Este 26 de mayo entró en vigor el régimen sancionador de la Ley Orgánica de Protección de Datos de Ecuador, a pesar de que para ese momento (y todavía) aún no se había promulgado su reglamento ni se había creado o nombrado la autoridad que vigilará el cumplimiento de la norma y la aplicación de las sanciones que contempla.
El Consejo de Participación Ciudadana y Control Social es el ente que debe nombrar al superintendente de la ley.
Esta ley fue promulgada en el Registro Oficial No. 459, el 26 de mayo de 2021, y tiene por objeto garantizar el derecho a la protección de los datos personales de los habitantes de Ecuador, mediante el establecimiento de obligaciones para garantizar los derechos de los titulares de datos personales en los entes públicos y privados.
A grandes rasgos, la ley ampara el derecho a decidir sobre la información y datos tratados por los recopiladores de información, establece disposiciones sobre el uso que se les dará y también describe las condiciones que deben cumplirse para hablar de un trato legítimo de los datos.
El derecho a la información, acceso, rectificación, oposición, consulta, actualización, portabilidad y eliminación también están incluidos en esta ley, así como la educación digital sobre el tema.
La nueva regulación, de 83 artículos, consagra la protección de los datos de poblaciones consideradas vulnerables (personas con discapacidad, niños y adolescentes) y los datos considerados sensibles, como los de salud y afiliaciones políticas y religiosas.
Podría interesarte: República Dominicana presenta proyecto de ley contra la ciberdelincuencia
La meta es acercarse a lo establecido por el RGPD de la UE
La norma promulgada incluye un sistema de sanciones para quienes infrinjan las disposiciones del uso y tratamiento de los datos personales, lo que abarca a las empresas dentro de Ecuador. Estas están obligadas a implementar programas de protección de datos y sistemas para que los titulares ejerzan sus derechos.
La ley establece dinámicas a la altura de los estándares internacionales, como las implementadas en el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, y plantea inscribir sus bases de datos en el Registro Nacional de Protección de Datos Personales.
Ahora hay dos tipos de implementaciones relacionadas con la ley:
- Las empresas locales están adaptándose para implementar una cultura de protección de datos personales en todas sus áreas y procesos.
- Las empresas foráneas, con actividades dentro del país, están adecuando sus prácticas para cumplir con el nuevo marco legal local, aunque muchas de estas ya cumplen con las directrices del RGPD.
En conjunto, tanto las empresas nacionales como las extranjeras deben aplicar políticas con enfoque global y buenas prácticas que sigan estándares internacionales (como los del RGPD y países referentes en protección de datos personales).
Quizá te interese: ¿Dónde está Latinoamérica en materia de protección de datos?
Sanciones
Aunque la aplicación de la nueva norma está incompleta, a falta del nombramiento de la autoridad de control, esta establece multas desde 0,1 % hasta 1 % de las ventas totales del último ejercicio de facturación anual de las empresas que fallen en manejar responsablemente los datos de sus usuarios, dependiendo del tipo de infracción.
El sector público también tendrá que cubrir multas de hasta 20 salarios mínimos si comete infracciones.
De ser recurrente o grave la violación o mal uso de los datos personales, también se contempla el cierre temporal o permanente del ente infractor, además de la posibilidad de demandar a quienes hagan mal uso de los datos, dentro o fuera de Ecuador.
La levedad de la infracción y el tipo de sanción dependen de su intencionalidad, reincidencia, naturaleza y reiteración.
Los dos años que pasaron entre la publicación de la ley y la entrada en vigencia de sus sanciones debieron ser aprovechados por las empresas y entes gubernamentales para desarrollar los mecanismos que eviten el robo y comercialización de los datos personales de sus usuarios, empleados, proveedores o clientes.
Querrás leer: Perú aprueba ley para el uso de la Inteligencia Artificial
“A pesar de que aún no se designa la autoridad encargada de verificar el cumplimiento e imponer multas en caso de infracciones, los titulares cuentan con otros mecanismos para ejercer sus derechos, como poner denuncias ante fiscalía en caso de delitos contra el derecho a la intimidad personal y familiar, o presentar acción de Habeas Data ante la Corte Constitucional”, explica Pedro Córdova, socio de Robalino Abogados.
Mientras se espera la designación de la autoridad, María Paula Arellano, asociada de Robalino, precisa que, para evitar infracciones y sanciones, las empresas deben tomar en cuenta la implementación de la ley desde dos perspectivas. Por un lado, el cumplimiento de los requerimientos legales en contratos con terceros, formularios de recogida de información y avisos en webs o aplicaciones y, por otro lado, el manejo interno de la información y la verificación de medidas de seguridad para el archivo físico y control de accesos para el archivo digital.
“Tanto usuarios como empresas deben verificar que existan canales para realizar consultas, quejas o reclamos que permitan a los titulares ejercer sus derechos sobre sus datos personales”, dice.
Los datos pueden transferirse con sistemas de protección ajustados a normas internacionales
La Ley Orgánica de Protección de Datos es considerada por los abogados como “un hito importante para el Ecuador”, para inversionistas y empresas que deseen invertir en el país.
Uno de los aspectos más relevantes de esta es que dispone obligaciones para empresas tanto públicas como privadas, en los casos en que las empresas realizan transferencias internacionales de datos personales, que pueden hacerse a países con niveles adecuados de protección ajustados a normas internacionales reconocidas.
“Si el país de destino no dispone de un nivel de protección adecuado, podrán realizarse transferencias internacionales siempre que se ofrezcan garantías adecuadas al titular de los datos personales”, dice el socio.
Además, añade María Paula Arellano, asociada de Robalino Abogados, los responsables o encargados del tratamiento de datos personales podrán presentar normas corporativas vinculantes para cumplir los reglamentos y normas establecidos por ley”.
Regular de esta manera las transferencias internacionales proyecta a Ecuador como un país enfocado en cumplir los estándares de protección de datos recomendados globalmente y promover transferencias con otros países que tengan igual o mayor protección para la información de la que las empresas son responsables, lo que a la larga promueve la ejecución de negocios entre estas.
“Ya que la Ley incorpora conceptos totalmente nuevos, deben realizarse análisis caso por caso para validar la manera más adecuada, dependiendo del giro del negocio, para que las empresas estén en cumplimiento”, precisa Córdova.
Esto ha llevado a que las consultas sobre los parámetros de tratamiento de datos hayan aumentado en Ecuador en los últimos meses y se espera que aumenten aún más a corto plazo, especialmente por la divulgación de las implicaciones de la norma y de sus represalias para los infractores, además de porque el campo de acción de la protección de datos personales es bastante amplio y se relaciona con el derecho del consumidor, bancario, de tecnologías y telecomunicación, lo que termina involucrando a varios sectores legales.
Add new comment