Designación del Superintendente de Protección de Datos Personales

El 28 de marzo de 2024 el Consejo de Participación Ciudadana y Control Social (CPCCS) designó a Fabrizio Roberto Peralta Díaz, Superintendente de Protección de Datos para el periodo 2024-2029.

Durante la exposición del plan de trabajo, Peralta destacó su experiencia en materia de protección de datos personales y planteó las siguientes orientaciones:

i.    Implantar una visión educadora en la Autoridad.

ii.    Generar relaciones interinstitucionales formando conciencia sobre las medidas de seguridad administrativas, jurídicas y técnicas relativas a la protección de datos personales.

iii.    Crear intendencias técnicas que se encargarán del registro, planificación política, y sanciones.

iv.    Fomentar la prevención, protección y transparencia como pilares fundamentales.

v.    Utilizar los recursos de acuerdo con lo establecido en la Ley Orgánica de Transparencia y Acceso a la Información.

El CPCCS deberá remitir la resolución de designación del Superintendente a la Asamblea Nacional para su posesión.

 

NOTA: EL texto anterior ha sido elaborado con fines informativos. CorralRosales no es responsable de ninguna pérdida o daño ocasionado como consecuencia de haberse actuado o dejado de actuar en base a la información contenida en este documento. Cualquier situación determinada adicional requiere la opinión y concepto específico de la firma.

 

CORRALROSALES

Análisis de riesgos y evaluación de impacto de datos

Todo tratamiento de datos personales implica un riesgo. Se considera como tratamiento a toda actividad que se realice con datos personales, incluyendo la recolección, conversión, uso y eliminación. El riesgo nace de la probabilidad de que se produzcan eventos negativos con los datos personales, tales como su robo, sustracción, alteración o eliminación.

Quienes lleven a cabo un tratamiento de datos personales deben identificar claramente los riesgos a los que se enfrenta, para poder mitigarlos, gestionarlos o asumirlos, a través de la adopción de diferentes medidas de seguridad. La identificación de los riesgos se la puede realizar mediante el análisis de riesgo, que ayudará a identificar los tratamientos de alto riesgo. Por su lado, las evaluaciones de impacto (en adelante “EIPD”) permitirán, sobre estos tratamientos calificados como de alto riesgo, evaluar posibles vulneraciones de derechos y los mecanismos para reducirlas.

La Ley Orgánica de Protección de Datos Personales (en adelante, la “LOPDP”)[1] estableció la obligación de contar con una metodología de riesgo y realizar una EIPD, cuyo objetivo es prever los impactos y riesgos en la privacidad de los titulares. Por tanto, la LOPDP exige que se implementen medidas de seguridad y control para garantizar los derechos y libertades de las personas[2].

I. ¿Qué es una EIDP?

El Reglamento a la Ley Orgánica de Protección de Datos Personales[3] (en adelante, el “Reglamento”), en concordancia con lo que el Grupo de Trabajo del Artículo 29[4] señala sobre las EIPD, define a la evaluación de impacto como un “[…] análisis preventivo, de naturaleza técnica, mediante el cual el responsable valora los impactos reales del tratamiento de datos, a efecto de determinar y mitigar posibles riesgos […][5].

II. ¿Cómo sé si se debe realizar una EIPD?

Según la LOPDP, una EIPD es obligatoria cuando el tratamiento de datos “conlleve un alto riesgo para los derechos y libertades del titular”.  El artículo 42 de la LOPDP recoge algunos ejemplos de cuándo el procesamiento de datos puede generar altos riesgos:

1. Evaluación sistemática y exhaustiva de aspectos personales de personas naturales, que se base en un tratamiento automatizado (como la elaboración de perfiles) y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para tales personas

Por ejemplo, una institución financiera que investiga a sus clientes en una base de datos de referencia de crédito; o un programa de computadora que usa el historial de comportamiento de las personas privadas de libertad para determinar automáticamente si se les otorgará la libertad condicional[6].

