La Ley Orgánica de Protección de Datos Personales (LOPDP) entró en vigor el 26 de mayo del 2021, momento desde el cual los responsables y encargados del tratamiento de datos personales adquirieron la obligación de adecuar el tratamiento de datos personales a los preceptos establecidos dentro de la ley, su reglamento de aplicación y demás normativa emitida por la Autoridad de Protección de Datos Personales. Para el efecto, la LOPDP dispuso un plazo de dos años contados a partir de su publicación en el Registro Oficial. Una vez transcurrido este período de tiempo, entrarán en vigor las disposiciones relacionadas con las medidas correctivas y el régimen sancionatorio[1], esto es el 26 de mayo del 2023 (día cero).

Al tratarse de un tema novedoso en Ecuador, puede ser difícil determinar por cuenta propia de los encargados o responsables del tratamiento de datos personales por dónde empezar para cumplir con estas disposiciones y evitar ser sancionados el momento que el día cero llegue. Es por eso que, el objetivo del presente blog es brindar una visión general de las medidas fundamentales que se deben considerar al momento de aplicar la normativa de protección de datos personales, estas son: las medidas jurídicas, las medidas organizativas y las medidas técnicas.

Dentro de las medidas jurídicas cabe mencionar la designación del delegado de protección de datos (en adelante “DPD”), quien es la “[p]ersona natural encargada de informar al responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la Autoridad de Protección de Datos Personales, sirviendo como punto de contacto entre esta y la entidad responsable del tratamiento de datos”^[2].

Las personas que ocupen este cargo deberán ser profesionales con un perfil específico, especialmente orientado al conocimiento de la ley, ya que su deber fundamental es asesorar a los encargados y responsables del tratamiento de datos personales para que actúen en base a la legislación de la materia. Además, deberá ser una persona en la que se confíe por su capacidad y nivel de responsabilidad para manejar una gran cantidad de información (confidencial o no), y que sea capaz de tratar con todas aquellas personas que intervienen en el tratamiento de datos personales. A pesar de que existen casos en los que la designación del DPD no es obligatoria, sin duda esta es la medida primordial para garantizar el correcto cumplimiento de la LOPDP y para mitigar los riesgos de recibir sanciones.

Una de las funciones del DPD es brindar asesoría en la evaluación y aplicación de medidas de seguridad organizativas y técnicas[3], las cuales deben ser implementadas por el encargado y el responsable del tratamiento de datos personales en sujeción al principio de seguridad de la LOPDP[4]. El objetivo principal de establecer estas medidas es el de asegurar la integridad y confidencialidad de los datos, por lo que en primer lugar se debe realizar una evaluación de riesgos que permita identificar las posibles amenazas y en consecuencia tomar las medidas necesarias, adecuadas y proporcionales para abordar cada uno de los riesgos detectados.

Las medidas organizativas comprenden políticas o programas internos, su comunicación y la capacitación en materia de protección de datos de todas las personas que forman parte de una entidad. Las medidas organizativas serán exitosas siempre que exista una correcta difusión de las mismas y que su contenido llegue a formar parte del conocimiento y entendimiento de todas las personas que manejan datos personales. Por ejemplo, se podrán desarrollar políticas de seguridad, políticas de uso de los sistemas de información, políticas para atender los derechos de los titulares de los datos, entre otras.

Por otro lado, las medidas técnicas abarcan tanto la seguridad física como informática de la información. En la esfera física se debe tomar en cuenta la implementación de alarmas, candados, llaves, guardianía, modos de eliminar la información, o cualquier otra que sea necesaria para salvaguardar la información en su forma física. En la esfera informática se deberá implementar medidas de ciberseguridad, tales como sistemas de seguridad de la red, implementación de claves de acceso a la información, seguridad para las redes Wi-Fi, para las páginas web, para los dispositivos electrónicos, entre otras.

Lo cierto es que se deberán desarrollar diversas herramientas para garantizar el cumplimiento de la ley, las cuales deberán ser integrales y hechas a la medida para cada persona y/o situación en concreto. Además, cabe mencionar que la falta de implementación de medidas jurídicas, organizativas y técnicas se considera una infracción grave a la LOPDP y por tanto los responsables o encargados del tratamiento de datos personales podrían ser sancionados en caso de detectar la falta de instrumentos necesarios para garantizar un buen manejo de datos personales y para mitigar riesgos[5].

Por último, es importante mencionar que los responsables y encargados del tratamiento de datos personales que hayan implementado los preceptos recogidos en la LOPDP antes del día cero obtendrán un reconocimiento por buenas prácticas por parte de la Autoridad de Protección de Datos Personales[6], por lo que es el momento ideal para implementar las medidas que sean necesarias antes del 26 de mayo del 2023.

Belén Viteri

[1] Disposición transitoria primera, LOPDP.

[2] Art. 4, LOPDP.

[3] Art. 49, num. 3, LOPDP.

[4] Art. 37, LOPDP.

[5] Art. 70, LOPDP.

[6] Disposición transitoria tercera, LOPDP.