El 6 de septiembre de 2024, la Superintendencia de Protección de Datos Personales (SPDP) emitió la Resolución Nro. SPDP-SPDP-2024-0002-R, la cual establece la Guía Técnica Obligatoria para el Registro de Apoderados Especiales de Responsables, Conjuntos o No, y Encargados Extranjeros que realicen actividades de Tratamiento de Datos Personales en Ecuador. La Resolución fue publicada en el Segundo Suplemento del Registro Oficial No. 640 el 10 de septiembre de 2024, pero entró en vigencia en la fecha de su suscripción.
Ámbito de aplicación
La Guía aplica a todos los responsables y encargados extranjeros que, sin estar domiciliados en Ecuador:
- Ofrezcan bienes o servicios a personas residentes en el país;
- Participen en el sistema de protección de datos personales; o
- Controlen el comportamiento de personas dentro del territorio ecuatoriano, ya fuere de forma física, virtual o remota.
Designación de apoderado
Los sujetos obligados deberán designar y registrar un apoderado especial domiciliado en Ecuador1. Este apoderado debe contar con facultades amplias para representarlas en todas las cuestiones relacionadas con la protección de datos personales, incluyendo la gestión de solicitudes y consultas de los titulares de los datos.
El apoderado puede ser una persona natural o jurídica. Si es una persona natural, deberá ser ecuatoriano o, en su defecto, un extranjero con residencia legal en el país y gozar de derechos políticos. En el caso de una persona jurídica, su objeto social debe permitirle actuar como mandataria.
El poder concedido requerirá de actualización en caso de: 1) muerte del apoderado; 2) renuncia del apoderado; 3) vencimiento del plazo, si lo tuviere; 4) cambio de denominación, absorción, escisión, transformación, liquidación de la persona jurídica designada como apoderada. Salvo en el caso de muerte del apoderado, el apoderado especial que estuviere registrado seguirá respondiendo ante la SPDP y ante los titulares hasta que se proceda a la actualización del registro.
Requisitos del poder especial
Los responsables extranjeros deben incluir en el poder su nombre comercial y las marcas bajo las cuales operan. Los encargados extranjeros, por su parte, deben identificar a los responsables para quienes procesan los datos personales. Asimismo, tanto los responsables como los encargados deben proporcionar las direcciones electrónicas, físicas y números telefónicos de sus sedes y de los apoderados designados en Ecuador.
Responsabilidad por incumplimiento
En caso de incumplimiento de las disposiciones aplicables a la designación del apoderado, las personas naturales o jurídicas que “aparentaren actuar u obrar por cuenta de” los sujetos obligados, podrían ser responsables de manera administrativa.
Procedimiento para registrar al apoderado
Una vez designado, los Sujetos Regulados deberán registrar al apoderado ante la SPDP, presentando el documento que le confiere el poder. Si el poder fue otorgado en el extranjero, deberá estar apostillado o certificado por un agente diplomático ecuatoriano. La SPDP verificará que el apoderado cumpla con los requisitos establecidos y evaluará si el poder otorgado es adecuado.
El registro de los apoderados, junto con sus datos de contacto, será publicado en la página web de la SPDP y en las de los Sujetos Regulados, con el fin de facilitar el ejercicio de los derechos por parte de los titulares de los datos.
Obligaciones adicionales para los sujetos regulados
Además del registro del apoderado, todos los responsables (que decidan sobre la finalidad de determinados tratamientos en el extranjero) y todo encargado (que realice actividades de tratamiento bajo las directrices y las instrucciones de un responsable), deberán presentarle a la SPDP:
- El acuerdo de corresponsabilidad o encargo;
- El registro de actividades de tratamiento (RAT), por cada una de las actividades de tratamiento que realicen;
- Un análisis de riesgos por cada actividad de tratamiento;
- El flujo de datos personales involucrados en cada tratamiento;
- Las medidas de seguridad implementadas para la comunicación y transferencia de datos;
- Códigos de autorregulación, si los tienen, los cuales deberán ser aprobados por la SPDP.
Disposiciones transitorias
Los sujetos regulados que estuvieren ejecutando actividades de tratamiento de datos personales deberán cumplir de manera obligatoria con el procedimiento de registro de los apoderados especiales ante la SPDP dentro del plazo de seis meses, que empezará a discurrir desde su publicación en el Registro Oficial (10 de septiembre de 2024). Siendo así, el plazo vence el 10 de marzo de 2025.
Hasta que la SPDP pueda habilitar la plataforma electrónica para el registro de los apoderados especiales, la solicitud (con firma autógrafa) y los poderes especiales deberán presentarse en las oficinas donde funcione la entidad.
- Recordamos que la obligación de designación de apoderado por parte de responsables y encargados no residentes fue introducida por el Reglamento de la Ley Orgánica de Protección de Datos Personales (RLOPDP), de 6 de noviembre de 2023. No será necesaria dicha designación cuando el tratamiento de datos personales sea ocasional y no incluya el manejo a gran escala de datos de categoría especial.
↩︎