El 6 de noviembre de 2023, el Presidente de la República del Ecuador expidió el Reglamento de la Ley Orgánica de Protección de Datos Personales (RLOPDP). Tiene por objeto desarrollar la normativa para la aplicación de dicha Ley y la protección de los derechos y libertades fundamentales de los titulares de datos personales.
El Reglamento consta de 14 capítulos, que principalmente:
- Desarrollan el contenido y procedimiento para el ejercicio de los derechos de acceso, rectificación y actualización, eliminación, oposición y portabilidad.
- Regulan el funcionamiento de la autoridad de protección de datos personales y la organización del registro público a su cargo.
- Establecen las regulaciones específicas de los actores involucrados en la aplicación y cumplimiento de la ley: el responsable, el encargado y el delegado.
- Supedita la creación de la Superintendencia de Protección de Datos Personales a la existencia de disponibilidad presupuestaria, previo dictamen favorable del Ministerio de Finanzas.
A continuación, un resumen de sus principales disposiciones.
Designación de apoderado por parte de responsables y encargados no residentes:
- Los responsables y encargados del tratamiento de datos personales no establecidos en Ecuador deberán designar a un apoderado especial en Ecuador con residencia en el país, que cuente con facultades suficientes para comparecer a nombre de su representado ante instancias administrativas y judiciales en la materia.
- No será necesario dicha designación cuando el tratamiento de datos personales sea ocasional y no incluya el manejo a gran escala de datos de categoría especial establecidos en la ley (datos sensibles, salud, menores, discapacidad y sus sustitutos).
Definición de tratamiento a gran escala:
- Se define al tratamiento a gran escala como aquel que afecta a una gran cantidad de datos, referentes a un elevado número de titulares, procedentes de una amplia diversidad geográfica, y que pueden entrañar un riesgo a sus derechos y libertades. Se considerarán como supuestos de tratamiento a gran escala al tratamiento de datos de pacientes en hospitales, tratamiento de datos de geolocalización, tratamiento de datos en la actividad de seguros, tratamiento de datos por proveedores de servicios de telefonía móvil e internet, entre otros.
Consentimiento del titular:
- El consentimiento explícito del titular para el tratamiento de sus datos, deberá ser previamente informado y debe detallar los tipos de tratamiento, finalidades, tiempo de conservación, las medidas de protección a adoptarse, las consecuencias de entrega, etc.
- El consentimiento otorgado deberá ser demostrado por el responsable que lo obtiene.
- Con respecto a los datos que pertenezcan a un incapaz, bastará el consentimiento de su representante legal debidamente reconocido.
- El titular tendrá derecho a retirar su consentimiento en cualquier momento. El procedimiento para hacerlo debe ser sencillo; y el responsable del tratamiento deberá suspender el tratamiento de los datos del titular que haya revocado su consentimiento, una vez recibida la notificación por parte del titular.
Bases de legitimación:
- Se establecen criterios para la aplicación de las bases de legitimación de:
- Interés público;
- Interés vital del interesado u otra persona; y,
- Interés legítimo del responsable.
Conservación de datos personales:
- Los plazos de conservación de los datos personales no deberán exceder aquellos que sean estrictamente necesarios para el cumplimiento de las finalidades que justificaron el tratamiento.
- La Autoridad de Protección de Datos regulará los plazos de conservación de datos personales atendiendo las disposiciones aplicables a la materia de que se trate.
- Finalizado el plazo de conservación de los datos, el responsable deberá proceder con la eliminación, bloqueo o anonimización de los datos en su posesión.
- El responsable establecerá procedimientos para la conservación, revisión periódica, eliminación de los datos personales.
Ejercicio de derechos:
- Para efectivizar el ejercicio de los derechos establecidos en la Ley, el responsable habilitará, preferentemente, herramientas o canales informáticos simplificados de fácil acceso para el titular.
- En todos los casos, el requirente deberá demostrar la titularidad o la representación legal para ejercer el derecho.
- Para el ejercicio de los derechos consagrados en la ley, la solicitud deberá contener:
- Los nombres y apellidos completos del titular, número de cédula de identidad o pasaporte y dirección domiciliaria o electrónica para notificaciones.
- Cuando se actúa en calidad de representante legal, se hará constar también los datos de la o del representado.
- La descripción clara de los derechos por los que se busca ejercer la solicitud.
- La relación de lo que solicita expuesto de manera clara y concisa.
- Los derechos que desea ejercer.
- Los documentos que acrediten su identidad.
- Los nombres y apellidos completos del titular, número de cédula de identidad o pasaporte y dirección domiciliaria o electrónica para notificaciones.
- En caso de que la información constante en la solicitud requiera ser aclarada o ampliada, el responsable podrá requerir al titular por una sola vez y dentro del término de 5 días de recibida la solicitud, que la aclare o complete. El titular emplazado contará con el término de 10 días contados a partir del día siguiente en el que haya sido notificado, para aclarar o completar la solicitud.
- El responsable debe llevar un registro de las solicitudes.
Tratamientos concretos:
- El Reglamento contiene disposiciones específicas para el tratamiento de:
- Datos de personas fallecidas;
- Datos crediticios;
- Datos de menores de edad.
Transferencia o comunicación de datos a terceros:
- Los datos pueden transferidos sin el consentimiento del titular cuando estos estén cifrados o hayan sido disociadas.
