Ley orgánica de protección de datos personales. Segunda parte

Publicaciones

Ley orgánica de protección de datos personales. Segunda parte

En esta segunda entrega relativa a la Ley Orgánica de Protección de Datos Personales (“LOPDP”), publicada en el Quinto Suplemento del Registro Oficial Nº 459 del 26 de mayo del 2021, analizaremos, entre otros aspectos, a los sujetos involucrados en la aplicación de la mencionada normativa y su régimen sancionatorio.

Integrantes del sistema de protección de datos

A más del titular y el destinatario de los datos personales, se consideran como integrantes del sistema a los siguientes partícipes:

  1. Responsable del tratamiento de datos: Es la persona natural o jurídica, pública o privada, que decide sobre la finalidad y tratamiento de datos personales.

De acuerdo con la normativa, son sus principales obligaciones: (i) tratar los datos personales de acuerdo con la LOPDP; (ii) aplicar procesos de verificación y evaluar los requisitos y herramientas implementadas; (iii) implementar políticas de protección de datos; (iv) analizar y gestionar riesgos; (v) evaluar niveles de seguridad; y, (vi) mantener actualizado el Registro Nacional de Protección de Datos Personales.

  1. Encargado del tratamiento de datos: Es la persona natural o jurídica, pública o privada, que trata datos personales a nombre y por cuenta de un responsable del tratamiento de datos personales.

Tiene, básicamente, las mismas obligaciones y deberes que el responsable del tratamiento de datos.

  1. Autoridad de Protección de Datos Personales (“APDP”): Es el ente público de control y vigilancia encargado de supervisar la aplicación de la LOPDP. Su titular será el Superintendente de Protección de Datos.

Dentro de sus facultades está la promoción de códigos de conducta por sectores, industrias, empresas, etcétera, tomando en cuenta las necesidades específicas de cada grupo.

  1. Delegado de protección de datos: Es la persona natural encargada de informar al responsable o encargado sobre las obligaciones legales que deben cumplir conforme con la LOPDP y de supervisar su cumplimiento.

Este integrante del sistema será designado en ciertos casos puntuales, entre los que se encuentran: (i) cuando el tratamiento lo realicen entidades del sector público; o, (ii) cuando, por su volumen, naturaleza o finalidad, el tratamiento de datos requiera control permanente.

  1. Entidades de certificación: Si bien en estricto sentido no son integrantes del sistema de protección de datos, vale la pena destacar su existencia pues tienen la atribución de emitir certificaciones de cumplimiento de la LOPDP, realizar auditorías o certificar procesos de transferencias internacionales de datos. La calidad de entidad de certificación la confiere la Autoridad de Protección de Datos Personales.

Autorregulación

Es posible que los responsables y encargados de la protección de datos se adhieran a códigos de conducta, certificaciones o sellos de protección. En igual sentido, es posible que estos integrantes del sistema presenten a la APDP normas corporativas vinculantes en materia de transferencia internacional de datos aplicadas al ámbito de su actividad, siempre que cumplan determinadas condiciones establecidas en la LOPDP.

Registro Nacional de Protección de Datos Personales

Este registro deberá de ser mantenido por la APDP y será alimentado por los responsables del tratamiento de datos personales, quienes deberán reportar y actualizar la siguiente información: (i) identificación de la base de datos; (ii) datos de contacto del responsable y encargado del tratamiento de datos; (iii) finalidad del tratamiento de datos; (iv) naturaleza de los datos; (v) identificación de destinatarios; (vi) medios y herramientas de aplicación de LOPDP; y, (vii) tiempo de conservación de datos.

Transferencia internacional de datos personales

La transferencia internacional de datos personales es viable en el marco de la LOPDP. Como normal general, será posible siempre que los países receptores cuenten con niveles adecuados de protección. La APDP establecerá, mediante resolución, cuáles son los países que cuentan con este nivel de protección. Sin perjuicio de ello, también están permitidas bajo la LOPDP las transferencias a países no incluidos en dicho listado, siempre que existan garantías adecuadas para el titular, tales como: (i) estándar de cumplimiento sea igual o mayor al de la LOPDP; (ii) existencia de tutela efectiva del derecho de protección; y, (iii) derecho a solicitar reparación integral. Para los casos de transferencias internacionales a países distintos a los mencionados anteriormente, se requerirá autorización de la APDP.

La transferencia se deberá registrar en el Registro Nacional de Protección de Datos Personales.

Requerimiento directo del titular

El titular puede requerir al responsable del tratamiento o presentar peticiones o quejas en ejercicio de sus derechos respecto de sus datos personales. La falta de respuesta por parte del responsable faculta al titular para iniciar un reclamo administrativo ante la APDP.

Proceso administrativo y medidas correctivas

Los procesos administrativos bajo la LOPDP se sustanciarán de acuerdo al Código Orgánico Administrativo.

En caso de incumplimiento de las disposiciones de la LOPDP, se pueden aplicar, por parte de la APDP, medidas correctivas como lo son el cese del tratamiento, la eliminación de datos e imposición de medidas para el adecuado tratamiento. Estas medidas tiene como finalidad corregir, revertir o eliminar conductas contrarias a la LOPDP.

Infracciones y régimen sancionatorio

La LOPDP tipifica infracciones leves y graves dirigidas al responsable y al encargado del tratamiento de datos. Las sanciones dependen de la gravedad de la infracción:

  • Infracciones leves cometidas por servidores públicos: multa de entre 1 y 10 salarios básicos unificados (“SBU”).
  • Infracciones leves cometidas por el encargado o el responsable de datos del sector privado: multa de entre el 0.1% y 0.7% del volumen de negocio del ejercicio anterior[1].
  • Infracciones graves cometidas por servidores públicos: multa de entre 10 y 20 SBU.
  • Infracciones graves cometidas por encargado o responsable de datos del sector privado: multa de entre el 0.7% y 1% del volumen de negocio del ejercicio anterior.

Plazos de implementación

El régimen sancionatorio y la adecuación del tratamiento de datos previsto en la LOPDP serán aplicables y exigibles desde el 26 de mayo del 2023.

Consulegis Abogados

Tatiana Vernaza Gonzenbach

tvernaza@lex.ec

[1] Se entiende que el volumen de negocio son las ventas previa deducción del IVA y demás impuestos directamente relacionados con la operación económica.