En esta segunda entrega relativa a la Ley Orgánica de Protección de Datos Personales (“LOPDP”), publicada en el Quinto Suplemento del Registro Oficial Nº 459 del 26 de mayo del 2021, analizaremos, entre otros aspectos, a los sujetos involucrados en la aplicación de la mencionada normativa y su régimen sancionatorio.
Integrantes del sistema de protección de datos
A más del titular y el destinatario de los datos personales, se consideran como integrantes del sistema a los siguientes partícipes:
De acuerdo con la normativa, son sus principales obligaciones: (i) tratar los datos personales de acuerdo con la LOPDP; (ii) aplicar procesos de verificación y evaluar los requisitos y herramientas implementadas; (iii) implementar políticas de protección de datos; (iv) analizar y gestionar riesgos; (v) evaluar niveles de seguridad; y, (vi) mantener actualizado el Registro Nacional de Protección de Datos Personales.
Tiene, básicamente, las mismas obligaciones y deberes que el responsable del tratamiento de datos.
Dentro de sus facultades está la promoción de códigos de conducta por sectores, industrias, empresas, etcétera, tomando en cuenta las necesidades específicas de cada grupo.
Este integrante del sistema será designado en ciertos casos puntuales, entre los que se encuentran: (i) cuando el tratamiento lo realicen entidades del sector público; o, (ii) cuando, por su volumen, naturaleza o finalidad, el tratamiento de datos requiera control permanente.
Autorregulación
Es posible que los responsables y encargados de la protección de datos se adhieran a códigos de conducta, certificaciones o sellos de protección. En igual sentido, es posible que estos integrantes del sistema presenten a la APDP normas corporativas vinculantes en materia de transferencia internacional de datos aplicadas al ámbito de su actividad, siempre que cumplan determinadas condiciones establecidas en la LOPDP.
Registro Nacional de Protección de Datos Personales
Este registro deberá de ser mantenido por la APDP y será alimentado por los responsables del tratamiento de datos personales, quienes deberán reportar y actualizar la siguiente información: (i) identificación de la base de datos; (ii) datos de contacto del responsable y encargado del tratamiento de datos; (iii) finalidad del tratamiento de datos; (iv) naturaleza de los datos; (v) identificación de destinatarios; (vi) medios y herramientas de aplicación de LOPDP; y, (vii) tiempo de conservación de datos.
Transferencia internacional de datos personales
La transferencia internacional de datos personales es viable en el marco de la LOPDP. Como normal general, será posible siempre que los países receptores cuenten con niveles adecuados de protección. La APDP establecerá, mediante resolución, cuáles son los países que cuentan con este nivel de protección. Sin perjuicio de ello, también están permitidas bajo la LOPDP las transferencias a países no incluidos en dicho listado, siempre que existan garantías adecuadas para el titular, tales como: (i) estándar de cumplimiento sea igual o mayor al de la LOPDP; (ii) existencia de tutela efectiva del derecho de protección; y, (iii) derecho a solicitar reparación integral. Para los casos de transferencias internacionales a países distintos a los mencionados anteriormente, se requerirá autorización de la APDP.
La transferencia se deberá registrar en el Registro Nacional de Protección de Datos Personales.
Requerimiento directo del titular
El titular puede requerir al responsable del tratamiento o presentar peticiones o quejas en ejercicio de sus derechos respecto de sus datos personales. La falta de respuesta por parte del responsable faculta al titular para iniciar un reclamo administrativo ante la APDP.
Proceso administrativo y medidas correctivas
Los procesos administrativos bajo la LOPDP se sustanciarán de acuerdo al Código Orgánico Administrativo.
En caso de incumplimiento de las disposiciones de la LOPDP, se pueden aplicar, por parte de la APDP, medidas correctivas como lo son el cese del tratamiento, la eliminación de datos e imposición de medidas para el adecuado tratamiento. Estas medidas tiene como finalidad corregir, revertir o eliminar conductas contrarias a la LOPDP.
Infracciones y régimen sancionatorio
La LOPDP tipifica infracciones leves y graves dirigidas al responsable y al encargado del tratamiento de datos. Las sanciones dependen de la gravedad de la infracción:
Plazos de implementación
El régimen sancionatorio y la adecuación del tratamiento de datos previsto en la LOPDP serán aplicables y exigibles desde el 26 de mayo del 2023.
Consulegis Abogados
Tatiana Vernaza Gonzenbach
[1] Se entiende que el volumen de negocio son las ventas previa deducción del IVA y demás impuestos directamente relacionados con la operación económica.
Sobre el autor