Informativo Legal – Reglamento general de la ley orgánica de protección de datos personales.
El 06 de noviembre del 2023, Guillermo Lasso Mendoza, Presidente Constitucional de la República del Ecuador, suscribió el Decreto Ejecutivo N° 904, por el cual se expidió el “REGLAMENTO GENERAL DE LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES” – RGLOPDP
Dentro de los aspectos más relevantes de esta norma están los siguientes:
- Objeto del Reglamento
El objeto de este reglamento es desarrollar la normativa para la aplicación de la Ley Orgánica de Protección de Datos Personales y la protección de los derechos y libertades fundamentales de los titulares de los datos personales.
- Designación de Representante
Los responsables y encargados del tratamiento de datos personales no establecidos en el Ecuador, deberán designar un Representante (Apoderado Especial), en lo que respecta a sus obligaciones en virtud de la Ley Orgánica de Protección de Datos Personales.
- Definición de Tercero
El tercero es la persona natural o jurídica, autoridad pública, servicio u organismo distinto del titular, del responsable y encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable.
- Definición de Responsables Conjuntos
Los Responsables Conjuntos son aquellos que determinan mutuamente los fines y medios de tratamiento de los datos personales proporcionados por el titular. Las tareas y de cada uno de los responsables en materia de protección de datos personales, se definirá mediante un contrato suscrito entre estos.
- Elementos del interés legítimo
Una de las formas del tratamiento legítimo de los datos personales, es la satisfacción de un interés legítimo por parte del responsable. Este interés no prevalecerá sobre los intereses o derechos y libertades del titular, y para determinar su aplicación se deberá realizar una regla de ponderación bajo los factores de: i) necesidad del tratamiento, ii) impacto sobre los titulares, iii) proporcionalidad y transparencia del responsable para cumplir con sus obligaciones, y iv) garantías aplicadas por el responsable del tratamiento para impedir cualquier impacto indebido sobre los titulares.
- Tratamiento a gran escala
Se considera como tratamiento a gran escala:
- Los de los datos de pacientes en el desarrollo normal de la actividad de un hospital o instituciones que conforman el Sistema Nacional de Salud
- De desplazamiento de las personas que utilizan el sistema de transporte público de una ciudad
- De los datos de geolocalización en tiempo de real de clientes.
- Datos de clientes en desarrollo normal de la actividad de una compañía de seguros, corredores, agentes, prestadores o instituciones financieras.
- Datos para publicidad de comportamiento de un motor de búsqueda.
- Datos por proveedores de servicios de telefonía o internet.
- Tratamiento de datos de fuentes accesibles al público
El tratamiento de datos personales obtenidos de fuentes de acceso al público requiere que la finalidad pretendida con el nuevo tratamiento por parte del responsable, sea compatible con la finalidad que justificó la publicación de los datos.
8. Plazo de conservación de los datos personales
La Autoridad de Protección de Datos Personales regulará los plazos de su conservación, según las disposiciones aplicables a la materia de estos.
9. Eliminación de datos personales
Finalizado el plazo de conservación de los datos personales, por regla general estos deberán eliminarse de manera segura, salvo que: i) por razones de interés público en el ámbito de salud pública y privada, así como en materia estatal, seguridad, laboral y educación, y ii) para formulación, ejercicio o defensa de reclamaciones.
10. Tratamiento de datos crediticios
El tratamiento de datos crediticios será lícito, siempre y cuando tenga como fin el informar sobre el cumplimiento o incumplimiento de obligaciones comerciales o crediticias. La Junta de Política y Regulación Financiera, y la Superintendencia de Bancos, regularán la protección de datos crediticios conforme sus competencias.
11. Vulneración a la Seguridad de Datos Personales
Una vulneración o violación a la seguridad de los datos personales se constituye cuando concurra al menos una de las siguientes causales:
- Cuando los datos fueron destruidos o no están disponibles para el responsable o encargado del tratamiento.
- Cuando los datos personales han sido alterados, corrompidos o dejan de estar completos.
- Cuando el responsable del tratamiento o encargado ha perdido el control o el acceso a los datos, o ya no obran en su poder.
- Cuando el tratamiento no ha sido autorizado o es ilícito, esto incluye divulgación o acceso no autorizado.
12. Control permanente y sistematizado al encargado y responsable
El encargado y responsable del tratamiento de datos personales, que requerirán un control permanente y consecuentemente la obligatoriedad de designar un delegado de protección de datos personales, son aquellos cuyas actividades de tratamiento: i) es de carácter continuado o se produce en intervalos concretos durante un periodo de tiempo; ii) es recurrente o repetido en momentos prefijados, iii) tiene lugar de manera constante o periódica.
El control es sistematizado, cuando el tratamiento: i) está preestablecido, organizado o es metódico, ii) tiene lugar como parte de un plan general de recogida de datos, o iii) es llevado a cabo como parte de una estrategia.
13. Designación del delegado de protección de datos como buena práctica
Los responsables o encargados que no deban designar un delegado de protección de datos personales, podrán hacerlo de manera voluntaria como un mecanismo de buena práctica y como medida de responsabilidad proactiva.
El delegado de protección de dato personales podrá ser contratado bajo la figura de relación de dependencia o a través de un contrato de prestación de servicios, garantizando la prestación de los servicios de manera independiente.
14. Requisitos para ser delegado de protección de datos personales
Para ser delegado de protección de datos personales, se requiere:
- Estar en goce de los derechos políticos
- Ser mayor de edad
- Tener título de tercer nivel en Derecho, Sistemas de Información, de Comunicación o de Tecnologías
- Acreditar experiencia profesional de por lo menos cinco años
En el caso de requerir más información con mucho gusto les podemos asesorar.
NOTA: El informativo de CCB Abogados no podrá ser considerado como opinión legal, tiene efectos únicamente informativos.