Mediante decreto ejecutivo 904, el 07 de noviembre de 2023, se expide el Reglamento General de la Ley Orgánica de Protección de Datos Personales (en adelante “Reglamento”). La publicación del Reglamento marca un paso enorme en el ámbito de protección de datos personales en Ecuador.
A continuación, la síntesis del Reglamento:
I. Generalidades:
El Reglamento tiene como finalidad desarrollar normativa para aplicar la Ley Orgánica de Protección de Datos Personales (en adelante “Ley”) y preservar los derechos fundamentales de los titulares de los datos personales.
A. Del Apoderado:
Por regla general, los responsables y encargados de datos personales sin domicilio en Ecuador deben nombrar un apoderado en el país con capacidad legal para actuar en su nombre ante autoridades judiciales y administrativas. La Autoridad de Protección de Datos Personales (en adelante “Autoridad”) emitirá una guía técnica al respecto.
B. De la recogida del consentimiento
El responsable de datos personales debe obtener el consentimiento del titular, siguiendo lo establecido en la Ley. En los casos en los que la Ley exija el consentimiento explícito del titular, el responsable debe proporcionar una información detallada sobre el tratamiento, incluyendo propósitos, plazos de conservación, medidas de seguridad y posibles consecuencias. Este consentimiento debe ser inequívoco y puede ser demostrado por el responsable si lo solicita la autoridad competente.
Cuando se trata de datos de personas incapaces, se requiere el consentimiento de su representante legal, de acuerdo con la Ley y el Código Civil. Es importante destacar que el silencio o la inacción no se consideran como un consentimiento válido por sí mismos.
Por regla general el titular tendrá derecho a retirar su consentimiento en cualquier momento y el responsable deberá contar con un procedimiento sencillo para que el titular pueda revocar su consentimiento.
C. De las bases para el legítimo tratamiento de datos personales:
1. Cumplimiento de una misión en interés público: El tratamiento debe estar motivado y seguir los principios de la Ley. Deben especificarse los tipos de datos, los titulares afectados, las entidades a las que se pueden comunicar, la limitación de la finalidad, los plazos de conservación y las medidas de seguridad.
2. Intereses vitales del interesado o de otra persona: El tratamiento es lícito si es esencial para proteger la vida del interesado o de otra persona, especialmente en casos de epidemias o emergencias humanitarias.
3. Interés legítimo del responsable: Se aplica la ponderación, considerando el interés legítimo del responsable y los intereses y derechos del titular. La ponderación incluye la necesidad, el impacto en los titulares, el equilibrio provisional y las garantías adicionales.
4. Fuente accesible al público: Para datos en bases de acceso público, deben obtenerse de fuentes accesibles al público y respetar la finalidad de publicación. No implica un tratamiento indiscriminado.
II. Conservación de datos personales
D. De los plazos de conservación:
Los plazos de conservación de datos personales deben ser limitados a lo necesario para cumplir con las finalidades del tratamiento. Los plazos deberán ser obligatoriamente expuestos en el fichero de registro de la base de datos la Autoridad, establecerá estos plazos de conservación conforme a las normativas aplicables.
Una vez cumplidos los fines del tratamiento de datos y en ausencia de disposiciones legales, reglamentarias o interés legítimo del responsable, se debe eliminar, bloquear o anonimizar los datos. El responsable debe establecer procedimientos para conservar, revisar y eliminar datos personales de manera periódica.
III. Derechos
E. De los medios para el ejercicio de derechos:
Además de las medidas físicas, para facilitar el ejercicio de los derechos en la Ley Personales, el responsable ofrecerá herramientas informáticas accesibles para que los titulares presenten solicitudes de manera segura y rápida. Esto puede incluir plataformas digitales, líneas telefónicas u otros medios tecnológicos. Sin embargo, los solicitantes deben demostrar su titularidad o representación legal para ejercer estos derechos. El responsable podrá requerir al titular que aclare o complete su solicitud.
IV. Dispocisiones aplicables a tratamientos concretos
F. De los datos crediticios:
Se permite el tratamiento de datos crediticios con la finalidad de informar sobre el cumplimiento o incumplimiento de obligaciones comerciales o crediticias y será regulado por la Junta de Política y Regulación Financiera y la Superintendencia de Bancos.
