La evaluación de impacto de transferencias internacionales (Parte...
Una vez que tenemos claro a dónde van los datos personales de nuestra responsabilidad, y...
0Introducción
Luego de un arduo trabajo que inició en el año 2017 y que fue dirigido por la Dra. Lorena Naranjo Godoy en su calidad de Directora de la Dirección Nacional de Registro de Datos Públicos (DINARDAP) con la participación de entidades públicas, privadas y de la sociedad civil, desde mayo del 2021 el Ecuador cuenta con su primera Ley Orgánica de Protección de Datos Personales (LOPDP), una normativa que permitirá el desarrollo de la innovación y el uso de la tecnología considerando el tratamiento de los datos personales como su eje central de protección.
La Constitución del Ecuador reconoce y garantiza en el artículo 66 numeral 19 a las personas: “El derecho a la protección de datos carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos personales requerirán la autorización del titular o el mandato de ley”, sin embargo, no se tenía una regulación de tipo específico, que permita garantizar el desarrollo de este derecho fundamental de los ecuatorianos y ecuatorianas.
Resumen de antecedentes
La LOPDP se presentó como una iniciativa de proyecto de ley el 19 de septiembre de 2019 por parte del entonces Presidente de la República del Ecuador Lic. Lenin Moreno, esto debido a las noticias de la mayor filtración de datos que había ocurrido en el Ecuador y que posiblemente involucró a ex funcionarios de Gobierno (Instituciones Públicas) de lo cual, hasta la fecha de esta publicación, se tiene conocimiento únicamente de una denuncia en fiscalía; una vez que el ex Presidente entregó el proyecto de ley este fue tratado al interior de la Comisión de Relaciones Internacionales y Movilidad Humana de la Asamblea Nacional, para el 10 de mayo de 2021, ser tratado su informe de segundo debate y ser aprobado por la Asamblea, finalmente la LOPDP fue sancionada por el mismo ex Presidente el 21 de Mayo de 2021.
Estructura y breve introducción a la Ley Orgánica de Protección de Datos Personales
A continuación, se describe la estructurada y los componentes que considero relevantes de la normativa.
CAPÍTULO I: ÁMBITO DE APLICACIÓN INTEGRAL
Está formado por 9 artículos, en este capítulo se describen componentes como el objeto y la finalidad de la LOPDP, se abordan temas como el ámbito de aplicación material y la territorialidad de la ley, los términos y definiciones de la ley, se señala también a los integrantes del sistema de protección de datos personales del Ecuador, y se abordan directivas conocidas como las bases de legitimación del tratamiento de datos personales, las cuales son el consentimiento y el interés legítimo, que si bien se constituyen como base de legitimación, contienen características especiales que debían abordarse por separado en la LOPDP.
Uno de los aspectos que me gustaría resaltar es la incorporación del concepto de extraterritorialidad para el tratamiento de datos personales.
CAPÍTULO II: PRINCIPIOS
Tiene un único artículo pero en su desarrollo se contemplan 13 principios de la LOPD, que se constituyen en sí mismo en principios del tratamiento de datos personales, por ello desde el punto de vista técnico, al cual pertenezco, son los principios de Seguridad de Datos Personales y Responsabilidad Proactiva y Demostrada en los cuales se podrán desarrollar las habilidades de los profesionales en materia de Seguridad de la Información, con esto no quiero decir que es lo único, pero si, que se podría convertir en nuestro punto focal de participación.
CAPÍTULO III: DERECHOS
Mediante 14 artículos se detalla las relaciones entre ciudadanos y responsables del tratamiento de datos personales, regulando las vías de interacción que podremos hacer uso para lograr que los principios definidos en el capítulo anterior se puedan materializar.
CAPÍTULO IV: CATEGORÍAS ESPECIALES DE DATOS
Recordemos que esta ley busca proteger los datos de nosotros los ciudadanos, y que estos datos tienen un ciclo de vida en las empresas o instituciones a las cuales nosotros permitimos y entregamos esa información, este capítulo se conforma de 8 artículos y adicionalmente aborda esas características adicionales de datos que, en atención de su naturaleza, deben ser protegidos con un nivel adicional de cuidado ya que requieren de lo que podríamos llamar una tutela reforzada.
CAPÍTULO V: TRANSFERENCIA O COMUNICACIÓN Y ACCESO A DATOS PERSONALES POR TERCEROS
En este capítulo formado por 4 artículos se establecen las definiciones que permitirán, conforme al mundo interconectado en el que vivimos, la transferencia de datos personales a terceros claro está que las reglas están definidas y por lo tanto tendremos la capacidad identificar si nuestros datos se han proporcionado a un tercero siguiendo las definiciones de la LOPDP.
