Guía 2024 | Reglamento de la Ley de Protección de Datos
De fecha 06 de noviembre de 2023, mediante decreto ejecutivo No. 904, el Presidente de la República del Ecuador, expidió el REGLAMENTO GENERAL DE LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES.
Revise a continuación, nuestra guía de orientación con los puntos más sustanciales:
Funciones y requisitos de los intervinientes para el fiel cumplimiento de la Ley de Protección de Datos
1.- Responsable
Evalúa productos o procedimientos (estados de la técnica), costos de aplicación, su naturaleza, el alcance, los fines del tratamiento de datos, la probabilidad y gravedad de la vulneración de los datos del titular.
2.- Encargado
Garantiza el cumplimiento de la Ley Orgánica de Protección de Datos, aplicando cabalmente las instrucciones del responsable a través de la implementación de metodologías ya sean jurídicas, administrativas y organizativas.
3.- Delegado
Persona natural, mayor de edad, con título de tercer nivel en la carreras de Derecho o TICs, en pleno goce de sus derechos políticos y con experiencia mínima de cinco años en el ejercicio profesional. Es el responsable de asesorar, velar y supervisar de manera independiente el cumplimiento de las funciones legalmente encomendadas al responsable y encargado de la protección de datos personales.
4.- Tercero destinatario
Persona a la cual previo consentimiento del titular, el encargado puede remitir información siempre y cuando los fines lo justifiquen. Debe contar con un sistema de protección de datos que garantice que los mismos no serán vulnerados, caso contrario el encargado debe remitirlos anonimizados, con el fin que de no se revele a su titular.
Contenido del consentimiento para el tratamiento de datos del titular:
Todo consentimiento para el uso y tratamiento de datos personales debe incluir:
- Los datos objeto del tratamiento.
- Singularización del titular o interesado.
- Las entidades a las que se puede comunicar estos datos y los fines de tal comunicación.
- Las limitaciones a fines.
- Los plazos de conservación.
- Los procedimientos y medidas para garantizar un tratamiento adecuado.
- El derecho del titular a solicitar la eliminación, bloqueo o anonimización.
Es importante resaltar que:
- Es lícito el tratamiento de datos que tiene como finalidad informar sobre el cumplimiento o incumplimiento de obligaciones comerciales o crediticias.
- El consentimiento para del uso y tratamiento de datos debe ser expreso, por lo que la falta de pronunciamiento no se constituye en una aceptación tácita.
- El responsable debe llevar un archivo de las solicitudes realizadas por los titulares respecto de sus datos, incluyendo el detalle de la atención brindada.
- El responsable y encargado de la protección de datos que no se encuentre residiendo en el Ecuador, deberá designar un apoderado residente en el país, salvo que el tratamiento de datos lo realice de manera ocasional y no incluya un manejo de datos a gran escala.
Tratamiento a gran escala:
Se considera tratamiento a gran escala el manejo de datos de:
- Instituciones que conforman el Sistema Nacional de Salud.
- Personas que utilizan el sistema de transporte público a través de tarjetas de transporte.
- Datos de geolocalización en tiempo real.
- Compañías de seguros, corredores, agentes, instituciones financieras.
- Datos que se utilicen para publicidad comportamental para motores de búsqueda.
- Servicios de telefonía o internet.
Notificación en casos de vulneración de la seguridad
En estos casos el responsable deberá notificar a la Autoridad de Protección de Datos Personales, a la Agencia de Regulación y Control de Telecomunicaciones y a su titular.
Obligación de llevar un registro de actividades de tratamiento
El responsable que cuente con cien o más trabajadores está obligado a llevar un registro que estará a disposición de la Autoridad de Protección de Datos Personales y debe contener la siguiente información:
- Nombre y datos de contacto del responsable del tratamiento, así como del personal asignado y del delegado.
- Los fines del tratamiento.
- Las categorías de destinatarios.
- Identificación de los titulares y la categoría de datos personales.
- Uso de perfiles.
- Definición de transferencia de datos a entidades extranjeras.
- Descripción de bases legitimadoras que facultan el tratamiento.
- Plazos de retención para la supresión o revisión de la necesidad de conservar datos personales.
- Descripción general de las medidas técnicas jurídicas, administrativas y organizativas para la protección de datos.
Los responsables que tengan menos de cien trabajadores también deben llevar este registro siempre que el tratamiento pueda suponer un riesgo para los titulares, no se trate de un tratamiento ocasional e incluya categorías especiales de datos personales.
Mecanismos de autorregulación para el cumplimiento de la Ley de Protección de Datos:
- Esquemas certificados en materia de protección de datos personales por el Servicio Ecuatoriano de Acreditación.
- Reglas específicas como códigos de conducta, normas corporativas y cláusulas tipo.
- Esquemas validados por la Autoridad de Protección de Datos Personales.
La Autoridad de Protección de Datos, en su momento oportuno dará a conocer:
- Las reglas destinadas a adaptar la normativa de los datos personales para determinado sector o situación.
- Las entidades de acreditación autorizadas por el Servicio Ecuatoriano de Acreditación en materia de protección de datos personales.
- Las entidades de evaluación acreditadas para otorgar certificaciones en materia de protección de datos personales por el Servicio Ecuatoriano de Acreditación.
- Parámetros básicos o estándares mínimos de evaluación a los que se someterán los responsables y encargados para obtener la certificación en materia de protección de datos personales, misma que tendrá una vigencia de tres años
Registro Nacional de Protección de Datos Personales
El Registro Nacional de Protección de Datos Personales es un registro público a cargo de la Autoridad de Protección de Datos Personales que contiene el tratamiento que cada responsable y encargado brinda a los titulares de la información, este reporte debe realizarlo en el responsable dentro del término de diez días contados a partir del día siguiente al inicio del tratamiento.
Trasferencias internacionales
La autoridad de protección de datos emitirá un listado de los países, organizaciones o personas jurídicas que cuentan con adecuados niveles de protección para transferencia de datos personales.
Los grupos empresariales internacionales establecidos en el Ecuador, pueden compartir los datos de los titulares de la información siempre que hayan establecido normas corporativas vinculantes de conformidad a la Ley Orgánica de Protección de Datos y su reglamento, acto que se sujetará a la supervisión y aprobación de la Autoridad de Protección de Datos quien observará que se cumplan los siguientes requisitos:
- Sean jurídicamente vinculantes.
- Confieran a los titulares derechos exigibles en relación con el tratamiento de sus datos personales.
- Cumplan con los requisitos establecidos en la Ley.
En caso de no contar con normas corporativas vinculantes la Autoridad de Protección de Datos Personales autorizará, con carácter previo, la transferencia internacional de información siempre que se cumpla con los siguientes supuestos:
- Contrato celebrado entre responsable, encargado y destinatario extranjero y que este último se obligue voluntaria y formalmente a cumplir con la Ley Orgánica de Protección de Datos Personales, su reglamento y demás normativa aplicable así como aceptar la jurisdicción y competencia de la Autoridad de Protección de Datos y los Tribunales de la República del Ecuador, o que a su vez el país o territorio en donde se encuentre el destinatario garantice el ejercicio de derechos incluido el de presentar una reclamación ante una autoridad de protección de datos personales y el derecho a la tutela judicial efectiva por parte de los titulares.
En todo caso, la transferencia internacional de datos personales está sujeta a la inscripción en el Registro Nacional de Protección de Datos.
Autor: Abogado Luis Yánez Departamento Legal Russell Beford Ecuador |
Asegúrate de que tu equipo esté al tanto de los últimos cambios legales empresariales … En Russell Bedford Ecuador sabemos cómo hacerlo