La Ley Orgánica de Protección de Datos Personales entró en vigencia el 26 de mayo del 2021 en Ecuador y se otorgó dos años a las empresas para adecuarse a las normativas de esta ley sin recibir ningún tipo de sanciones administrativas.
Este plazo previamente establecido vence el 26 de mayo de este 2023 y a partir de ese momento las entidades públicas y privadas podrán ser multadas por el régimen sancionatorio y las medidas correctivas establecidas por infringir la norma hasta con el 1% de su facturación total.
El objetivo de esta ley es garantizar el derecho que tienen todos los ciudadanos ecuatorianos a que se resguarden sus datos personales, a poder acceder libremente a dicha información y decidir sobre el manejo de la misma, es decir, busca que las empresas cuenten y cumplan con los sistemas y procedimientos que eviten el mal uso o filtración de la información de sus usuarios o clientes, de manera que estos datos se manejen de forma transparente y solo para los fines directa y explícitamente acordados.
Para ello, la Ley regula, prevé y desarrolla principios, derechos, obligaciones y mecanismos de tutela en base a ello.
Los derechos que tiene cada ciudadano en base a sus datos e información, son los siguientes: Derecho a la información, derecho al acceso, derecho de rectificación y actualización, derecho de eliminación, derecho de oposición, derecho de portabilidad, derecho a la suspensión del tratamiento, derecho a no ser objeto de una decisión basada únicamente en valoraciones automatizadas y derecho de consulta.
Además, es importante tener en cuenta que por “datos personales” se entiende que son todos los datos que identifican o permiten identificar a una persona natural de manera directa o indirecta, para mayor comprensión de los objetivos de esta ley.
El cambio que esta ley produce para las empresas, independientemente de si se trata de entidades públicas o privadas, es que antes de que se cumpla el plazo del período de gracia de dos años que se estableció una vez entró en vigor la ley, estas deben asegurarse del cumplimiento debido de esta y las normativas que establece.
Todas las empresas que manejen datos personales de terceros fuera del ámbito personal y familiar, aplican al cumplimiento de esta ley. Es decir, siempre que se utilice esta información para el giro de negocio de estas compañías.
La ley es transversal a todas las empresas, sin embargo, las entidades que pueden ser más afectadas o sensibles a esta norma son las del sector de salud, financiero y educación, por el tipo de información que manejan.
Adicionalmente, los profesionales en libre ejercicio también están obligados a cumplir con la ley, si sus bases de datos o archivos son usados con fines que exceden el ámbito personal y familiar.
La Superintendencia de Protección de Datos Personales, que es la entidad y autoridad de control que podrá determinar incumplimientos a la norma. Y se ha destacado que esta, debe tener un perfil absolutamente técnico, no político y de especialistas en el ámbito.
Sobre las sanciones y multas, una infracción leve, por ejemplo, podrá acarrear una multa de hasta 0,7% de la facturación de la empresa. Mientras que una grave, puede ser hasta del 1% de su facturación.
Por otro lado, las responsabilidades de orden civil o penal por incumplimientos a la norma ya estaban en vigencia desde que entró en vigor la Ley, como los casos de indemnizaciones por daños y perjuicios a personas afectadas por el mal uso de datos personales.
Cabe destacar que cada sector u organización tiene y responde a necesidades diferentes, no hay un único proceso o receta estandarizada. Teniendo en cuenta esto, el proceso de adaptación a la ley que debe cumplir cada empresa, es el siguiente, se puede dividir en en 3 etapas:
- La realización de un diagnóstico del nivel de cumplimiento de la organización de Ley de Protección de Datos Personales.
- La implementación de las medidas que deben adoptar para el cumplimiento de esta norma.
- Designación de un delegado de Protección de Datos, en especial todas las entidades públicas.
Las empresas públicas deben contar con este delegado, debido a que manejan volúmenes considerables e importantes de información de los ciudadanos. Y en general, aplica también a toda empresa que maneje un volumen relevante de datos personales.
Este delegado debe establecer el reglamento a la ley con claridad y se dedicará a un trabajo de monitoreo, actúa como observador y ha de recomendar el buen uso de la protección de datos personales.
Una vez hecho esto, estas son las medidas que debe implementar cada empresa o compañía:
- Política de protección de datos, es decir, una guía de cómo deben ser manejados los datos personales dentro de la organización.
- Políticas de seguridad de la información.
- Cláusulas de consentimiento por parte de los titulares para el uso de sus datos.
- Cláusulas informativas en la que se detallen a los titulares el uso que se dará a sus datos.
- Procesos para garantizar el cumplimiento de derechos de protección de datos.
- Capacitaciones para una adecuada gestión de los datos personales.
- Medidas técnicas, organizativas y de seguridad para proteger los datos ante cualquier riesgo, amenaza o vulnerabilidad.
- Cláusulas contractuales de protección de datos, entre los responsables y los encargados del tratamiento de datos personales.
- Notificaciones de brechas de seguridad cuando exista un incidente de seguridad, tanto a la autoridad de control como a los titulares de los datos.
- Evaluación del impacto del tratamiento de datos personales.
Es crucial que las empresas tanto del sector público como privado tengan en consideración todo lo establecido por La Ley Orgánica de Protección de Datos Personales, que organicen y lleven a cabo todos los procesos de adaptación y medidas necesarias y así garantizar a los ciudadanos del Ecuador el uso correcto, seguro y explícitamente acordado de sus datos e información como está establecido y a su vez para evitar sanciones que puedan perjudicarles.
Por último, destacamos que para mayor información, capacitación y asesoría en este ámbito, DEXLAW: Asesores Legales puede asesorar y brindar sus servicios legales a las empresas que lo requieran ¡Evita sanciones! ¡Contáctanos!
