(+5932) 382-6777 | lawfirm@expertise.com.ec | Torre Boreal, Torre A, Sexto Piso |
Expertise > Información Legal > Reglamento General de la Ley Orgánica de Protección de Datos Personales
  • 10 de noviembre de 2023
  • Expertise, Abogados & Consultores
  • Información Legal
  • No hay comentarios

Reglamento General de la Ley Orgánica de Protección de Datos Personales 

Mediante Decreto Ejecutivo Nro. 904 del 7 de noviembre de 2023, el Presidente Guillermo Lasso emitió el Reglamento General para la aplicación de la Ley Orgánica de Protección de Datos Personales (LOPDP). El Reglamento entrará en vigencia en los próximos días, una vez que se produzca su publicación en el Registro Oficial.  

Cabe recalcar que la Ley está vigente desde mayo del 2021, mientras que la designación del Superintendente de Protección de Datos Personales continua en trámite en el Consejo de Participación Ciudadana y Control Social. A continuación resumimos los aspectos clave del Reglamento: 

Encargados del tratamiento de datos personales no Residentes en el Ecuador 
  • Los responsables y encargados del tratamiento de datos personales no establecidos en Ecuador deberán designar a un apoderado especial en Ecuador con residencia en el país. 
  • El encargado deberá contar con las facultades suficientes para comparecer a nombre de su representado ante instancias administrativas y judiciales. 
  • No será necesario la designación cuando el tratamiento de datos personales sea ocasional y no incluya el manejo a gran escala de datos de categoría especial establecidos en la ley.
Tratamiento de datos a gran escala: 
  • De acuerdo con el reglamento, es aquel que afecta a una gran cantidad de datos, referentes a un elevado número de titulares, procedentes de una amplia diversidad geográfica, y que pueden entrañar un riesgo a sus derechos y libertades. Se considera tratamiento a gran escala el tratamiento de datos de pacientes en hospitales, tratamiento de datos de geolocalización, tratamiento de datos en la actividad de seguros, tratamiento de datos por proveedores de servicios de telefonía móvil e internet, entre otros.
Consentimiento del titular de datos personales 
  • El consentimiento dado en todos los casos deberá poder ser demostrado por el responsable de tratamiento. La Autoridad podrá solicitar la prueba de dicho consentimiento. 
  • El silencio o inacción del titular de datos personales no puede presumirse como un consentimiento otorgado.
Límites para la conservación de datos personales: 
  • Los datos personales no deberán exceder aquellos que sean estrictamente necesarios para el cumplimiento de las finalidades que justificaron el tratamiento. 
  • La Autoridad de Protección de Datos Personales regulará los plazos de conservación de datos personales atendiendo las disposiciones aplicables a la materia de que se trate. 
  • Una vez culminado el plazo de conservación de los datos, el responsable deberá proceder con la eliminación, bloqueo o anonimización de los datos en su posesión. 
  • Se deben establecer procedimientos para la conservación, revisión y eliminación de los DP.
Tratamiento de datos de fuentes de acceso público 
  • Se establece que el tratamiento de datos personales obtenidos de fuentes de acceso público debe ser compatible con la finalidad que justificó su publicación.
Medios para el ejercicio de derechos y requerimientos para realizar solicitudes: 
  • El responsable deberá habilitar, preferentemente, herramientas o canales informáticos simplificados de fácil acceso para el titular. 
  • Al hacer una solicitud, el requirente deberá demostrar la titularidad o la representación legal para ejercer el derecho. 
  • Para el ejercicio de los derechos consagrados en la ley, la solicitud deberá contener: 
  • Los nombres y apellidos completos del titular, número de cédula de identidad o pasaporte y dirección domiciliaria o electrónica para notificaciones, o datos de la o del representado, cuando la solicitud la haga un representante legal. 
  • Descripción clara de los datos personales respecto de los cuales se busca ejercer alguno de los derechos de la LOPDP. 
  • Relación de lo que solicita expuesto de manera clara y concisa. 
  • Derechos que desea ejercer. 
  • Documentos que acrediten identidad o representación legal. 
