Ecuador no cuenta con autoridad de protección de datos a dos meses de entrada en vigencia de su ley

En mayo entra en vigencia el reglamento de la Ley de Protección de Datos. Para entonces las empresas y el sector público deberán tener listas las adecuaciones que contempla la normativa. / Unsplash.
Noticias
En mayo entra en vigencia el reglamento de la Ley de Protección de Datos. Para entonces las empresas y el sector público deberán tener listas las adecuaciones que contempla la normativa. / Unsplash.

23/02/2023
Por Gabriela Quevedo

Compartir en RRSS

Para recibir nuestro boletín diario,
¡suscríbete aquí!
El Consejo de Participación Ciudadana y Control Social ha cedido la posta al presidente Guillermo Lasso para que presente una terna de candidatas.
Fecha de publicación: 23/02/2023
Etiquetas: protección de datos, Regulación, legislación, tecnología, Ecuador

El próximo 26 de mayo entrará en vigencia el reglamento de la Ley de Protección de Datos Personales (Lopdp). Para entonces las empresas y el sector público y privado deberán tener listas las adecuaciones que contempla la normativa, cuyo objetivo es:

“(...) Garantizar el ejercicio del derecho a la protección de datos personales, que incluye el acceso y decisión sobre información y datos de este carácter, así como su correspondiente protección. Para dicho efecto regula, prevé y desarrolla principios, derechos, obligaciones y mecanismos de tutela”.

Las adecuaciones implican el desarrollo de códigos de conducta por parte de sectores, industrias, empresas, organizaciones para llevar a cabo el cumplimiento de lo contemplado por la ley, así como la designación o incorporación de un profesional que sea el responsable y encargado del tratamiento de datos personales. 

No dejes de leer: Agenda legal 2023: América Latina pondrá acento en lo fiscal, digital y minería

En relación con las modificaciones en cuanto a sistemas y procedimientos, la normativa exige la implementación de herramientas y el desarrollo de protocolos para un adecuado tratamiento de los datos, como lo señala su artículo 47, en los apartados 2 y 3:

“2) Aplicar e implementar requisitos y herramientas administrativas, técnicas, físicas, organizativas y jurídicas apropiadas a fin de garantizar y demostrar que el tratamiento de datos personales se ha realizado conforme a lo previsto en la presente Ley, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la autoridad de protección de datos personales o normativa sobre la materia”.

“3) Aplicar e implementar procesos de verificación, evaluación, valoración periódica de la eficiencia, eficacia y efectividad de los requisitos y herramientas administrativas, técnicas, físicas, organizativas y jurídicas implementadas”.

El gran pendiente: la elección de la Autoridad de Protección de Datos Personales

En la recta final del plazo aprobado para la entrada en vigencia del reglamento, se mantiene en interrogación la designación de la Autoridad de Protección de Datos. A la fecha, la plataforma el Consejo de Participación Ciudadana y Control Social señala ‘en proceso’ la presentación de una terna de candidatas que puedan ser evaluadas por una comisión técnica.

Según señala la última resolución emitida por el Consejo, el procedimiento se encuentra desde mediados del año pasado en el despacho presidencial de Guillermo Lasso, aguardando la nominación de una terna por su parte. 

Un procedimiento clave ya culminado es la conformación de una veeduría ciudadana, responsable de vigilar el cumplimiento del reglamento para la selección y la transparencia del proceso. A la fecha ya se cuenta con una lista de candidatos seleccionados, quienes tendrán que emitir un informe final sobre el proceso, que puede estar sujeto a impugnación.  

La figura de la autoridad no será la única facultada para llevar a cabo la fiscalización del cumplimiento de la normativa, toda vez que la supervisión recaiga en una entidad pública y/o la entidad privada supervisada requiere un control permanente y sistematizado por su volumen de información, el delegado de protección de datos personales será designado por la autoridad. 

“(Su rol será) cooperar con la autoridad de protección de datos personales y actuar como punto de contacto con dicha entidad con relación a las cuestiones referentes al tratamiento de datos personales”, destaca la norma.

Te recomendamos leer: Ley Fintech en Chile: ¿Cuáles son las disposiciones clave de la Ley Nro. 21521?

En mayo deberían entrar en vigencia las medidas correctivas

A la espera de que las empresas y oficinas de la administración pública estén dando los ajustes finales a sus procedimientos para cumplir con la normativa, se sabe que en mayo entrarán en vigencia las medidas correctivas contempladas en la Ley. 

Los sanciones, como toda la normativa, fueron formuladas en apego al cumplimiento de los 13 Principios sobre Privacidad y Protección de Datos de la OEA. Estas, según delimite la autoridad, podrán consistir en: 

  1. El cese del tratamiento, bajo determinadas condiciones o plazos;
  2. La eliminación de los datos.
  3. La imposición de medidas técnicas, jurídicas, organizativas o administrativas a garantizar un tratamiento adecuado de datos personales.

En el apartado correspondiente a las medidas correctivas, la normativa hace una distinción no realizada previamente en el texto jurídico. Se trata de la responsabilidad de la figura del Responsable de la Protección de los Datos Personales y la figura del Encargado de la Protección de los Datos Personales. Es recién en este apartado que se avizora a ambas figuras como gestora y ejecutiva, correspondientemente. 

La regulación plantea como falta leve del responsable no implementar la protección de datos personales a nivel de diseño y, por defecto, en el ejercicio de las actividades del negocio. De la misma manera, se configura una falta de este nivel no designar a un encargado de tareas operativas y ejecutivas, en específico del desarrollo de protocolos que lleven a cabo lo contemplado por la norma. 

Te puede interesar: ChatGPT: ¿Cómo aprovechar su efecto transformador sin que nos controle?

En el extremo de una falta grave cometida por el responsable se encuentra no implementar medidas administrativas, técnicas, físicas, organizativas y jurídicas que garanticen el cumplimiento de la normativa, así como no notificar a la autoridad las vulneraciones a usuarios cuando afecte derechos fundamentales y libertades individuales. 

Por su parte, el encargado podrá ser sancionado de no cooperar con el responsable, ni darle acceso para una verificación del cumplimiento de la normativa. De igual manera, como falta grave se contempla no suscribir contratos que contengan cláusulas de confidencialidad en aras de proteger los datos personales de los titulares del servicio y la no implementación de medidas preventivas y correctivas. 

Las sanciones materiales pueden oscilar de 1 a 10 sueldos, en caso de tratarse de un servidor público, y de 0,1 % y 0,7 % del valor del negocio en caso de tratarse de un trabajador vinculado a una empresa privada o empresa pública. En ese cálculo, hecho por la autoridad de protección de datos personales, se considera también la intencionalidad y la reincidencia de la falta.

Add new comment

About text formats

HTML Restringido

  • Allowed HTML tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Lines and paragraphs break automatically.
  • Web page addresses and email addresses turn into links automatically.

© El contenido de LexLatin, incluyendo todas sus imágenes, ilustraciones, diseños, fotografías, videos, íconos y material escrito, está protegido por derechos de autor, marcas y demás derechos de la propiedad intelectual, y es publicado para sus suscriptores y lectores con propósitos informativos únicamente. No se permite la reproducción, modificación, copia, distribución, reedición, transmisión, proyección o explotación de cualquier forma de los materiales o contenido publicado por LexLatin, a menos que el interesado obtenga la autorización escrita de LexLatin.