CAPÍTULO VI: SEGURIDAD DE DATOS PERSONALES
Como especialista en el área de Seguridad de la información me gustaría extender el detalle de este componente de la LOPDP que se forma de 10 artículos; debo resumir indicando que las medidas de control deben estar destinadas a fortalecer a las organizaciones procurando la protección de los datos en los pilares de Confidencialidad, Integridad y Disponibilidad identificando los riesgos a los que las organizaciones se pueden exponer y determinando tratamientos que permitan mantener el riesgo en niveles aceptables, sin duda el componente que da vida al tratamiento de datos personales, ya que la gestión continua del riesgo permitirá entender quién si y quien no, gestiona adecuadamente el riesgo.
Otro de los componentes importantes de los artículos de este capítulo, es la responsabilidad de notificar los eventos que pueden causar variaciones en la seguridad de la información y que compromete datos de carácter personal.
Finalmente reforzar los equipos de respuesta a incidentes de seguridad de la información, debo remarcar que en caso un evento que comprometa a los datos de carácter personal, las medidas de control implementadas para la respuesta serán consideradas atenuantes por ello es importante como se involucrará al responsable de protección de datos personales en la organización.
CAPÍTULO VII: DEL RESPONSABLE Y EL DELEGADO DE PROTECCIÓN DE DATOS PERSONALES
Un grupo de 5 artículos en los que se especifica los roles y responsabilidades en materia de protección de Datos Personales y se muestra la relación que existe entre los diferentes los roles, en esta sección que me atrevería a decir, recaen en el mayor responsable de las empresas, ya que son los mayores interesados en la prestación de los servicios, la recolección de los datos y desde ahora como resultado de entrada en vigor de la LOPDP en la protección de los datos de carácter personal que utilicen.
En este grupo de artículos me gustaría resaltar adicionalmente el nuevo rol del Delegado de Protección de Datos Personales, que deberá ser implementado en las instituciones de la Administración Pública conforme a lo indicado en la siguiente cita del Art. 48, numeral 1 “Cuando el tratamiento se lleve a cabo por quienes conforman el sector público de acuerdo con lo establecido en el artículo 225 de la Constitución de la República”, desde luego no serán los únicos ya que instituciones privadas, conforme al volumen de datos, la necesidad de control y el tipo de datos personales (especiales) deberán considerar tener o externalizar este rol en sus organizaciones.
CAPÍTULO VIII: DE LA RESPONSABILIDAD PROACTIVA
Considero no únicamente desde el punto de vista técnico y del control uno de los componentes importantes a reflexionar por los responsables del tratamiento de datos personales, este capítulo contiene 3 artículos, pero permite implementar la definición de mejora continua de la normativa de protección de datos personales, definiciones como la autorregulación permitirán que las organizaciones busquen implementaciones de normativas o estándares de referencia como la ISO/IEC 27701:2019, o que se fomente la confianza en el tratamiento de datos personales mediante “sellos” que se generarán por directivas de control mediante Entidades de Certificación.
CAPÍTULO IX: TRANSFERENCIA O COMUNICACIÓN INTERNACIONAL DE DATOS PERSONALES
Capítulo compuesto por 6 artículos y conforme lo había señalado anteriormente, esta normativa busca dar apertura al uso adecuado y el flujo de datos entre empresas nacionales con internacionales, estos apartados normativos específicamente definen los lineamientos para la transferencia internacional de datos de carácter personal, pero sustentando una base legal y ético de los involucrados.
CAPÍTULO X: DE LOS REQUERIMIENTOS DIRECTOS Y DE LA GESTIÓN DEL PROCEDIMIENTO ADMINISTRATIVO
Mediante 3 artículos la normativa presenta las vías con las que cuenta el Titular de Datos Personales, para de manera progresiva, hacer de uso de sus derechos.
CAPÍTULO XI: MEDIDAS CORRECTIVAS, INFRACCIONES Y RÉGIMEN SANCIONATORIO
Sección que considero generó algunos los principales y más interesantes debates en el tratamiento de proyecto de la LOPDP, este capítulo contiene 2 artículos los mismos que definen las multas o sanciones por el incumplimiento o tratamiento inadecuado de datos de carácter personal.
El régimen entrará en vigor una vez que pase el periodo de 2 años, pero esto no implica que el resto de la LOPDP puede incumplirse en este periodo, por lo contrario, debe cumplirse todo lo demás, pero solo posterior a los 2 años la autoridad de control podrá sancionar por el incumplimiento en el tratamiento de datos personales.
CAPÍTULO XII: AUTORIDAD DE PROTECCIÓN DE DATOS PERSONALES
Finalmente 3 artículos que norman a la entidad que, con nivel de Superintendencia, tendrá la responsabilidad de dar vida a la LOPDP del Ecuador, se opta por el rol de superintendencia por ubicarse en la función de control, conforme la normativa del Ecuador y eso le da independencia suficiente para supervisar y controlar a entidades públicas y privadas.
Como se puede apreciar, la primera y reciente LOPDP del Ecuador consta de 12 capítulos y 77 artículos que sin lugar a duda generarán un impacto positivo en el Ecuador, en la forma de hacer negocios y en la manera en las que las organizaciones utilizan los datos de carácter personal de los ecuatorianos.
Jorge Guerrón Eras (Quito – Ecuador)
Equipo Govertis