Forbes Ecuador
proteccion datos personales
Columnistas
Share

La protección de datos personales es una responsabilidad conjunta que involucra a diversos integrantes dentro del ámbito empresarial y gubernamental. La implementación de medidas administrativas, técnicas, físicas, organizativas y jurídicas adecuadas es esencial para garantizar la seguridad y confidencialidad de los datos personales.

14 Agosto de 2024 15.36

El valor de los datos personales y su marco constitucional

¿Cuánto valen tus datos personales? ¿Sabías que tienen un valor económico y un valor intangible? Hoy cada día tienen más valor considerados como el nuevo oro digital. Un proyecto piloto pagó treinta dólares estadounidenses (US $ 30) por escanear el iris y registrar los datos personales o existen bases de datos en el mercado “paralelo” entre tres mil a diez mil dólares ($ 3.000 a 10.000) dependiendo su contenido. 

El cuidado y protección de la información personal que constituyen los datos personales son un elemento esencial de la persona, adquieren mayor relevancia en el mundo contemporáneo, requiriendo de una vigilancia y control constante. Los avances tecnológicos, la digitalización y la interconexión global, han transformado a la información personal en un activo valioso y -al mismo tiempo- vulnerable. En este contexto, la mayoría de empresas utilizan datos personales como es crear bases de clientes, proveedores, datos crediticios, entre otros. 

En Ecuador, la protección de datos personales es un tema novedoso y se encuentra reconocida y garantizada por el Estado ecuatoriano como un derecho de libertad. En la Carta Suprema se reconoce y garantiza el derecho a la protección de datos de carácter personal que, incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos o información requerirán la autorización del titular o el mandato de la ley.

 

A raíz del reconocimiento de este derecho, se aprobó la Ley Orgánica de Protección de Datos Personales (“LOPDP”), que entró en vigor el 26 de mayo de 2023 y su Reglamento General (“RLOPDP”) publicado el 13 de noviembre de 2023; nombrado el primer Superintendente de Protección de Datos Personales de la Superintendencia de Protección de Datos Personales (“Superintendencia” o “Autoridad”).

 

La legislación en materia de protección de datos personales es de obligatorio cumplimiento para personas naturales y jurídicas nacionales y extranjeras. Por ello, abordamos la relevancia que tiene la protección de datos en Ecuador y su impacto en el cotidiano trabajo de todo empresario y entrepenuer

La LOPDP y su RGLOPDP establecen una serie de obligaciones y principios que tienen que cumplir los Responsables y Encargados.  Entre las obligaciones de mayor relevancia son las de aplicar medidas administrativas, técnicas, físicas, organizativas y jurídicas adecuadas para garantizar y demostrar el cumplimiento de la normativa de protección de datos personales.

En este sentido, enfocados en la realidad nacional, Andersen asumió el compromiso y capacidad de implementar los pasos necesarios para garantizar que los datos personales de clientes, proveedores, colaboradores de una Compañía, reciban la debida creamos el Programa Ley de Protección de Datos Personales 360°© grados.

Un titular de datos personales tiene derecho fundamental al acceso, oposición, información, rectificación y actualización, eliminación y portabilidad, que debe ser administrada y ejecutada de forma rápida y sofisticada por la empresa que mantiene su información.

El presente artículo presentamos quiénes integran el marco de la protección de datos personales, cuáles son los mecanismos que señala la legislación para la protección de datos personales, el rol que juega la Autoridad de protección de datos personales y el régimen sancionador.

Gestión Integral de Datos Personales: Roles y Responsabilidades en la Legislación ecuatoriana

El titular de datos personales es el eje fundamental y el objeto principal de protección en la LOPDP que solo resguarda la persona natural y sus datos son objeto de tratamiento por parte de tres nuevas figuras, quienes deben brindar una adecuada protección de dichos datos:

  1. “Responsables”.
  2. “Encargados”; y
  3. “Delegados”.

