Desde el año 2021, Ecuador cuenta con una Ley Orgánica de Protección de Datos Personales cuyo objeto es garantizar el derecho a la protección de datos personales, que incluye el acceso y decisión sobre la información y datos de este carácter, así como su correspondiente protección. En lo principal, esta ley regula las condiciones que se deben verificar para que el tratamiento de datos personales sea legítimo. De igual forma, regula las formas a través de las cuales el titular de los datos personales puede manifestar su voluntad para el tratamiento de sus datos.
Entre su alcance consta la protección de los siguientes derechos: 1) a la información; 2) de acceso; 3) de rectificación y actualización; 4) de eliminación; 5) de oposición; 6) a la portabilidad; 7) a no ser objeto de una decisión basada única o parcialmente en valoraciones automatizadas; 8) de consulta pública y gratuita ante el Registro Nacional de Protección de Datos Personales; 9) a la educación digital. De la misma forma, consagra categorías especiales de datos personales como los datos sensibles, los de niños, niñas y adolescentes, los de salud y los de las personas con discapacidad; y se refiere al tratamiento especializado de estos datos.
La aplicación de la LPDP incluye a toda persona natural o jurídica domiciliada en territorio ecuatoriano que procese datos personales, esto es independiente de su tamaño o sector de la economía a la que pertenezca. Por ello, casi la totalidad de entidades públicas y privadas deberán observar y dar estricto cumplimiento a esta norma. Cabe señalar que las empresas tuvieron un periodo de adaptación de 2 años a partir del 26 de mayo de 2021 adecuar sus procesos al contenido de la ley.
Respecto del ámbito de aplicación territorial se prevé que todo aquel tratamiento de datos personales que se realice en cualquier parte del territorio nacional porque el responsable o encargado se encuentre domiciliado en Ecuador. Sin embargo, existe una excepción de extraterritorialidad de la norma en los casos en que se realice tratamiento de datos personales de titulares que residan en el Ecuador por parte de un responsable o encargado no establecido en el Ecuador cuando exista (i) oferta de bienes y servicios a los titulares de datos personales, independientemente si existe o no pagos o (ii) control de su comportamiento en la medida en que este tenga su lugar en Ecuador.
Un tema de relevancia que ha incoporado la norma es el principio de responsabilidad proactiva y demostrada que forma parte del eje prinicipal de la LPDP. Este principio requiere una actitud diligente por parte de las organizaciones a la hora de cumplir con lo establecido, y además estar en todo momento en disposición de acreditar la implementación de mecanismos efectivos para la protección de los datos personales que les han sido encomendados. Por ello, el cumplimento de este prinicipio exige la continua evaluación y revisión de los procesos implantados por las compañías u organizaciones.
Otra figura de trascendental importancia que trae consigo la LPDP es la del Delegado de Protección de Datos (en adelante “DPO”). Esta figura se refiere a los agentes que serán los garantes del cumplimiento de todo lo dispuesto en la ley, quienes entre sus funciones están las de informar y asesorar al responsable de los requisitos exigidos por la normativa (compañías y organizaciones que tengan tratamiento de datos), supervisar el correcto cumplimiento de los mismos y cooperar con la Autoridad de Protección de Datos personales.
En cuanto a las sanciones por incumpliento a las disposiciones normativas, las multas por violar la normativa en materia de protección de datos podrían ascender a la cuantía entre el 0.7% y el 1% calculada sobre el volumen de negocios, correspondiente al ejercicio económico inmediatamente anterior al de la imposición de la multa.
La información aquí publicada no constituye consejo ni asesoría legal puntual, siendo su función meramente informativa
Lucas Salazar Salvador
Asociado
Imagen de Freepik
