Después de varios años de espera, ya con la Ley Orgánica de Protección de Datos Personales (en adelante “LOPDP”) en plena vigencia, incluyendo el régimen sancionatorio, el Presidente de la República ha emitido el Decreto Ejecutivo No. 904 del 06 de noviembre de 2023 en donde consta el Reglamento General de la Ley Orgánica de Protección de Datos Personales (en adelante el “Reglamento”) el mismo que llevaría y aclararía varios aspectos de la LOPDP.

Después de su publicación, a continuación, realizamos una recapitulación de los aspectos más importantes que recoge esta normativa.

ÁMBITO DE APLICACIÓN Y DEFINICIONES

Algo importante que inicia recogiendo el Reglamento en su artículo 2 es referente a su ámbito de aplicación. En su segundo inciso, este texto determina y aclara que el mismo aplicará para los responsables y encargados del tratamiento de datos personales no establecidos en territorio ecuatoriano a quienes les resulte aplicable la legislación nacional en virtud de un contrato o regulaciones vigentes del derecho internacional público.

En estos casos, todo responsable y encargado no establecido en Ecuador debe designar un apoderado especial cuando no tenga domicilio en territorio nacional y por tanto debe designar un apoderado con residencia en Ecuador que cuente con las facultades suficientes para comparecer a nombre de su representado. No será necesaria la designación de dicho apoderado o representante cuando el tratamiento de datos personales sea ocasional y no incluya el manejo a gran escala de datos personales de categorías especiales y que sea improbable que entrañe un riesgo para los derechos y libertades de las personas, siendo esto un caso muy general y amplio, por lo que la Autoridad de Protección de Datos emitirá una guía técnica respecto de la aplicabilidad de estos criterios.

Otro asunto importante que considerar en el Reglamento es que este profundiza la definición de los datos relativos a la salud, dando una explicación mucho más extensiva de estos e incluyendo: “todos los datos relativos al estado de salud del titular que dan información sobre su estado de salud física o mental pasado, presente o futuro. Así también contiene la información sobre la persona natural recogida con ocasión de su inscripción a efectos de asistencia sanitaria, o con ocasión de la prestación de tal asistencia; todo número, símbolo o dato asignado a una persona natural que identifique de manera unívoca a efectos sanitarios; la información obtenida de pruebas o exámenes de una parte del cuerpo o de una sustancia corporal, incluida la procedente de datos genéticos y muestras biológicas, y cualquier información relativa a: una enfermedad, discapacidad, riesgo de padecer enfermedades, historial médico, tratamiento clínico o el estado fisiológico o biomédico del titular, independientemente de su fuente”. Al ser estos datos considerados como sensibles, implica que todo tratamiento relativo a esta definición debe cumplir con la LOPDP respecto del consentimiento.

Adicionalmente, el Reglamento determina que una persona identificable es aquella cuya “identidad pueda determinarse directa o indirectamente, siempre y cuando esto no requiera plazos o actividades desproporcionadas”, dejando una interpretación muy amplia de lo que es un plazo o actividad desproporcionada.

Finalmente, dentro de las definiciones iniciales que se introducen en este Reglamento, la norma precisa el tratamiento a gran escala de datos personales, detallando aspectos importantes que deben considerarse para que cualquier tratamiento sea considerado de gran escala y por ello todas las obligaciones que eso implica. Los aspectos y consideraciones del tratamiento a gran escala se detallan en el artículo 4 punto 7 del Reglamento.

CONSENTIMIENTO Y TRATAMIENTO LEGÍTIMO

En la obtención del consentimiento el Reglamento indica que se deberá indicar también los tipos de tratamiento de sus datos, finalidades, las medidas de protección a adoptarse, tiempo de conservación, consecuencias de la entrega y esto debe ser consentido inequívocamente por el titular y debe reflejarse de manera indubitada la aceptación de éste en relación con el tratamiento de sus datos a través de una declaración, pronunciamiento para darse de baja o clara acción afirmativa. Quien obtiene el consentimiento deberá demostrar que lo tiene cuando así sea requerido por la Autoridad competente. El silencio o la inacción, por si solos, no presumen el consentimiento del titular.

