Ecuador espera la publicación de su primera Ley de Protección de Datos Personales. Esta norma, de acuerdo con Rafael Serrano, asociado sénior de la firma CorralRosales, toma una visión regulatoria al estilo de la normativa europea. “La norma no solo facilita la protección de datos personales, sino también que las empresas tengan bases de datos depuradas y que cumplan con estándares homogeneizados a nivel mundial. Es un gran avance para Ecuador”, comenta el especialista en protección de datos y derecho regulatorio.
Si bien en el país a nivel Constitucional desde el 2008 el derecho estaba garantizado, hasta hoy Ecuador no había tenido una norma que lo regulara. “Se trata de establecer un marco de parámetros para hacer tratamientos de información correctos”, menciona Serrano. Los cambios en el país serán estructurales y se verá involucrada toda persona —con ciertas excepciones— que almacene información que identifica o hace identificable a cualquier individuo, directa o indirectamente, en cualquier tipo de soporte, ya sea automatizado o no.
Para supervisar el cumplimiento de esta ley se ha creado una autoridad de protección de datos personales. A decir de Rafael Serrano, si es que se mantiene lo aprobado en la Asamblea Nacional del Ecuador, siempre que el presidente no vete el proyecto, esta autoridad, la Superintendencia, será independiente y con facultades de supervisión al sector privado, pero también al sector público.
En esta norma además se han dispuesto parámetros para comunicaciones y transferencias internacionales con contenido de datos personales. Se establecen también derechos como el de consulta, el de la educación digital y el de niñas, niños y adolescentes a no ser objeto de una decisión basada única o parcialmente en valoraciones automatizadas.
Destaca de esta ley que se ha dejado espacio para que al tratar los datos sensibles, las medidas de seguridad se adecuen a las exigencias del sector involucrado: “Y no solo depende de la industria, sino del dato sensible que sea y de su finalidad. No hay un estándar fijo porque son medidas que tendrán que ir evolucionando al mismo tiempo que la tecnología. Por ejemplo, las prácticas bancarias no serán las mismas que las de la industria alimenticia o automovilística”.
Es de anotar que son cuatro las categorías especiales: además de “datos sensibles”, están las de niñas, niños y adolescentes; salud y, la última, de personas con discapacidad.
Quizá te interese: El problema con las leyes de privacidad de datos en América Latina
El especialista en la materia señala que uno de los temas más discutidos fue si había necesidad de crear o no un registro de las bases de datos en posesión de los responsables. “Esto no quiere decir que se entregue esta información a la Superintendencia para crear una gran base de datos, sino que lo que se entrega responde a fines más bien estadísticos: cuáles son los datos que se están tratando y cuántas bases de datos hay, por ejemplo”.
La norma establece que el consentimiento de las personas para ser registradas en una base de datos solo será válido cuando se manifieste de manera libre, específica, informada e inequívoca, pero aún así, podrá revocarse en cualquier momento sin necesidad de justificar dicha revocación.
¿Qué tienen que informar las empresas al titular de datos personales? los fines del tratamiento, la base legal, los tipos de tratamiento que hay, el tiempo de su conservación, la existencia de una base de datos, las finalidades, un contacto de responsable, las transferencias que se pretendan realizar y la existencia de valoraciones y decisiones automatizadas, entre otras cuestiones.
Entre las obligaciones de los responsables de tratamiento de datos personales está el suscribir contratos de confidencialidad y manejo adecuado de datos personales con el encargado y el personal a cargo del tratamiento de datos personales o que tenga conocimiento de los datos personales, además de utilizar tecnologías para mitigar y evaluar el rendimiento o las vulneraciones que puedan tener sus mecanismos de protección.
Las sanciones para los funcionarios públicos varían entre 1 y 20 salarios mínimos (un salario mínimo corresponde a 400 dólares), y entre el 0.1 % y 1 % del volumen del negocio para los particulares.
“El cumplimiento de la norma será complicado, no por mala fe sino por desconocimiento. La superintendencia tendrá asumir un rol educativo”, expresa Serrano.
Se espera la publicación del reglamento para tener claridad sobre los reclamos de los titulares de datos. El régimen sancionatorio entrará en vigencia luego de dos años de publicada la ley.
}
Add new comment