G. De los datos de menores de edad:
El tratamiento de datos de menores de 15 años requiere el consentimiento de su representante legal. A partir de los 15 años, los adolescentes pueden dar su consentimiento después de recibir información clara, dicho consentimiento no puede ir en contra del interés superior de los niños y adolescentes según el Código de la Niñez y Adolescencia. En caso de que surja un conflicto, se invalidará el consentimiento obtenido.
V. Transferencia de datos a terceros
H. De la transferencia de datos a terceros:
La transferencia de datos personales a terceros requiere el consentimiento del titular, a menos que los datos estén disociados o se utilicen mecanismos de seguridad sólidos para preservar la privacidad del titular.
VI. Vulneración a la seguridad de datos personales
I. De la vulneración de seguridad y su notificación:
El responsable del tratamiento debe notificar al titular, a la Autoridady a la Agencia de Regulación y Control de Telecomunicaciones cualquier vulneración de la seguridad de datos personales. Se considera una vulneración de seguridad cuando los datos son destruidos, alterados, el responsable pierde el control o acceso a los datos, o cuando el tratamiento es no autorizado o ilícito.
VII. Evaluación de Impacto
J. De la evaluación de impacto:
La evaluación de impacto del tratamiento de datos personales es un análisis técnico preventivo que el responsable debe llevar a cabo para identificar y mitigar posibles riesgos relacionados con el cumplimiento de la Ley Personales.
Las evaluaciones de impacto son obligatorias en ciertos casos, y deben realizarse antes de iniciar el tratamiento de datos personales. Los responsables utilizarán criterios específicos para determinar cuándo son necesarias. En caso de duda, pueden consultar a la Autoridad de Protección de Datos Personales.
VIII. Responsable del tratamiento
K. Del responsable del tratamiento:
Los responsables del tratamiento de datos personales deben aplicar medidas adecuadas para garantizar la protección de los datos y respetar los derechos de los titulares. Deben considerar el estado de la tecnología, los costos, la naturaleza del tratamiento y los riesgos para los intereses de los titulares. Además, deben demostrar que han aplicado medidas necesarias para la protección de datos.
En el caso de responsables conjuntos, deben definir sus responsabilidades de protección de datos a través de un contrato transparente y compartir estos acuerdos con los titulares. Los responsables con cien o más trabajadores deben llevar un registro de todas las actividades de tratamiento de datos personales, que incluye información detallada sobre los fines, destinatarios, titulares, entre otros. Esta obligación de registro también se aplica a los responsables con menos de cien trabajadores si su tratamiento implica riesgos, no es ocasional o involucra categorías especiales de datos personales.
IX. Encargado del tratamiento
L. Del encargado del tratamiento:
El encargado del tratamiento de datos personales debe garantizar la protección de los derechos de los titulares mediante la implementación de medidas técnicas, jurídicas, administrativas y organizativas adecuadas. La relación entre el responsable y el encargado debe regirse por un contrato escrito que detalle aspectos como el objeto, duración, naturaleza y finalidad del tratamiento, entre otros. El encargado debe seguir las instrucciones del responsable y establecer medidas adecuadas para proteger los datos.
En caso de que el encargado determine los fines y medios del tratamiento, se considerará responsable. El encargado debe mantener un registro de actividades de tratamiento si lo exige la ley. También puede subcontratar servicios con un tercero, siempre que cuente con la autorización del responsable y asuma las obligaciones del encargado. Al finalizar la relación, el encargado debe devolver o eliminar los datos, salvo obligación legal. Debe permitir al responsable la revisión de los registros y procesos relacionados con el tratamiento de datos en cualquier momento para verificar el cumplimiento del contrato y las obligaciones legales.
X. Delegado de protección de datos
M. Del delegado de protección de datos:
El delegado de protección de datos es la persona encargada de asesorar y supervisar de manera independiente el cumplimiento de las obligaciones legales relacionadas con el tratamiento de datos personales. Puede realizar actividades adicionales relacionadas con la protección de datos si no entran en conflicto con sus responsabilidades principales. El delegado debe desempeñar sus funciones de manera profesional e independiente, y el responsable y el encargado del tratamiento deben facilitarle los recursos necesarios para garantizar el cumplimiento de sus deberes. La Autoridad emitirá normativa para garantizar la independencia del delegado.
El delegado de protección de datos puede ser contratado bajo una relación de dependencia o mediante un contrato de prestación de servicios, garantizando en ambos casos su independencia. En el sector público, será designado por la máxima autoridad institucional.
Los grupos empresariales pueden designar a un único delegado de protección de datos, siempre que pueda llevar a cabo sus actividades sin conflictos de interés.
