REGLAMENTO GENERAL A LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES
Mediante Decreto Ejecutivo Nro. 904, el 07 de noviembre de 2023, el Presidente de la República del Ecuador emitió el Reglamento General de la Ley Orgánica de Protección de Datos Personales.
El objetivo primordial del reglamento es garantizar la correcta aplicación de la Ley Orgánica de Datos Personales, asegurando el ejercicio del derecho a la protección de datos de carácter personal y libertades fundamentales de los titulares de datos personales. Para ello, el Reglamento establece lineamientos que coadyuven a la protección de los datos en los entornos digitales brindándoles derechos a las personas como a la información, acceso, eliminación, rectificación y actualización, oposición, portabilidad, suspensión, entre otros.
A continuación, se exponen las consideraciones de mayor relevancia del Reglamento:
a) Obligación de los Responsables y/o Encargados de tratamiento de datos personales no residentes en el Ecuador
Tendrán la obligación de designar a un apoderado especial con residencia en el Ecuador para su representación ante instancia administrativas y judiciales en la materia. Esta designación dependerá si el tratamiento de los datos sea de forma continua e incluya el manejo a gran escala de datos personales de categoría especial.
b) Consentimiento de los titulares de datos personales
La recolección del consentimiento por parte del responsable para el tratamiento de los datos personales deberá atender los siguientes puntos:
- Informada previamente;
- Detalla del tipo de tratamiento;
- Las finalidades;
- Tiempos de conservación;
- Medidas de protección;
- Otros determinados en la Ley.
c) Plazos de conservación de los datos personales
Los plazos de conservación de los datos personales dependerán de la finalidad del tratamiento y no se deberá exceder después del cumplimiento.
d) Medios para el ejercicio de los derechos de los titulares
El Responsable habilitará herramientas o canales informáticos con la finalidad de atender oportunamente las solicitudes de los titulares con respecto a sus derechos.
e) Transferencia de datos personales a un tercero
Para la transferencia a terceros se requiere el consentimiento del titular o en su defecto que el responsable haya implementado medidas que garantice la privacidad e intimidad de los titulares.
f) Medidas de protección
El Responsable deberá demostrar la aplicación de medidas para la protección de datos personales. Estas pondrán ser métricas cuantitativas o cualitativas para determinar la eficacia de las medidas adoptadas.
g) Registro de Actividades de Tratamiento (RAT)
En el caso que el responsable cuente con cien o más trabajadores, deberá llevar un registro de todas las actividades de tratamiento.
h) Relación entre responsable y encargado
Esta relación debe regirse por un contrato escrito donde se detalle aspectos de objeto, naturaleza, duración, finalidad, categoría de recolección y obligaciones y responsabilidades del encargado.
Una vez finalizado la relación el encargado deberá devolver o eliminar todos los datos personales. Destruyendo todas las copias existentes.
i) El Delegado de protección de datos personales
Sus funciones son asesorar, velar y supervisar el cumplimiento de las obligaciones legales imputables al responsables y encargado. Será contrato bajo la figura de relación de dependencia o a través de un contrato de prestación de servicios.
j) Requisitos para ser Delegado
Se tomarán en cuenta los siguientes requisitos para ser delegados:
- Estar en goce de los derechos políticos;
- Ser mayor de edad;
- Las finalidades;
- Tener título de tercer nivel en Derecho, Sistemas informáticos, de Comunicaciones, o de Tecnologías; y
- Acreditar experiencia profesional de por lo menos cinco años.
Elaborado por:
Abg. Mauricio Vilatuña
Abg. Jaime Terán
ÁREA DE PROTECCIÓN DE DATOS
La información proporcionada no constituye ni pretende constituir, asesoría legal. Para más información le invitamos a contactarse con Sperber & Álvarez Law Firm. info@salf.ec / www.salf.ec