 

  1. El Responsable de tratamiento de datos personales es la persona natural o jurídica, pública o privada, autoridad pública, u otro organismo, que solo o conjuntamente con otros decide sobre la finalidad y el tratamiento de datos personales.  Por lo general, los Responsables de tratamiento de datos personales son las compañías, que recopilan, almacenan, utilizan, tratan, protegen y conservan datos personales. Para realizar un tratamiento adecuado y definir con claridad los propósitos y finalidades para los cuales se utilizarán los datos, así como cumplir con las obligaciones establecidas en la LOPDP y su RGLOPDP, es crucial contar con un programa de protección de datos personales que asegure el cumplimiento íntegro de la legislación.
  2. El Encargado de datos personales es la persona natural o jurídica, pública o privada, autoridad pública, u otro organismo que solo o conjuntamente con otros trate datos personales a nombre y por cuenta de un responsable de tratamiento de datos personales.  Este integrante es fundamental en la cesión o transferencia de datos personales, puesto que recibe datos personales por parte del Responsable para poder cumplir con una o varias finalidades determinadas por este.  Para que tenga plena validez -siendo de suma importancia- la función del Encargado, debe existir un contrato (escrito y previo) de encargo que especifique el objeto, la finalidad, el tiempo de conservación, el modo de devolución o destrucción de datos personales y las medidas de seguridad para su protección. 
  3. El Delegado de Datos Personales es la persona natural intermediaria con el Responsable o el Encargado, supervisar el cumplimiento normativo, coordinar y cooperar con la Superintendencia.

En Andersen, contamos con profesionales que cumplen con el rol de Delegados de datos personales en diversas entidades por su experiencia y experticia en este asunto incluyendo la supervisión del cumplimiento normativo, la implementación de políticas de protección de datos y las estrategias para coordinar con la Superintendencia.

La protección de datos personales es una responsabilidad conjunta que involucra a diversos integrantes dentro del ámbito empresarial y gubernamental. La implementación de medidas administrativas, técnicas, físicas, organizativas y jurídicas adecuadas es esencial para garantizar la seguridad y confidencialidad de los datos personales. 

Solo a través de una gestión integral y coordinada se puede garantizar un tratamiento adecuado que se encuentre alineado con la legislación vigente. Por ello, la propuesta de valor de Andersen es única en el mercado ecuatoriano logrando abarcar de forma integral y transversal varias dimensiones.

Autoridad de protección de datos personales: Superintendencia de Protección de datos personales.

La Superintendencia de Protección de Datos Personales debe llevar a cabo las acciones necesarias de prevención, investigación y sanción en esta materia. La Autoridad actúa por denuncia o de oficio por cualquier información que llegare a su conocimiento.

La acción de prevención tiene como objetivo evitar la vulneración de datos personales y el cometimiento de infracciones. Para ello, la Autoridad debe promover la conciencia y una cultura. Esto incluye realizar auditorías y evaluaciones periódicas para verificar el cumplimiento de la normativa de protección de datos personales en el sector público y privado.

Los casos más comunes son el acceso no autorizado, la divulgación de datos personales sin consentimiento y el uso indebido de datos personales para fines distintos a los previstos.

La LOPDP con el objetivo de salvaguardar los datos personales introduce la obligación de presentar información ante un nuevo ente -el Registro Nacional de Protección de datos personales-, supervisado y controlado por la Superintendencia donde el Responsable y el Encargado deben presentar un sinnúmero de información que en Andersen conocemos como minimizar y mitigar los riesgos asociados con el mal uso de bases de datos y datos personales.

 Régimen Sancionatorio

La Superintendencia tiene amplias potestades para hacer cumplir la LOPDP, pudiendo establecer las siguientes sanciones según su gravedad y alcance:

  1. Multas entre el 0,1% y el 1,0% de los ingresos brutos anuales por cada infracción sin límite. 
  2. Medidas de dar, hacer o dejar de hacer.
  3. Publicación de las sanciones.
  4. Otras. 

A parte de estas sanciones el titular de datos personales puede interponer acciones civiles y penales contra el infractor de sus derechos en esta materia, incluyendo daños y perjuicios. En materia penal, es delito la vulneración de datos personales no autorizada conlleva prisión.

En el sector público, las entidades gubernamentales y organismos estatales también están sujetos a las disposiciones de la LOPDP que manejan una gran cantidad de datos personales en el ejercicio de sus funciones, obligadas a garantizar la seguridad y privacidad de esta información. 

Conclusiones

Hoy toda empresa tiene que cumplir a cabalidad la LOPDP y el RGLOPDP que entró en vigencia en 2023 tiene que nombrar un Delegado de Protección de Datos Personales e implementar un Programa Ley de Protección de Datos Personales 360°© para para resguardar su buena reputación y evitar sanciones que pueden ser considerables al no existir un límite en sus multas. (O)

 

10