No se pueden imponer sanciones al delegado de protección de datos por el desempeño de sus funciones. Si el delegado es sancionado o removido injustificadamente, puede denunciarlo ante la Autoridad de Protección de Datos Personales, que evaluará la situación y tomará las medidas adecuadas. Los responsables y encargados del tratamiento que no están obligados a designar un delegado pueden hacerlo de manera voluntaria como una buena práctica, e incluso nombrar un delegado suplente para casos de ausencia o impedimento del titular.
N. Del control permanente:
Se deben considerar factores como la continuidad, recurrencia y constancia en el tratamiento de datos para determinar si se requiere un control permanente.
Para evaluar si el control es sistematizado, se deben verificar aspectos como la preestablecimiento, organización y método en el tratamiento de datos.
Los responsables y encargados pueden consultar a la Autoridad en caso de dudas sobre la designación del delegado de protección de datos, y la decisión de la autoridad será obligatoria.
O. Del tratamiento a gran escala de datos de especial categoría:
La Autoridad establecerá factores para determinar el tratamiento a gran escala de datos de categorías especiales.
P. De los requisitos para ser delegado:
1. Estar en goce de los derechos políticos:
2. Ser mayor de edad;
3. Tener título de tercer nivel en Derecho, Sistemas de Información de Comunicación, o de Tecnologías ; y,
4. Acreditar experiencia profesional de por lo menos cinco años;
Q. De los impedimentos para ser delegado:
No pueden ser delegados de protección de datos personas que formen parte de los órganos de administración y control del responsable y encargado, los socios o accionistas de estos, los cónyuges de los administradores, directores o comisarios, o quienes tengan conflictos de intereses con el responsable y encargado.
La Autoridad definirá incompatibilidades en el caso de instituciones del sector público.
El delegado de protección de datos firmará un acuerdo de confidencialidad que se aplica a la información a la que pueda acceder o conocer en el ejercicio de sus funciones.
XI. Responsabilidad proactiva y autorregulación
R. De la responsabilidad proactiva y autoregulación
Se establecen las siguientes disposiciones relacionadas con las medidas de protección de datos:
Obligatoriedad: El responsable del tratamiento debe aplicar medidas técnicas, jurídicas, administrativas y organizativas adecuadas para garantizar el cumplimiento de la normativa, considerando la naturaleza, ámbito, finalidad y riesgos del tratamiento.
Medidas de protección desde el diseño: El responsable debe establecer medidas técnicas y organizativas antes de iniciar el tratamiento de datos para proteger los derechos de los titulares, teniendo en cuenta la naturaleza, ámbito, finalidad, riesgos y costos.
Medidas de protección por defecto: El responsable debe adoptar medidas técnicas y organizativas para garantizar que solo se traten los datos necesarios para la finalidad específica del tratamiento, evitando el acceso automático a un número indefinido de personas.
Mecanismos de autorregulación: Se pueden adoptar mecanismos de autorregulación para cumplir con los principios, ejercer derechos, implementar medidas de seguridad y otras obligaciones previstas en la normativa de protección de datos.
Registro de mecanismos de autorregulación: La Autoridadmantendrá un registro de estos mecanismos, incluyendo reglas específicas para adaptar la normativa, entidades de acreditación y evaluación autorizadas, y los responsables y encargados que hayan adoptado algún mecanismo.
XII. Certificación
S. De la certificación:
La certificación se centra en evaluar el cumplimiento de los mecanismos de autorregulación en relación con las obligaciones establecidas en la Ley.
La certificación tiene una duración máxima de tres años, sin embargo puede ser renovada si se siguen cumpliendo los requisitos. Las entidades de certificación acreditadas por el Servicio Ecuatoriano de Acreditación se encargarán de este proceso, siempre que cumplan con requisitos como independencia, procedimientos adecuados y la ausencia de conflictos de intereses. Si un responsable o encargado deja de cumplir con los requisitos, la certificación puede ser revocada por la misma entidad certificadora o la autoridad de control competente.
XIII. Códigos de Conducta
T. De los códigos de conducta:
Cualquier entidad o grupo de empresas tiene la posibilidad de presentar códigos de conducta a la Autoridad de Protección de Datos para su aprobación. Estos códigos deben incluir una exposición de motivos, un ámbito de aplicación específico y mecanismos de supervisión. La Autoridad examinará si cumplen con los requisitos formales.
