El 25 de octubre de 2024, la Superintendencia de Protección de Datos Personales (“SPDP”) emitió la Resolución No. SPDP-SPDP-2024-0013-R, que contiene el Reglamento para la Presentación, Recepción y Trámite de Denuncias y Solicitudes de Protección de Datos Personales (“Reglamento”).

A continuación, los puntos más relevantes:

  1. Objeto y ámbito de aplicación del Reglamento

El Reglamento regula la presentación, recepción y trámite de denuncias y solicitudes ante la SPDP, conforme a los principios de celeridad, legalidad, oportunidad, transparencia, buena fe, objetividad, eficacia, eficiencia y calidad.

El procedimiento aplica cuando:

  • Se ha vulnerado el ejercicio de derechos de los titulares.
  • Se incumplan los principios de protección de datos personales.
  • El responsable o encargado del tratamiento incumpla con sus obligaciones respecto a los titulares.
  1. Denuncias y solicitudes
  • Denuncia: Medio por el que una persona natural o jurídica notifica a la SPDP sobre una presunta infracción a la normativa de protección de datos, como el uso indebido de datos personales, violaciones de seguridad o prácticas ilegales.
  • Solicitud: Petición de un titular de datos personales para atender un problema específico relacionado al tratamiento de sus datos personales, como la falta de respuesta o el tratamiento inadecuado de los datos personales, entre otros. Su propósito es obtener que el responsable o encargado del tratamiento rectifique su actuación, recomendar la imposición de medidas correctivas o el inicio de un procedimiento administrativo sancionador.
  1. Denuncias y solicitudes

Las denuncias y solicitudes pueden presentarse de forma física en las oficinas de la SPDP, o por el canal electrónico que se habilite para tal efecto.

  1. Denuncias y solicitudes

Una vez presentada la denuncia, la SPDP podrá llevar a cabo actuaciones previas o imponer medidas provisionales de protección para proteger el derecho a la protección de datos del titular. Entre estas medidas se incluyen:

  • Retiro de productos, documentos u otros bienes.
  • Limitaciones o restricciones de acceso;
  • Desalojo de personas;
  • Suspensión de la actividad de tratamiento
  • Clausura de establecimientos.

Durante las actuaciones previas, la SPDP:

  • Identificará al o a los presuntos responsables.
  • Establecerá las circunstancias del caso concreto.
  • Determinará las circunstancias relevantes que concurran.
  • Señalará si existen méritos suficientes para iniciar un procedimiento administrativo.

De ser procedente, la SPDP podrá ordenar la investigación, averiguación, auditoría o inspección para profundizar en los hechos. El acto administrativo que inicie la actuación previa será notificado al sujeto investigado conforme al Código Orgánico Administrativo (“COA”).

Practicada la actuación previa, se emitirá un informe preliminar que será notificado al sujeto investigado para que, dentro del término de diez días contados desde su notificación, presente sus descargos.

En caso de que no se aporten descargos dentro del término señalado, el informe preliminar surtirá plenos efectos jurídicos y tendrá la calidad de informe final con el que concluirá la actuación previa.

La SPDP tiene un plazo de seis meses desde el acto que disponga el inicio de las actuaciones previas para decidir iniciar o no un procedimiento administrativo sancionador.

  1. Procedimiento de solicitudes

La solicitud del titular deberá cumplir con los requisitos establecidos en el Reglamento. En caso de que la solicitud no reúna los requisitos establecidos, se ordenará que se complete o aclare dentro del término de cinco días contados a partir de su notificación. De no hacerlo se dispondrá su archivo.

La SPDP analizará la solicitud para determinar si es de su competencia, y si corresponde, podrá abrir un término probatorio de treinta días, durante el cual se podrán aportar pruebas adicionales.

Dentro del término de veinte días, contados desde el vencimiento del término probatorio, la SPDP emitirá un informe que contendrá:

  1. la recomendación de inicio o no del procedimiento administrativo sancionador.
  2. la recomendación de las medidas correctivas a implementar.

Las medidas correctivas, así como el procedimiento administrativo sancionador, se regirán por lo dispuesto en el COA, en todo lo no establecido en la Ley Orgánica de Protección de Datos Personales, el Reglamento General a la Ley Orgánica de Protección de Datos Personales, las regulaciones que expida la SPDP y demás normativa aplicable.

El Reglamento entró en vigencia el 25 de octubre de 2024.

 

Rafael Serrano, Socio en CorralRosales
rserrano@corralrosales.com
+593 2 2544144

© CORRALROSALES 2024
NOTA: Este boletín tiene fines informativos. CorralRosales no se hace responsable de ninguna pérdida o daño resultante de haber actuado o dejado de actuar con base en la información contenida en este documento. Para cualquier situación específica, se recomienda obtener la opinión legal correspondiente.

CORRALROSALES