Reglamento General de la Ley Orgánica de Protección de Datos Personales

Mediante Decreto Ejecutivo No. 904, de 06 de noviembre de 2023, se expidió el Reglamento General a la Ley Orgánica de Protección de Datos Personales.  A continuación, detallamos las disposiciones más importantes:

¿A quiénes aplica?

A todas las personas naturales y jurídicas, nacionales y extranjeras, del sector público y privado, que realicen tratamiento de datos personales como responsables o encargados, en territorio ecuatoriano o fuera de éste, siempre que les resulte aplicable la legislación nacional.

Responsables y/o encargados del tratamiento de datos de residentes ecuatorianos fuera del territorio nacional.

Para estos casos, se establece la obligatoriedad de designar un Apoderado Especial en Ecuador, a fin de que comparezca a nombre de su representado ante instancias administrativas o judiciales, exceptuándose de ello, en caso de que el tratamiento de datos sea ocasional y no de gran escala.

Sobre la obtención y revocatoria del consentimiento.

El responsable del tratamiento de datos deberá obtener el consentimiento del titular en todos los casos y deberá ser demostrado cuando sea requerido por la autoridad competente.  En caso de incapaces o menores de edad, será necesario el consentimiento de sus representantes legales.

El responsable deberá contar con un proceso sencillo para que el titular, en cualquier momento, pueda revocar o retirar su consentimiento para el tratamiento de sus datos.

Tratamiento legítimo.

Se entenderá que el tratamiento es legítimo cuando:

• Está basado en el cumplimiento de una misión realizada en interés público o en ejercicio de poderes públicos.
• Si es necesario para proteger un interés esencial para la vida del interesado o de otra persona (situaciones humanitarias).
• Si es necesario para satisfacer un interés legítimo del responsable del tratamiento o de un tercero.

Eliminación y excepción.

Se recalca la obligatoriedad de eliminar los datos una vez cumplida la finalidad, cuando no exista disposición legal, o por cumplimiento de una obligación legal.  No obstante, esta eliminación no aplicará cuando se traten de datos relacionados a interés público en el ámbito de salud pública y privada, en materia estatal, seguridad, laboral, educación y para el ejercicio de reclamaciones. 

Medios para que el titular ejerza sus derechos.

Se permite la habilitación de herramientas o canales informáticos para receptar o atender solicitudes de los titulares, mismas que deberán constar de: nombres y apellidos, descripción de los datos personales y de lo que solicita, derechos que desea ejercer, acompañado de los documentos que acrediten su identidad.  En caso de que el titular encuentre motivos para creer que se han vulnerado sus derechos, o no haya recibido respuesta, podrá interponer su reclamo ante la Autoridad de Protección de Datos. 

Datos de fallecidos, crediticios y de adolescentes a partir de 15 años.

En caso de ejercer derechos de personas fallecidas, se deberá acreditar la comparecencia a través de los instrumentos legales reconocidos por la ley.  Por su parte, el tratamiento de datos crediticios respecto al cumplimiento o incumplimiento de obligaciones será lícito.  Finalmente, en caso de adolescentes a partir de los 15 años, éstos podrán otorgar su consentimiento para el tratamiento de sus datos personales.

Transferencia de datos a terceros.

La transferencia de datos personales se puede realizar siempre que se cuente con el consentimiento previo del titular, y cuando sea para el cumplimiento de fines relacionados con las funciones legítimas del responsable y del tercero.

Responsables del tratamiento.

Los responsables del tratamiento de datos deberán demostrar que han aplicado las medidas apropiadas para el cumplimiento de los derechos, para lo cual se establecen técnicas e indicadores para demostrar la eficacia.

Además, se permite la existencia de responsables conjuntos cuando se trata de mismos fines y medios de tratamiento de datos, debiendo definir sus responsabilidades a través de un contrato; sin perjuicio de que, ante la Autoridad de control y de los titulares, su responsabilidad sea solidaria.

Registro de Actividades de Tratamiento (RAT)

Se establece la obligación de llevar un registro de forma escrita o electrónica, de las actividades de tratamiento de datos personales a los responsables que tengan 100 o más trabajadores, o que, teniendo menos de 100 trabajadores, consideren que el tratamiento pueda evidenciar riesgo para los derechos y libertades de los titulares, no sea un tratamiento ocasional, o incluya categorías especiales de datos personales.

Relación entre el Responsable y el Encargado del tratamiento.

Deberá regirse por un contrato en el cual se detallen las instrucciones encomendadas y las medidas técnicas y organizativas adecuadas. El Encargado es responsable de asistir al Responsable y realizar todas las acciones necesarias para cumplir con un tratamiento de datos adecuado.

Por otro lado, en Encargado podrá contratar a un tercero para complementar la prestación del servicio al Responsable, mismo que deberá cumplir con las instrucciones del tratamiento de datos establecidas por el Responsable y Encargado.  Después de la relación contractual, el Encargado está obligado a devolver o eliminar todos los datos personales manejados, destruyendo todas las copias existentes. 

Delegado de Protección de Datos.

El Responsable deberá tener un Delegado encargado de asesorar, velar y supervisar el cumplimiento de las obligaciones legales del responsable y encargado, el cual podrá ser contratado bajo la figura de relación de dependencia o contrato de prestación de servicios. 

En casos de grupos empresariales, se podrá designar a un único delegado, siempre que pueda realizar todas las actividades y no se generen conflictos de intereses.

Los requisitos para ser Delegado son los siguientes:

• Gozar de derechos políticos.
• Ser mayor de edad.
• Tener título de tercer nivel en Derecho, Sistemas de Información, de Comunicación, o de Tecnologías.
• Acreditar experiencia profesional de por lo menos cinco años.

Certificación.

El Reglamento establece medidas técnicas, jurídicas, administrativas y organizativas para cumplimiento del Responsable del tratamiento, entre ellas, medidas de protección de datos desde el diseño, medidas de protección de datos por defecto, mecanismos de autorregulación y su registro; y, con ello, se establecen disposiciones sobre Certificaciones destinadas a determinar el grado de cumplimiento de los mecanismos de autorregulación, siendo responsabilidad de la Autoridad de Protección de Datos Personales, emitir y actualizar los parámetros de evaluación a los que deberán someterse los responsables y encargados para obtener dicha Certificación.

Códigos de Conducta.

Las personas naturales o jurídicas, asociaciones, gremios o grupos de empresas podrán presentar ante la Autoridad de Protección de Datos, códigos de conducta para su respectiva aprobación, en los cuales conste la forma en cómo se tratarán los datos personales de acuerdo a la regulación vigente.

Transferencia o comunicación internacional de datos.

Se establece la obligatoriedad de la Autoridad de Protección de Datos Personales, de determinar, mediante una resolución administrativa, los países, organizaciones o personas jurídicas que cuentan con adecuados niveles de protección para la transferencia de datos.  De igual manera, se establecen regulaciones para los casos de transferencia internacional mediante garantías adecuadas, para países o territorios que no hayan sido calificados por la autoridad respecto al nivel adecuado de protección.

Finalmente, se establecen disposiciones sobre la Autoridad de Protección de Datos, entre ellas, sus atribuciones, mecanismos de control, registros nacionales y régimen sancionatorio.

El boletín de POLILEGAL S.A. es meramente informativo y no puede ser utilizado como asesoría u opinión legal.

POLILEGAL S.A.
Noviembre 2023