El plazo para cumplir con la Ley de Protección de Datos Personales está cada vez más cerca

Por: Maribel Cristina Ordoñez y Camila Valdéz

Departamento de Protección de Datos

 

La Ley Orgánica de Protección de Datos Personales (LOPDP) establece que las organizaciones deben implementar todas sus disposiciones de medidas de seguridad y tratamiento de datos personales hasta el 26 de mayo de 2023 para no ser objeto de sanciones.


Meythaler & Zambrano Abogados ha realizado varios webinars exponiendo de forma clara y concisa las disposiciones de la ley, tal como lo hizo el 16 de marzo de 2022, en auspicio de la Cámara de Comercio Ecuatoriano Americana- AMCHAM.


Debido a la importancia que amerita el asunto, hermos realizado este artículo sobre las cuestiones que debe considerar para evitar sanciones en el futuro:
  1. Alcance de la normativa y personas responsables del manejo adecuado de datos personales.

  2. La relación entre tratamiento de datos y la mitigación de riesgos legales, económicos y reputacionales.

  3. Qué constituye tratamiento legítimo de datos personales y cuáles son los deberes en el tramiento de datos personales.

  4. Derechos de la persona natural cuyos datos son objeto de tratamiento.

  5. Sanciones por incumplimiento a la LOPDP.

 

Alcance de la normativa y personas responsables del manejo adecuado de datos personales


La LOPDP es aplicable a todas las personas, naturales o jurídicas, públicas o privadas que traten datos de personas naturales ecuatorianas o en territorio ecuatoriano. Según la Ley, las personas responsables de tratar estos datos son:

  1. Responsables de tratamiento de datos: Persona natural o jurídica, pública o privada, autoridad, u otro organismo que solo o con otros decide el fin y/o el tratamiento que se les va a dar a los datos.

  2. Encargados de tratamiento de datos: Persona que trata datos personales a nombre y por cuenta de un responsable de tratamiento de datos personales. En otras palabras, el delega de los responsables de tratamiento de datos.

  3. Delegado de protección de datos: Punto de contacto entre la Autoridad y la entidad responsable del tratamiento de datos. Esta persona debe informar al responsable y encargado sobre sus obligaciones legales y supervisar el cumplimiento normativo. Generalmente, son 4 los casos en los que debe existir un delegado:

  • Cuando el tratamiento se hace en el sector público

  • Cuando se requiera un control permanente y sistematizado

  • Cuando exista gran escala de categorías especiales de datos

  • Los casos que establezca la Autoridad

Los roles de estas personas son sumamente importantes. De la calidad de su gestión depende si la organización está cumpliendo o no con la normativa vigente. Por ello, los responsables y encargados deben estar muy al tanto de sus obligaciones y deberes para evitar situaciones en las que se deba responder administrativa, civil y penalmente.


La debida capacitación y formación sobre cómo implementar las medidas de seguridad adecuadas y necesarias para proteger los datos personales frente a cualquier riesgo, amenaza o vulnerabilidad es ESENCIAL. Por ello, nuestro estudio jurídico ha formado y capacitado a sus clientes sobre la materia.


La relación entre tratamiento de datos y la mitigación de riesgos legales, económicos y reputacionales


Para determinar el tratamiento de datos a implementarse es importante conocer la clasificación que hace la norma respecto de los datos personales. Los datos personales se clasifican en dos:

  1. Datos básicos: Información que permiten identificar a la persona, pero no son considerados como información reservada.

  2. Datos especiales: Información privada y reservada de las personas, como lo son los datos sensibles, datos de menores de edad y de personas discapacitadas, o los datos de salud y crediticios. El manejo de estos datos involucra mayores riesgos, por lo que existen mayores precauciones a tomar en cuenta.

Con base en lo anterior, las empresas deben realizar los siguiente:

  1. Análisis de riesgo, amenazas y vulnerabilidades para determinar las medidas de seguridad aplicables: Evaluación global de los tratamientos que se van a implementar con base en los riesgos detectados. Para el efecto, el responsable y el encargado del tratamiento de los datos personales deberán determinar las particularidades del tratamiento, de las partes involucradas, las categorías y el volumen de datos personales.

  2. Evaluación de impacto: Cuando se ha detectado un riesgo alto a la seguridad de los datos, debe necesariamente realizarse una evaluación de su impacto y establecer las medidas correctivas y preventivas necesarias para mitigar el riesgo. La evaluación de impacto también debe hacerse en los siguientes supuestos de ley:

  • Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas naturales

  • Tratamiento a gran escala de las categorías especiales de datos, o de los datos personales relativos a condenas e infracciones penales.