2. Tratamiento a gran escala de las categorías especiales de datos a los que se refiere el artículo 25 de la LOPDP[7], o de los datos personales relativos a condenas e infracciones penales

El tratamiento a gran escala es aquel que afecta a una gran cantidad de datos y un número elevado de titulares, procedentes de una amplia diversidad geográfica[8]. El artículo 4 del Reglamento ofrece algunos ejemplos de tratamientos de gran escala:

  • Datos de pacientes de hospitales e instituciones que conforman el Sistema Nacional de Salud.
  • Datos de desplazamiento de personas que utilizan el sistema de transporte público.
  • Datos de geolocalización en tiempo real.
  • Datos de clientes de compañías de seguros, agentes, prestadores o de instituciones financieras.
  • Datos para publicidad comportamental por un motor de búsqueda.
  • Datos de contenido, tráfico, ubicación por proveedores de servicios de telefonía o internet.

3. Observación sistemática a gran escala de una zona de acceso público

Este tipo de observación[9] es un criterio para determinar el alto riesgo, porque los datos personales pueden ser recogidos en circunstancias en las que los titulares pueden no ser conscientes de quién está recopilando sus datos y cómo se usarán. Además, puede resultar imposible para las personas evitar ser objeto de este tipo de tratamiento en espacios públicos (o espacios de acceso público). Como ejemplo, se señala una cámara colocada en una vía pública para registrar y monitorear el comportamiento de los conductores.

A partir de estos ejemplos, se debe evaluar si es probable que un tratamiento de datos personales genera un alto riesgo. Esto es particularmente importante, puesto que no ejecutar una EIPD cuando resulte obligatoria conforme lo determinado por la LOPDP y el Reglamento podría constituir una infracción grave de la LOPDP y dar lugar a una multa de entre el 0.7% y el 1% de los ingresos correspondientes al ejercicio económico inmediatamente anterior al de la imposición de la multa.

III. ¿Qué debe contener una EIDP?

Una EIPD se debe realizar antes del inicio de las actividades de tratamiento de datos personales. Por ende, las empresas, como responsables del tratamiento deberían elaborar su EIPD antes y durante la planificación inicial de sus nuevos proyectos.  En el artículo 32 del Reglamento, en concordancia con la experiencia internacional[10], se determina que la EIPD deberá ser presentada ante la autoridad de protección de datos y que deberá contener los siguientes puntos:

1. Descripción del tratamiento;

2. Evaluación de la necesidad y la proporcionalidad del tratamiento;

3. Identificar y evaluar los riesgos para los derechos y libertades de los titulares; y,

4. Medidas utilizadas para reducir y eliminar riesgos descritos en el punto iii.

La EIPD debe ser un proceso sistemático que aplique metodologías y métodos de ejecución objetivos, repetibles y comparables; en consecuencia, una EIPD se tiene que estructurar en diferentes fases. La LOPDP determina como una de las obligaciones de los responsables del tratamiento de datos personales utilizar metodologías adecuadas para el análisis y gestión de riesgos.

En resumen, la LOPDP y el Reglamento establecen ciertos ejemplos y criterios para determinar en qué casos se debe realizar de manera obligatoria una EIPD. Sin embargo, habrá que esperar las actuaciones de la Superintendencia de Protección de Datos, cuyo titular todavía no se nombra, para conocer la interpretación y desarrollo de los conceptos en la aplicación práctica de la LOPDP y el Reglamento.

 

[1] La LOPDP entró en vigor el 26 de mayo de 2021 y su régimen sancionatorio es de plena aplicación desde el 26 de mayo de 2023.

[2] El proceso de EIPD no es nuevo en el Derecho Comparado, en la UE se encuentra establecido en el Reglamento General de Protección de Datos. Además, se contempla en los ordenamientos jurídicos de Australia, México, Canadá, Japón, Sudáfrica, Corea del Sur, Estados Unidos y Nueva Zelanda, entre otros.

[3] Emitido mediante Decreto Ejecutivo número 904 de 6 de noviembre de 2023.