  • En caso de que la información constante en la solicitud requiera ser aclarada o ampliada, el responsable podrá requerir al titular por una sola vez y dentro del término de 5 días de recibida la solicitud, que la aclare o complete. El titular emplazado contará con el término de 10 días contados a partir del día siguiente en el que haya sido notificado, para aclarar o completar la solicitud. 
  • El responsable deberá mantener un registro de las solicitudes., incluyendo el detalle de la atención dada a las mismas. 
  • El titular de los datos personales podrá realizar un reclamo ante la Autoridad cuando se hayan vulnerado sus derechos, a pesar de haber realizado el contacto con el responsable del tratamiento de acuerdo a los lineamientos establecidos.
Categorías de datos que requieren tratamiento especial: 
  • Datos de personas fallecidas; 
  • Datos crediticios; 
  • Datos cuyos sujetos son menores de edad.
Vulneración a la seguridad de datos personales: 
  • El responsable del tratamiento de los DP deberá notificar a la Autoridad cualquier vulneración a la seguridad de datos personales, siempre que sea probable que esta constituya un riego para los derechos y libertades de las personas.
Evaluación de impacto 
  • La evaluación de impacto es un procedimiento destinado a identificar riesgos potenciales en el tratamiento de DP y planificar acciones para mitigarlos.  
  • Será obligatoria en los casos establecidos en la Ley.
Lineamientos para la transferencia o comunicación de datos a terceros: 
  • Los datos pueden ser transferidos sin requerir el consentimiento del titular si están cifrados o han sido desvinculados.  
  • La transferencia o comunicación de datos personales a terceros es posible bajo las siguientes condiciones: 1) Para cumplir con fines directamente vinculados a las funciones legítimas del responsable y del tercero receptor; y 2) Cuando se haya obtenido el consentimiento previo del titular
Responsable de protección de datos y la figura de responsables conjuntos: 
  • Los responsables del tratamiento que cuenten con cien o más trabajadores deberán llevar un registro de todas las actividades de tratamiento de datos personales que sean de su competencia. 
  • El Reglamento contempla la figura de responsables conjuntos, siempre y cuando se definan los mismos fines y medios del tratamiento de los DP. Estos definirán sus respectivas tareas y responsabilidades en materia de protección de datos de forma transparente a través de un contrato y, en el caso de una infracción, figurarán como responsables solidarios ante la Autoridad y titulares.
Relación entre el Responsable de Protección de DP y el Encargado: 
  • La relación entre el responsable del tratamiento y un encargado debe regirse por un contrato, cuyos lineamientos están contemplados en el Reglamento. 
  • El encargado del tratamiento deberá establecer medidas técnicas y organizativas equiparables a las del Responsable. 
  • El Encargado deberá mantener un registro de actividades del tratamiento cuando el responsable esté obligado a ello.
Delegado de Protección de Datos (DPO): definiciones, responsabilidades y formalidades 
  • El DPO podrá ser contratado por el responsable de tratamiento bajo relación de dependencia o por contrato de prestación de servicios. 
  • El DPO suscribirá un acuerdo de confidencialidad respecto de la información que llegase a conocer. 
  • Requisitos para poder ser designado DPO: 
  • Estar en goce de los derechos políticos. 
  • Ser mayor de edad. 
  • Tener título de tercer nivel en derecho, sistemas de la información, de comunicación o de tecnologías. 
  • Acreditar experiencia profesional por lo menos de cinco años. 
  • Limitantes para ser designado DPO: 
  • Quienes formen parte de los órganos de administración y control del responsable y encargado. 
  • Los socios o accionistas del responsable y encargado. 
  • Los cónyuges de los administradores, directores o comisarios de la compañía, o sus parientes hasta el cuarto grado de consanguinidad y segundo de afinidad. 
  • Quienes tengan conflictos de interés con el responsable y encargado. 
  • Los grupos empresariales podrán designar un único DPO siempre que pueda realizar todas las actividades sin que se genere un conflicto de intereses. 
  • El responsable y el encargado deberán respetar el trabajo del delegado de protección de datos personales y no le podrán sancionar por el cumplimiento de sus funciones. En caso de ser sancionado en el cumplimiento de sus funciones, podrá interponer un reclamo ante la Autoridad, que podrá imponer sanciones.