  • Observación sistemática a gran escala de una zona de acceso público.

Como se puede apreciar, dependiendo de la naturaleza de los datos, el ámbito, contexto y riesgos detectados, deberán tomarse distintas medidas de tratamiento de datos. Además, la efectividad del manejo de datos personales aporta a la buena reputación y confianza que los consumidores y clientes buscan y aprecian, por lo que una brecha de seguridad no solo puede afectar severamente la buena imagen, sino significar serias pérdidas económicas.


Para evitar riesgos legales y económicos, y daños a la reputación, es primordial contar con la debida asesoría para implementar las medidas organizativas, administrativas, técnicas y jurídicas adecuadas. Sobre este punto, en M&Z te podemos guiar.


Qué constituye tratamiento legítimo de datos personales y cuáles son los deberes en el tramiento de datos personales


Para actuar dentro del marco de la ley es importante conocer cuando procede acceder y usar datos personales. De acuerdo con la LOPDP, se legitima realizar un tratamiento de datos personales siempre y cuando se cumpla con una o más de los siguientes supuestos:

  1. Consentimiento del titular

  2. Cumplimiento de contrato o medidas precontractuales

  3. Obligación legal

  4. Orden judicial

  5. Intereses vitales

  6. Interés público

  7. Interés legítimo

  8. Información de acceso público

La LOPDP establece que una vez que el responsable o el encargado de tratamiento este legitimado para tratar los datos, se debe tener en consideración la confidencialidad, integridad y disponibilidad de los éstos, los cuales deben ser garantizados a través de medidas de seguridad aplicadas en las áreas técnicas, organizativas, legales y físicas. Todo esto con la finalidad de brindar protección a la información y evitar cualquier tipo de violación de seguridad. Además, la LOPDP establece dos deberes rectores que deben ser tomados en cuenta en todo momento:

  1. Principio de protección de datos personales por diseño y por defecto: El deber del responsable del tratamiento de tener en cuenta, en las primeras fases de concepción y diseño del proyecto, que determinados tipos de tratamientos de datos personales entrañan una serie de riesgos para los derechos de los titulares en atención al estado de la técnica, naturaleza y fines del tratamiento. Con base en estos riesgos, se deberá implementar las medidas técnicas, organizativas y demás necesarias, para garantizar la seguridad de los datos.

  2. Responsabilidad proactiva: Este debe está detallado en todo un capítulo de la LOPDP, el cual incentiva a los responsables de ir más allá de las disposiciones de esta ley para asegurar la protección de los datos personales.

Derechos de la persona natural cuyos datos son objeto de tratamiento


Las empresas, responsables y encargados de tratamiento de datos deben garantizar debidamente los siguiente derechos de los titulares durante su gestión, de lo contrario cabe sanción:

  1. Derecho a la información

  2. Derecho de acceso

  3. Derecho de rectificación y actualización

  4. Derecho de eliminación

  5. Derecho de oposición

  6. Derecho de portabilidad

  7. Derecho de suspensión de tratamiento

  8. Derecho a no ser objeto de decisiones automatizadas

  9. Derecho de consulta

  10. Derecho a la educación digital

En caso de que se llegase a vulnerar los datos de una persona, esta vulneración de seguridad debe ser notificada a la autoridad de protección de datos personales y al titular de los datos, en un término de cinco (5) días y tres (3) días, respectivamente.


Las sanciones por incumplimiento a la LOPDP


En caso de que ocurra una violación de seguridad o no se cumpla con determinadas disposiciones legales, se sancionará al responsable y al encargado de tratamiento que hayan incumplido la norma o que bajo su responsabilidad se haya vulnerado los derechos de los titulares de datos.


En estos casos, dependiendo de la gravedad, se establecerán multas entre el 0.1% al 1% del volumen de negocios correspondiente al ejercicio económico anterior.


Se entiende por volumen de negocio a el resultado de la venta de productos o servicios del último ejercicio, previa la deducción del IVA y demás impuestos.

 

Meythaler & Zambrano Abogados cuenta con un equipo multidisciplinario de abogados y técnicos con las herramientas y recursos necesarios para ayudarle a cumplir con las disposiciones de la LOPDP a tiempo y sin estrés. ¿Desea sabér más?