[4] Grupo de trabajo del artículo 29. (2017). Directrices sobre la evaluación de impacto relativa a la protección de datos. https://www.aepd.es/sites/default/files/2019-09/wp248rev01-es.pdf

[5] Artículo 29 del Reglamento.

[6] Agencia Española de Protección de Datos. (2021). Gestión del riesgo y evaluación de impacto en tratamientos de datos personales. https://www.aepd.es/es/documento/gestion-riesgo-y-evaluacion-impacto-en-tratamientos-datos-personales.pdf

[7] Datos de salud, sensibles, de niñas, niños y adolescentes y de personas con discapacidad.

[8] Artículo 29 del Reglamento.

[9] El Reglamento interpreta «sistemático» con uno o más de los siguientes significados:

  • preestablecido, organizado o metódico;
  • que tiene lugar como parte de un plan general de recogida de datos;
  • llevado a cabo como parte de una estrategia.

[10] Directrices sobre la evaluación de impacto relativa a la protección de datos del Grupo de trabajo del artículo 29, Guía de Evaluación de Impacto en la Protección de Datos de la Autoridad Argentina de Protección de Datos, y, Guía para la elaboración de evaluaciones de impacto a la privacidad del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales.

 

Christian Razza
Asociado en CorralRosales
crazza@corralrosales.com

Rafael Serrano
Socio en CorralRosales
rserrano@corralrosales.com

Ley de Protección de Datos Personales

Ley de Protección de Datos Personales - CorralRosales - Abogados Ecuador
La Ley de Protección de Datos del Ecuador, fue aprobada por el ejecutivo, sin observación alguna.

Se trata de la primera ley respecto de esta materia, por lo que marcará un cambio radical en el tratamiento de datos personales y mecanismos de seguridad de datos personales.

La Ley de Protección de Datos Personales cuenta con 77 artículos, divididos en 12 capítulos. Los principales elementos y obligaciones son los siguientes:

¿Quieres recibir nuestros boletines con informaciones como la que acaba de leer?
Pulsa aquí y suscríbete.

NOTA: El texto anterior ha sido elaborado con fines informativos. CorralRosales no es responsable de ninguna pérdida o daño ocasionado como consecuencia de haberse actuado o dejado de actuar en base a la información contenida en este documento. Cualquier situación determinada adicional requiere la opinión y concepto específico de la firma en Quito / Guayaquil, Ecuador.

CORRALROSALES

El Universo – Cómo cuidarse de los ladrones de datos

el-universo-como-cuidarse-de-los-ladrones-de-datos-abogados-ecuador

DETALLES

FECHA: 26-08-2020

PROFESIONALES EN LA NOTICIA: 

-Rafael Serrano

MEDIO: El Universo

La revista del periódico El Universo ha publicado un artículo en el que participa como entrevistado Rafael Serrano Barona, asociado de CorralRosales, sobre cómo cuidarse de los ladrones de datos, cada día más comunes en internet. No es difícil conocer a alguien -o tú mismo- que haya sufrido un ataque virtual denominado phishing, término utilizado para referirnos a uno de los métodos más utilizados en la era digital para estafar a usuarios de internet y obtener así información confidencial, como una contraseña o algo más grave, información bancaria.

Cuando se maneja tanta información en la red, en ocasiones nos es más complicado reconocer a los ladrones de datos que utilizan la técnica comentada, pero existen unas preguntas que debemos hacernos siempre para averiguar quién está detrás del SMS, mail o mensaje de redes sociales que hemos recibido: «¿coincide el remitente con el contenido del mensaje?, ¿se preguntan cuestiones sensibles?, ¿el encabezamiento está bien o es incorrecto?, ¿realmente el receptor tiene una cuenta en la entidad que supuestamente manda el correo?». Respondiendo a las preguntas anteriores el usuario podrá darse cuenta si está siendo víctima de phishing.