Casos en los que se requiere la designación de un DPO 
  • Cuando las actividades requieran de un control permanente y sistematizado de datos. Para realizar esta definición, se deberá considerar: 
    • Si el tratamiento es continuado o se produce en intervalos.
    • Si el tratamiento es recurrente  
    • Si el tratamiento es constante 
    • Si el tratamiento está preestablecido o es metódico 
    • Si el tratamiento tiene lugar como parte de un plan general o una estrategia general 
  • En caso de suscitarse dudas, los responsables de los DP podrán consultar con la Autoridad.
Responsabilidades del Responsable de Protección de DP 
  • Deberá aplicar medidas técnicas, jurídicas, administrativas y organizativas que permitan demostrar que el tratamiento se realiza conforma a la normativa, considerando la naturaleza, ámbito, finalidad de tratamiento y los riesgos. 
  • Se deberán configurar medidas de protección de DP desde el diseño de los mismos. 
  • Se deberán imponer medidas de protección de datos por defecto, para garantizar que los datos no puedan ser accesibles a un número indefinido de personas de forma automatizada y solo puedan tratarse aquellos DP cuyo tratamiento sea necesario para una finalidad particular.
Mecanismos de autorregulación y certificaciones: 
  • Son instrumentos que pueden ser adoptados para facilitar el cumplimiento de los requisitos contemplados en la LOPDP y el Reglamento. Proveen lineamientos en cuanto a esquemas de cumplimiento para sectores específicos. 
  • Incluyen: esquemas certificados emitidos por el Servicio Ecuatoriano de Acreditación, reglas específicas para adaptar la normativa a un sector o situación, esquemas validados por la Autoridad conforme a las reglas que para el efecto emita. 
  • La Autoridad mantendrá un registro de mecanismos de autorregulación a fin de agilizar el flujo de información y facilitar el cumplimiento de la normativa. 
  • El Servicio Ecuatoriano de Acreditación emitirá certificaciones a los encargados y responsables de protección de DP cuando se cumplan los mecanismos de autorregulación, en base a los parámetros establecidos periódicamente por la Autoridad de Protección de DP. La certificación se emitirá por un periodo máximo de 3 años y podrá ser revocada.
Código de conducta: 
  • Las personas naturales, jurídicas, asociaciones gremios o grupos de empresas podrán presentar códigos de conducta que tengan como fin del cumplimiento de la normativo en materia de Protección de DP, los cuales deberán contener información de acuerdo a las pautas contenidas en el Reglamento.
Lineamientos para realizar transferencias internacionales de datos: 
  • La Autoridad determinará países, organizaciones o jurídicas con adecuada protección de datos. 
  • Si están en la resolución, no se requerirá autorización previa. 
  • Para transferencias con garantías adecuadas, se deben considerar: acuerdos vinculantes, normativas aprobadas, cláusulas estándar, códigos de conducta, mecanismos de certificación. 
  • Casos excepcionales requerirán autorización previa de la Superintendencia, con compromiso contractual del destinatario. 
  • Detalles de la transferencia deben registrarse en el Registro correspondiente.
De la Autoridad de Protección de Datos: 
  • La Superintendencia de Protección de Datos Personales contará con autonomía técnica, operativa y financiera, bajo la dirección del Superintendente y con sede en Quito. 
  • La implementación y funcionamiento dependerán de la disponibilidad presupuestaria, con aprobación del ente rector de las finanzas públicas. 
  • Supervisará el Registro Nacional de Protección de Datos Personales, un Registro Público que recopilará bases de datos o tratamientos realizados por responsables. 
  • Los responsables de tratamiento deben registrar sus bases de datos en un plazo máximo de diez días desde el inicio del tratamiento. 
  • Se establecerá el Registro Único de Responsables y Encargados Incumplidos, a cargo de la Autoridad de Protección de Datos, donde se registrarán infracciones cometidas por responsables y encargados, conservándose la información por un máximo de 7 años.
Del proceso sancionador: 
  • La Autoridad de Protección de DP llevará procesos sancionatorios de acuerdo con el Código Orgánico Administrativo. 
  • Las sanciones se impondrán sin perjuicio de la responsabilidad civil o penal del infractor.
Lee la Resolución

© 2022 | All rights reserved
Powered by Login Mkt. Digital