El 6 de noviembre de 2023 mediante Decreto Ejecutivo No. 904 expedido por el Presidente de la República, se emitió el Reglamento de la referencia. Las disposiciones más importantes se resumen a continuación:
- Sobre las definiciones: El Reglamento incorpora definiciones relevantes para la aplicación de la Ley Orgánica de Protección de Datos Personales, tales como “tratamiento a gran escala”, el cual comprende el tratamiento de datos que afecta a un gran número de titulares. Para determinar que existe un “tratamiento a gran escala” se deberá considerar el número de titulares, el volumen y variedad de datos, la duración o permanencia de la actividad de tratamiento y el alcance geográfico, tales como: a) Datos de pacientes de hospitales e instituciones de salud, b) Datos de desplazamiento de personas que utilizan el sistema de transporte público, c) Datos de geolocalización en tiempo real. d) Datos de clientes de compañías de seguros o de instituciones financieras, e) Datos para publicidad comportamental por un motor de búsqueda, f) Datos de contenido, tráfico y ubicación por proveedores de servicios de telefonía o internet.
- Sobre las obligaciones de los responsables y encargados que se encuentren fuera del territorio ecuatoriano: Los responsables y encargados del tratamiento de datos personales que no estén establecidos en Ecuador y que traten datos personales de residentes en Ecuador deberán designar un apoderado especial en el país. Dicho poder deberá ser otorgado con amplias facultades y sobre todo la facultad suficiente para comparecer a procesos judiciales y extrajudiciales del mandante.
- Sobre la evaluación del impacto el tratamiento de datos personales: Se debe realizar una evaluación del impacto del tratamiento de datos personales cuando se identifique que dicho tratamiento conlleva un alto riesgo para los derechos y libertades de su titular. Se define a la evaluación de impacto como un análisis preventivo mediante el cual, el responsable, valora el impacto real del tratamiento de datos y deberá ser presentada ante la Autoridad de Protección de Datos (Superintendencia) observando determinados requisitos.
- Sobre la obligación de registro de actividades de tratamiento: Deberán contar con un Registro de Actividades de Tratamiento, los responsables del tratamiento de datos personales que cuenten con 100 o más colaboradores.
- Sobre la actuación del Delegado de Protección de Datos (DPO): Se puede delegar a aquellas personas que tengan título de tercer nivel en Derecho, Sistemas de Información, de Comunicación o de Tecnologías y a su vez que acrediten experiencia profesional de mínimo 5 años en cada sector donde ejecutan sus actividades. La forma de contratación y otros detalles constan en la norma.
- Sobre la responsabilidad conjunta de los responsables del tratamiento de datos: Son responsables del tratamiento de datos quienes tengan los mismos fines y medios, y definirán sus tareas y responsabilidades en materia de protección de datos a través de un contrato, al que los titulares de los datos podrán tener acceso si así lo requieren.
- Sobre la transferencia de datos a terceros: La transferencia de datos personales a terceros requiere autorización y/o consentimiento del titular, pero el Reglamento trae consigo una excepción a la regla y es que previo a realizar la transferencia, el encargado de los datos podrá omitir el consentimiento en caso de confusión o disociación de los datos en el sentido en que no se demuestre con claridad a quién pertenece. Los derechos de rectificación, actualización, oposición y eliminación serán atribuibles al tercero que adquiere los datos personales. En virtud de ello, el titular podrá interponer cualquiera de estas medidas ante el encargado como hacia el tercero que adquirió dichos datos.
- Sobre las vulneraciones de seguridad: Se deben notificar de forma obligatoria las vulneraciones de seguridad a la Autoridad de Protección de Datos (Superintendencia) y a la Agencia de Regulación y Control de las Telecomunicaciones (ARCOTEL): (i) Cuando los datos personales fueron destruidos, no existen o dejan de estar disponibles para el responsable; (ii) Cuando los datos personales fueron alterados, corrompidos o no son íntegros; (iii) Cuando el responsable ha perdido el control o acceso, o los datos personales ya no están en su poder; y (iv) Cuando el tratamiento no ha sido autorizado o es ilícito, incluyendo la divulgación o acceso no autorizados por parte de destinatarios.
La información aquí publicada no constituye consejo ni asesoría legal puntual, siendo su función meramente informativa.
Lucas Salazar Salvador
Asociado