Se verificará que el código satisfaga las necesidades del sector o actividad de tratamiento, especifique la aplicación de la ley y el reglamento, aporte mejoras al sector, establezca normas realistas y con garantías eficaces para mitigar el riesgo del tratamiento de datos y respetar los derechos de las personas.
XIV. Transferencia internacional de datos
U. De la transferencia internacional de datos:
La Autoridad, de oficio o a petición de parte, determinará mediante resolución motivada los países, organizaciones o personas jurídicas que cuentan con niveles adecuados de protección para la transferencia de datos personales. Esta determinación se basará en la revisión de estándares de protección equivalentes o superiores a los establecidos en la Ley y normativa secundaria. La resolución tendrá efectos generales y no requerirá autorización previa para las transferencias internacionales.
La Autoridad llevará a cabo una revisión periódica anual de los niveles de protección y podrá revocar, modificar o suspender la resolución sin efectos retroactivos.
Los criterios para evaluar si un país, organización o persona jurídica posee un nivel adecuado de protección de datos incluyen la legislación nacional y sectorial, la legislación de seguridad nacional y defensa del Estado, la normativa sobre transferencias ulteriores de datos, la jurisprudencia, el reconocimiento de derechos de los titulares, los deberes de los responsables y encargados, la existencia de una autoridad de protección de datos independiente y competente, y los compromisos internacionales relacionados con la protección de datos personales.
V. De la transferencia internacional mediante garantías adecaudas:
Se establece que los instrumentos legales para respaldar la transferencia internacional de datos a países u organizaciones sin nivel adecuado de protección pueden ser: instrumentos jurídicos vinculantes entre autoridades u organismos públicos, normas corporativas vinculantes aprobadas por la Autoridad de Protección de Datos, cláusulas tipo de protección de datos respaldadas por organismos internacionales, códigos de conducta con compromisos vinculantes, mecanismos de certificación con sellos de protección y cláusulas contractuales autorizadas por la autoridad de protección de datos.
W. De las normas corporativas vinculantes:
Se define las «normas corporativas vinculantes» como políticas de protección de datos adoptadas por un responsable o encargado del tratamiento en Ecuador, que permiten transferencias internacionales de datos a países dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta. Estas normas deben cumplir con los principios de tratamiento de datos, los derechos de los titulares y garantías adecuadas para la transferencia.
X. De las normas corporativas vinculantes:
La Autoridad de Protección de Datos debe autorizar las normas corporativas vinculantes, asegurando que sean legalmente vinculantes, otorguen derechos exigibles a los titulares y cumplan con los requisitos legales.
Y. De la transferencia internacional en casos no contemplados:
La Autoridad de Protección de Datos podrá autorizar la transferencia internacional de datos previamente bajo ciertos supuestos, como acuerdos contractuales que garanticen el cumplimiento de la ley y normativa aplicable.
Z. Del registro de las transferencias internacionales de datos:
Se establece la información que se registrará en el Registro Nacional de Protección de Datos sobre las transferencias internacionales, incluyendo el país del destinatario, categorías de datos, finalidades, nombre del destinatario, mecanismos autorizados y criterios de excepción utilizados, privilegiando la utilización de medios digitales para dicho registro.
XV. Autoridad de protección de datos personales
AA. De la autoridad de protección de datos personales:
Se establece la autonomía de la Autoridad y la posición del Superintendente de Protección de Datos Personales al frente de la entidad, definiendo la estructura organizativa a través del Estatuto Orgánico Funcional.
BB. De las atribuciones de la superintendencia:
Las múltiples atribuciones de la Autoridad de Protección de Datos Personales, pueden incluir hacer cumplir regulaciones, gestionar registros de datos, emitir regulaciones, proporcionar informes técnicos, proponer reformas legales, emitir guías de referencia y resolver peticiones y quejas en el ámbito de su competencia.
CC. De los planes anuales:
Las actividades de control se basarán en un plan anual aprobado por la máxima autoridad, teniendo en cuenta la naturaleza de las organizaciones bajo supervisión, el volumen y la sensibilidad de los datos personales que se manejan, así como la disponibilidad de recursos presupuestarios. En situaciones especiales, se podrán llevar a cabo procedimientos de control que no estén incluidos en los planes anuales, considerando la importancia, la oportunidad y el posible impacto en el derecho a la protección de datos personales de los titulares.
DD. Del mecanismo de control:
La Autoridad establecerá los procedimientos de control que se regirán conforme a las normativas del Código Orgánico Administrativo.