Otra cuestión a vigilar es el dominio al que pertenece la página web a la que vamos a acceder. Si está compuesta por números tiene más posibilidades de ser un engaño y no debemos acceder a ella bajo ningún concepto. Lo mismo ocurre con links que no contienen palabras relacionadas con la información que se va a encontrar en él.

Especial cuidado se debe tener también con los archivos adjuntos. «Sobre todo formatos de archivos directamente ejecutables como “.exe”, “.bat” o “.cmd” son especialmente peligrosos. También en el caso de archivos de formato Office (.docx, .xlsx o .pptx), que pueden contener macros, habría que tener cuidado».

Nuestro asociado Rafael Serrano, a su vez vicepresidente de la Asociación Ecuatoriana de Protección de Datos, explica en este artículo qué ocurre con la protección de datos en Ecuador, ya que en este país no existe una Ley de Protección de Datos que regule estas actividades, lo que facilitaría que los ladrones de datos actuasen.

«Actualmente se encuentra tramitando en la Asamblea un proyecto de ley que está siendo analizado en la Comisión de Soberanía, Integración, Relaciones Internacionales y Seguridad Integral. El Proyecto de Ley fue presentado por el presidente de la República Lenín Moreno». Añade: “El Proyecto de Ley es bastante completo. Sigue los lineamientos del Reglamento General de Protección de Datos europeo, que a su vez es la normativa más importante en la materia”.

Al preguntar a Serrano acerca de la necesidad de una ley de estas características, detalla la importancia de contar con esta legislación ya que «recientes casos de filtraciones de datos de los ecuatorianos han demostrado la falta de control y regulación en esta materia. Adicionalmente, la Constitución aprobada en 2008 reconoce el derecho autónomo a la protección de datos (art. 66 #19). Hasta la actualidad, no tenemos una normativa que regule y desarrolle de manera adecuada el ejercicio del mencionado derecho”.

De momento, solo queda esperar.

Si quiere leer el artículo completo, pulse aquí

Ekos – Protección de Datos Personales: medios legítimos para el tratamiento de los datos

proteccion-datos-personales-ekos-ecuador-abogados

DETALLES

FECHA: 16-08-19

PROFESIONALES EN LA NOTICIA: 

-Rafael Serrano
-Michael Wollman

MEDIO: Revista Ekos

La revista Ekos publica en tanto en sus páginas (pag. 60) como en su portal web un artículo de nuestro Asociado Rafael Serrano y el Asistente Michael Wollmann, en el que enumeran los medios legítimos que se deben utilizar para el tratamiento de los datos personales. Esta revisión viene argumentada por la próxima expedición de la Ley de Protección de Datos Personales, que obligará a que las compañías adapten sus procedimientos por los cuales toman los datos de sus consumidores y clientes.

«El proyecto de Ley tiene como principal objetivo regular el ejercicio del derecho de protección de datos personales, la autodeterminación informativa y la circulación de este tipo de datos (Art. 1). El principio de legitimidad (Art. 9 ). establece las condiciones o situaciones en las cuales es legitimo y lícito la recolección y tratamiento de datos personales por parte de las empresas», afirman Serrano y Wollmann.

Según nuestros especialistas, los cinco puntos que establecen cuando es legítimo la recolección de datos son: el consentimiento del titular de los datos personales para su tratamiento con una finalidad específica; la obligación legal para el tratamiento; la relación contractual, los intereses vitales del titular y la orden de una autoridad o resolución de autoridad competente.

«Una empresa puede realizar el tratamiento de datos de un individuo con quien tenga una relación contractual. La limitación a este tratamiento está relacionada a los datos necesarios para el cumplimiento de las obligaciones contractuales y no podrán exceder los límites establecidos en el contrato», explican sobre la relación contractual, mientras que sobre las ordenes judiciales comentan que si «a través de una sentencia o una resolución de la autoridad competente se ordena la entrega o el tratamiento de datos personales, la empresa estará obligada a hacerlo, sin afrontar consecuencias negativas».

Si quieres leer el artículo completo, pulsa aquí