior al de la imposición de la multa.

Debido a la ingente cantidad de requisitos novedosos que trae consigo esta nueva normativa, resulta fundamental abordar un proyecto que garantice un fiel cumplimiento de la legislación, así como de las medidas de seguridad a implementar para asegurar la privacidad de los datos personales.

 

Para el cumplimiento de las distintas normativas de protección de datos existentes a nivel mundial contamos con GlobalSUITE Data Protection.

¿cómo podemos ayudarle?

Más de 2000 empresas de todo el mundo ya utilizan nuestras soluciones.