- La transferencia o comunicación de datos personales a terceros se podrá realizar siempre que concurran los siguientes supuestos: 1) Para el cumplimiento de fines directamente relacionados con las funciones legítimas del responsable y del tercero destinatario; y, 2) Cuando se cuente con el consentimiento previo del titular.
Vulneración a la seguridad de los datos:
- Se establecen los supuestos en los que se presume que la vulneración a la seguridad de los datos constituye un riesgo para los derechos y las libertades de las personas naturales, a efectos de la notificación exigida por ley.
- Se establece el contenido de dicha notificación.
Evaluaciones de impacto:
- Se establecen los objetivos y requisitos de la evaluación de impacto y los casos en los que es obligatoria. En dichos casos, la evaluación deberá realizarse de forma previa al tratamiento.
Responsable:
- Se prevé la posibilidad de que existan responsables conjuntos, quienes determinan conjuntamente los mismos fines y los medios del tratamiento de los datos personales. Definirán sus respectivas tareas y responsabilidades en materia de protección de datos de forma transparente a través de un contrato.
- El responsable del tratamiento que cuente con cien o más trabajadores llevará un registro de todas las actividades de tratamiento de datos personales que sean de su competencia.
Encargado:
- La relación entre el responsable del tratamiento y un encargado debe regirse por un contrato escrito. El Reglamento establece el contenido de dicho contrato.
- El encargado del tratamiento deberá mantener un registro de actividades del tratamiento cuando el responsable del tratamiento esté obligado a ello.
Delegado:
- El delegado será designado por la máxima autoridad institucional y podrá ser contratado bajo la figura de prestación de servicios o contrato de trabajo.
- Se establece que para ser delegado de protección de datos personales, los requisitos son los siguientes:
- Estar en goce de los derechos políticos.
- Ser mayor de edad.
- Tener título de tercer nivel en derecho, sistemas de la información, de comunicación o de tecnologías.
- Acreditar experiencia profesional por lo menos de cinco años.
- No podrán desempeñar las funciones del delegado:
- Quienes formen parte de los órganos de administración y control del responsable y encargado.
- Los socios o accionistas del responsable y encargado.
- Los cónyuges de los administradores, directores o comisarios de la compañía, o sus parientes hasta el cuarto grado de consanguinidad y segundo de afinidad.
- Quienes tengan conflictos de interés con el responsable y encargado.
- El delegado de protección de datos personales suscribirá un acuerdo de confidencialidad respecto de la información que llegase a conocer.
- Los grupos empresariales podrán designar a un único delegado de protección de datos personales.
- El responsable y el encargado deberán respetar la gestión del delegado de protección de datos personales y no le podrán sancionar por el cumplimiento de sus funciones.
- Los responsables o encargados que no se encuentren dentro de las categorías de obligados a designar un delegado de protección de datos, podrán hacerlo de manera voluntaria como un mecanismo de buena práctica.
- Se establecen los parámetros para determinar si las actividades de un responsable o encargado en materia de protección de datos requieren de un control permanente (a efectos de determinar si requieren la designación de un delegado).
- El responsable deberá adecuar estas medidas para los datos por defecto y por diseño.
Transferencias internacionales:
- La Autoridad determinará los países, organizaciones o personas jurídicas que cuentan con adecuados niveles de protección de datos para su transferencia.
- En el caso de que el país, organización o persona jurídica esté dentro de la resolución emitida, no requerirá autorización previa.
- Para que una transferencia internacional de datos con garantías adecuadas se deberá tomar en cuenta: 1) instrumentos jurídicamente vinculantes; 2) normas corporativas aprobadas por autoridad; 3) cláusulas tipo; 4) Códigos de conducta; 5) mecanismos de certificación.
- En los casos que no se enmarquen en los supuestos anteriores, la Superintendencia deberá autorizar de forma previa la transferencia, si mediante contrato el destinatario se obligue a cumplir con la normativa ecuatoriana y la del país en la que se encuentre establecido.
- Los datos relativos a la transferencia internacional de datos deberán constar en el Registro creado para el efecto.
La Autoridad de Protección de Datos Personales:
- La Superintendencia de Protección de Datos Personales tendrá autonomía técnica, operativa y financiera.
- Estará a cargo del Superintendente de Protección de Datos Personales y tendrá su sede en Quito.
- Su implementación y funcionamiento estarán sujetos a la disponibilidad presupuestaria, previo dictamen favorable del ente rector de las finanzas públicas.
- La Superintendencia estará a cargo del Registro Nacional de Protección de Datos Personales, que será un Registro Público que contiene las bases de datos o tratamientos realizados por parte de los responsables.
- El responsable de tratamiento de datos será el obligado a registrar las bases de datos en el Registro de Protección de Datos Personales y debe hacerlo en un término no mayor a diez días a partir del día siguiente al inicio del tratamiento.
- El Registro Único de Responsables y Encargados Incumplidos constituye un registro público a cargo de la Autoridad de Protección de Datos, en el que se harán constar los responsables y encargados que hubieren incurrido en alguna de las infracciones establecidas en la Ley. La Información de este Registro se conservará por un plazo máximo de 7 años.
Procedimiento sancionador:
- Se establece que autoridad llevará procesos sancionatorios de acuerdo con el Código Orgánico Administrativo.
- Las sanciones sin perjuicio de la responsabilidad civil o penal del infractor.
El Reglamento entrará en vigencia tras su publicación en el Registro Oficial. No ha sido publicado hasta la fecha de emisión de este boletín informativo.