EE. De las atribuciones del superintendente:
El Superintendente de Protección de Datos Personales cuenta con atribuciones adicionales a las establecidas en la Ley y el Reglamento. Entre sus responsabilidades se incluye representar a la Autoridad de Protección de Datos en asuntos legales y contractuales, elaborar y publicar información estadística anual sobre las organizaciones supervisadas y los tratamientos de datos personales, gestionar el presupuesto de la Autoridad, proponer estudios y reformas legales, y aprobar normativas internas, resoluciones y manuales necesarios para el funcionamiento eficiente de la Autoridad bajo su dirección.
FF. Del registro nacional de protección de datos:
El Registro Nacional de Protección de Datos Personales, bajo la supervisión de la Autoridad de Protección de Datos Personales, alberga información sobre las bases de datos personales y tratamientos llevados a cabo por los responsables de datos en cumplimiento de la Ley. Los responsables de tratamiento son responsables de reportar y actualizar la información en este registro, y esta responsabilidad no implica registrar los datos contenidos en las bases de datos o tratamientos, ya que se debe realizar de manera independiente para cada caso. La Autoridad regulará los procesos de reporte y actualización en este registro, que deben ser cumplidos por los responsables de tratamiento de datos personales. Además, se exige que el reporte de bases de datos o tratamientos se realice dentro de un plazo de diez días a partir del inicio del tratamiento.
GG. Del regístro único de responsables y encargados:
La Autoridad de Protección de Datos mantendrá un Registro Único de Responsables y Encargados de tratamiento de datos personales incumplidos, que es de carácter público y contiene información sobre aquellos responsables y encargados que hayan infringido alguna de las normativas establecidas en la Ley y tengan una resolución firme de acuerdo con las leyes vigentes. Este registro incluye detalles como el nombre de la persona natural o jurídica que ha incurrido en la infracción, la descripción de la infracción cometida, las sanciones impuestas y si ha habido reincidencia en la comisión de infracciones.
El Registro Único de Responsables y Encargados del tratamiento de datos personales incumplidos se utilizará exclusivamente con fines estadísticos, preventivos y de capacitación. La Autoridad de Protección de Datos garantizará la confidencialidad y privacidad de los datos registrados, implementando medidas de seguridad para proteger la información personal contenida en el registro. Además, se mantendrá una actualización constante del registro para asegurarse de que refleje con precisión y veracidad los datos contenidos en el mismo.
HH. Del plazo de conservación:
El plazo máximo de conservación de los datos en el Registro de Responsables y Encargados del Tratamiento de Datos Personales Incumplidos es de siete (7) años, contados desde la fecha de emisión de la resolución o sentencia definitiva.
XVI. Régimen sancionatorio
II. Del cometimiento de infracciones:
En caso de presunta infracción a las disposiciones de la Ley, la Autoridad de Protección de Datos iniciará un procedimiento administrativo sancionatorio de acuerdo con las normas del Código Orgánico Administrativo. La resolución final deberá estar adecuadamente fundamentada y motivada según lo establecido en la Ley. Las sanciones aplicadas no eximen de la responsabilidad civil o penal resultante de la infracción.
Los procedimientos administrativos se regirán por lo previsto en el Código Orgánico Administrativo.
XVII. Disposiciones transitorias
Primera: La implementación y operación de la Superintendencia de Protección de Datos Personales dependerá de la disponibilidad presupuestaria y requerirá un dictamen favorable del ente rector de las finanzas públicas.
Segunda: Dentro de un año a partir de la implementación de la Superintendencia de Protección de Datos Personales, esta coordinará y ofrecerá capacitaciones técnicas y cursos de formación dirigidos al público en general, con el propósito de fomentar el ejercicio del derecho a la protección de datos personales y profesionalizar a los delegados de protección de datos personales. La Superintendencia podrá establecer colaboraciones con instituciones de educación superior con experiencia en el campo y organizaciones especializadas dedicadas a promover la protección de datos personales.
Ante cualquier duda que surja acerca del contenido o alcance del presente documento, por favor no dude en contactar a nuestro socio experto en la materia: Pablo Andrés Dent, pablo.dent@jervisespinosa.com
El contenido proporcionado tiene fines informativos y educativos únicamente, y no debe interpretarse como asesoramiento legal o profesional. Cualquier acción tomada basada en esta información es responsabilidad exclusiva del lector. Se recomienda encarecidamente consultar a un profesional calificado para obtener asesoramiento específico relacionado con sus circunstancias individuales.
