El 6 de noviembre de 2023 el Presidente de la República suscribió el Decreto Ejecutivo número 904 mediante el cual se emite el Reglamento a la Ley Orgánica de Protección de Datos Personales (en adelante el “Reglamento”).
A continuación, resaltamos los puntos más importantes:
I. Definiciones:
El Reglamento incorpora definiciones relevantes para la aplicación de la Ley Orgánica de Protección de Datos Personales (en adelante “LOPDP”). De dichas definiciones destacamos el término “tratamiento a gran escala” que comprende el tratamiento de datos que afecta a un gran número de titulares. Para determinar que existe un “tratamiento a gran escala” se deberá considerar el número de titulares, el volumen y variedad de datos, la duración o permanencia de la actividad de tratamiento y el alcance geográfico.
Específicamente el Reglamento considera como “tratamiento a gran escala” los siguientes:
-
- Datos de pacientes de hospitales e instituciones de salud.
- Datos de desplazamiento de personas que utilizan el sistema de transporte público.
- Datos de geolocalización en tiempo real.
- Datos de clientes de compañías de seguros o de instituciones financieras.
- Datos para publicidad comportamental por un motor de búsqueda.
- Datos de contenido, tráfico y ubicación por proveedores de servicios de telefonía o internet.
II. Obligaciones de los responsables y encargados que se encuentren fuera del territorio ecuatoriano:
Los responsables y encargados del tratamiento de datos personales que no estén establecidos en Ecuador y que traten datos personales de residentes en Ecuador deberán designar un apoderado especial en el país.
III. Evaluación de impacto del tratamiento de datos personales:
La LOPDP establece la obligación de realizar una evaluación de impacto del tratamiento de datos personales cuando se identifique que dicho tratamiento conlleva un alto riesgo para los derechos y libertades del titular.
El Reglamento define a la evaluación de impacto como un análisis preventivo mediante el cual, el responsable, valora el impacto real del tratamiento de datos.
La evaluación de impacto deberá ser presentada ante la Autoridad de Protección de Datos y contendrá los siguientes elementos:
-
- La descripción de las operaciones y finalidades del tratamiento;
- La justificación de la necesidad de llevar a cabo el tratamiento;
- Evaluación de riesgos a los derechos de los titulares; y,
- Las medidas de seguridad para hacer frente a los riesgos.
IV. Registro de Actividades de Tratamiento:
Se encuentran obligados a contar con un Registro de Actividades de Tratamiento, los responsables del tratamiento de datos personales que cuenten con 100 o más colaboradores, los responsables que traten categorías especiales de datos personales y aquellos encargados del tratamiento de datos cuando el responsable esté obligado a contar dicho registro.
El Registro deberá contener:
-
- Nombre y datos de contacto del responsable;
- Fines del tratamiento;
- Categorías de destinatarios a los que se han comunicado los datos;
- Categorías de datos personales de los titulares;
- Uso de perfiles;
- Transferencias internacionales;
- Bases legitimadoras;
- Plazos de retención de los datos; y,
- Descripción general de las medidas técnicas, jurídicas, administrativas y organizativas.
V. Delegado de protección de datos:
Podrán ser delegados de protección de datos personales (en adelante “DPO”) aquellas personas que tengan título de tercer nivel en Derecho, Sistemas de Información, de Comunicación o de Tecnologías; y, acrediten experiencia profesional de mínimo 5 años.
El DPO podrá realizar otras actividades relacionadas a protección de datos que no supongan un conflicto con las responsabilidades inherentes a sus actividades.
Se podrá contratar al DPO bajo relación de dependencia o a través de un contrato de prestación de servicios.
Aquellos responsables o encargados que no estén obligados a designar un DPO pueden hacerlo de manera voluntaria. Esto será considerado una buena práctica y prueba del cumplimiento del principio de responsabilidad proactiva.
VI. Responsabilidad conjunta:
Se consideran responsables conjuntos a aquellos responsables del tratamiento de datos que tengas los mismos fines y medios. Estos responsables conjuntos definirán sus tareas y responsabilidades en materia de protección de datos a través de un contrato, al que los titulares de los datos podrán tener acceso si así lo requieren.
VII. Transferencias internacionales:
La Autoridad de Protección de Datos definirá los países u organizaciones que cuentan con un nivel adecuado de protección de datos para la ejecución de transferencias internacionales de datos personales.
Si el país o la organización a la cual se realiza la transferencia internacional de datos no ha sido calificado por la Autoridad, solo será admisible el envío si existen ciertos instrumentos jurídicos que sustenten la transferencia.
El Reglamento establece los siguientes criterios para determinar si un país u organización posee un nivel adecuado de protección de datos:
-
- Legislación y normativa sectorial del país en protección de datos.
- Normativa ulterior de datos personales por parte de las autoridades.
- Jurisprudencia en protección de datos.
- Reconocimiento de derechos y mecanismos para su ejercicio en favor de los titulares de datos.
- Establecimiento de derechos y deberes de los responsables y encargados de tratamiento.
- Autoridad independiente y autónoma.
- Compromisos internacionales asumidos por el país u organización en materia de protección de datos personales.
- Legislación en materia de seguridad nacional, pública, y en general aquella que tenga relación con la defensa y seguridad del Estado.
En el Registro Nacional de Protección de Datos se registrará:
-
- El país donde se ubica el destinatario de los datos;
- Las categorías objeto de la transferencia;
- Las finalidades de la transferencia;
- Los datos de identificación del destinatario; y,
- El mecanismo de autorización o criterio de excepción para realizar la transferencia.
VIII. Vulneraciones de seguridad:
El Reglamento establece que se deben notificar las vulneraciones de seguridad a la Autoridad de Protección de Datos y a la Agencia de Regulación y Control de las Telecomunicaciones, en los siguientes casos:
-
- Cuando los datos personales fueron destruidos, no existen o dejan de estar disponibles para el responsable;
- Cuando los datos personales fueron alterados, corrompidos o no son íntegros;
- Cuando el responsable ha perdido el control o acceso, o los datos personales ya no están en su poder;
- Cuando el tratamiento no ha sido autorizado o es ilícito, incluyendo la divulgación o acceso no autorizados por parte de destinatarios.
El Reglamento entrará en vigor a partir de su publicación en el Registro Oficial.
Rafael Serrano, associate at CorralRosales
rserrano@corralrosales.com
+593 2 2544144
NOTA: EL texto anterior ha sido elaborado con fines informativos. CorralRosales no es responsable de ninguna pérdida o daño ocasionado como consecuencia de haberse actuado o dejado de actuar en base a la información contenida en este documento. Cualquier situación determinada adicional requiere la opinión y concepto específico de la firma.