El Presidente de la República de Ecuador ha emitido el decreto ejecutivo 904, el cual respalda el reglamento de la Ley Orgánica de Protección de Datos Personales. Este reglamento tiene como objetivo principal garantizar la protección integral de los datos personales y los derechos fundamentales de las personas en el país. Esta medida es un paso significativo hacia la regulación y el control del tratamiento de datos personales, alineándose con las normativas internacionales y promoviendo la confianza en el manejo de información personal.

Ámbito de Aplicación:

Esta regulación tiene un alcance amplio y abarca a un amplio espectro de actores, incluyendo tanto a personas naturales como jurídicas, nacionales y extranjeras, que realicen el tratamiento de datos personales en el territorio de Ecuador. Este enfoque inclusivo garantiza que todas las personas y entidades que tratan datos personales estén sujetas a la regulación, lo que es fundamental para proteger los derechos de los individuos en un mundo cada vez más digitalizado.

Principios Clave:

La regulación se basa en una serie de principios clave que rigen el tratamiento de datos personales en Ecuador:

• Consentimiento: Los responsables del tratamiento de datos personales deben obtener un consentimiento inequívoco de los titulares. Este consentimiento debe ser informado y detallado, incluyendo información sobre la finalidad del tratamiento y las medidas de protección implementadas. Esto garantiza que las personas tengan un control real sobre su información personal y cómo se utiliza.

• Revocación del Consentimiento: Un aspecto fundamental es que los titulares tienen el derecho de retirar su consentimiento en cualquier momento sin que esto afecte la legalidad del tratamiento previo. Esto coloca a los individuos en el centro del proceso y les otorga un mayor grado de control sobre sus datos.
• Bases Legales: La regulación establece varias bases legales para el tratamiento de datos, lo que brinda a los responsables opciones claras y justificadas para el manejo de datos personales. Estas bases incluyen el interés público, intereses vitales del titular, interés legítimo del responsable y datos de acceso público, cada una con sus propios principios y ponderaciones.
• Plazos de Conservación: La regulación establece que los datos personales deben conservarse solo durante el tiempo necesario para cumplir con sus finalidades. Esto evita el almacenamiento excesivo y garantiza que los datos se utilicen de manera adecuada y oportuna.
• Eliminación, Bloqueo o Anonimización: Una vez que se hayan cumplido las finalidades del tratamiento, los datos deben ser eliminados, bloqueados o anonimizados, a menos que la ley exija lo contrario. Esto protege la privacidad de los titulares y evita el uso indebido de la información.

Derechos de los Titulares:

Los titulares de datos personales tienen una serie de derechos protegidos por esta regulación. Entre ellos se incluyen el derecho a acceder a sus datos, a rectificar información incorrecta, a la limitación del tratamiento, a la portabilidad de datos, y a la oposición al tratamiento. Además, se deben habilitar medios informáticos para que los titulares ejerzan estos derechos, lo que facilita el proceso de protección de datos.

Transferencia de Datos:

La regulación establece que la transferencia de datos personales a terceros requiere el consentimiento del titular, a menos que se implementen medidas adecuadas de privacidad. Esto garantiza que la información personal no se comparta de manera inapropiada y que los titulares tengan control sobre su información en todo momento. Además, se permite a los titulares ejercer sus derechos directamente y notificar a terceros para realizar correcciones si es necesario.

Deberes de los Responsables:

Los responsables del tratamiento de datos tienen una serie de deberes que deben cumplir rigurosamente. Uno de los deberes más importantes es la notificación de las violaciones de seguridad que puedan poner en riesgo los derechos de los titulares. Esto es esencial para garantizar la seguridad de los datos y la notificación oportuna de posibles incidentes. Además, se requiere la realización de una evaluación de impacto en ciertos casos para identificar y mitigar riesgos en el tratamiento de datos, lo que promueve una gestión responsable de la información personal. Los responsables también deben aplicar medidas adecuadas, evaluar los costos y mantener registros detallados de sus actividades de tratamiento, lo que contribuye a la transparencia y la responsabilidad.

Delegado de Protección de Datos:

La regulación establece la figura del Delegado de Protección de Datos, cuya función es asesorar y supervisar el cumplimiento de las obligaciones legales. Esta figura juega un papel clave en garantizar que las entidades cumplan con los requisitos de protección de datos de manera efectiva. Para ser designado como Delegado de Protección de Datos, se deben cumplir requisitos específicos, como el goce de derechos políticos, ser mayor de edad, tener un título de tercer nivel en áreas específicas y acreditar experiencia profesional. Además, existen prohibiciones para ser Delegado de Protección de Datos, como la relación con los órganos de administración y control del responsable, la relación familiar con administradores y conflictos de intereses. Esto garantiza que los Delegados de Protección de Datos sean individuos idóneos y libres de conflictos de intereses.

Autoridad de Protección de Datos:

La Autoridad de Protección de Datos en Ecuador desempeña un papel fundamental en la aplicación y supervisión de estas normativas. La Autoridad cuenta con autonomía administrativa, técnica, operativa y financiera y está dirigida por el Superintendente de Protección de Datos Personales, quien representa legalmente a la Autoridad. Esta entidad tiene un conjunto de atribuciones, incluyendo hacer cumplir las regulaciones de protección de datos, registrar bases de datos en el Registro Nacional, administrar el Registro Único de Responsables y Encargados Incumplidos, emitir regulaciones para la protección de datos, proponer reformas a la Ley y su reglamento, emitir guías de referencia, resolver peticiones y quejas, entre otras. Además, se elabora un plan anual de control que tiene en cuenta la naturaleza de las organizaciones controladas, el volumen y sensibilidad de los datos personales, y la disponibilidad presupuestaria. Los mecanismos de control se rigen por las reglas del Código Orgánico Administrativo.

Régimen Sancionatorio:

En caso de infracciones, la Autoridad de Protección de Datos inicia procedimientos administrativos sancionatorios. Las sanciones se imponen sin perjuicio de la responsabilidad civil o penal resultante de las infracciones. Este régimen sancionatorio es esencial para garantizar que las entidades cumplan con las normativas de protección de datos y para disuadir posibles malas prácticas. Si quieres conocer más sobre el régimen sancionatorio y los supuesto de legitimación del tratamiento de datos personales te recomentados leer el siguiente artículo: SABÍAS QUE PUEDES TENER MULTAS POR UN INCORRECTO TRATAMIENTO DE DATOS PERSONALES

En resumen, la regulación de protección de datos en Ecuador es un avance significativo en la protección de la privacidad y los derechos de los individuos en un entorno digital en constante evolución. Establece una serie de principios clave, derechos de los titulares, deberes de los responsables, la figura del Delegado de Protección de Datos, las funciones de la Autoridad de Protección de Datos y un régimen sancionatorio para garantizar el cumplimiento de las normativas de protección de datos en el país. Esta regulación coloca a Ecuador en una posición más sólida para proteger la información personal y promover la confianza en el uso de datos en la era digital.

Advertencia:  Este artículo de Lawem Abogados no es ni podrá ser usado como asesoría u opinión legal, en vista de que se trata de un documento puramente informativo.

Para más información comunícate al siguiente correo electrónico: info@lawemabogados.com