La revocatoria del consentimiento no afectará a la licitud del tratamiento de datos llevado a cabo hasta el momento de la revocatoria.

Para la aplicación de un tratamiento legítimo de datos, el Reglamento brinda definiciones de lo que se considera una misión realizada en interés público o en ejercicio de poderes públicos, intereses vitales del interesado o de otra persona, interés legítimo del responsable basado en una regla de ponderación atendiendo diferentes factores y lo que son las fuentes accesibles al público respetando el principio de limitación de la finalidad, atendiendo a las razones concretas que han determinado la publicación de la información. El tratamiento de datos obtenidos de fuentes accesibles al público requiere que la finalidad pretendida con el nuevo tratamiento sea compatible con la finalidad que justificó la publicación de los datos, por lo que la información de fuentes de datos públicos no permite un tratamiento indiscriminado por parte de los responsables.

CONSERVACIÓN Y ELIMINACIÓN

Respecto de los plazos de conservación de los datos, el Reglamento señala que estos no deben exceder aquellos que sean estrictamente necesarios para el cumplimiento de las finalidades que justificaron el tratamiento, pero delega a la Autoridad a regular los plazos de conservación atendiendo las disposiciones aplicables a la materia de que se trate.

Ahora bien, el Reglamento indica que una vez cumplida la o las finalidades del tratamiento y cuando no exista disposición legal o reglamentaria o la necesidad de mantener los datos o por cumplimiento de una obligación legal, el responsable deberá eliminar, bloquear o anonimizar los datos en su posesión. El responsable debe establecer un procedimiento para la conservación, revisión periódica y eliminación de los datos personales.

Se deberá contar con un fichero de registro de la base de datos que deberá contener obligatoriamente el plazo de conservación y deberá observar necesariamente la materia, naturaleza del dato, tratamiento y finalidad.

La eliminación de datos no aplicará por razones de interés público en el ámbito de la salud pública y privada, así como en materia estatal, seguridad, laboral y educación o para la formulación, ejercicio o defensa de reclamaciones, lo que aumenta exponencialmente el panorama de cuándo debe o no eliminarse el dato.

Se pide, preferentemente, habilitar herramientas o canales informáticos simplificados de fácil acceso para el titular, con la finalidad de receptar y atender oportunamente las solicitudes o peticiones formuladas que permitan y garanticen una interacción segura, fiable y rápida entre el responsable y el titular para el ejercicio de sus derechos, sin perjuicio de que también puedan ser presentadas físicamente. Se sugiere la habilitación de plataformas digitales, centros de contacto, líneas telefónicas u otros mecanismos tecnológicos idóneos para el ejercicio de los derechos.

PROCESO DE EJERCICIO DE DERECHOS DE LOS TITULARES

La solicitud para el ejercicio de derechos deberá contener: los nombres y apellidos del titular, su número de cédula o pasaporte, dirección domiciliaria o electrónica para notificaciones, los datos del representante legal si comparece una persona jurídica, una descripción clara y precisa de los datos personales objeto de la reclamación y cualquier elemento o documento que facilite la localización de datos personales, la relación de lo solicitado, la enunciación de derechos a ejercer y los documentos que acrediten la identidad o la representación legal o convencional. De ser necesaria una aclaración o ampliación de la información, el responsable podrá requerir al titular, por una sola vez y dentro del término de 5 días de recibida la solicitud, que aclare o complete la información, en donde el titular tendrá 10 días para dar respuesta. Si el titular aclara o completa la solicitud dentro de término, el responsable procede a dar la atención de la solicitud, caso contrario, archivará la solicitud.

El responsable deberá registrar toda solicitud de ejercicio de derecho, incluyendo el detalle de la atención dada a las mismas. La Autoridad determinará el contenido de los registros.

Si el titular considera que se han vulnerado sus derechos con la respuesta dada a la solicitud, se podrá ejercer un reclamo ante la Autoridad.

TRATAMIENTOS CONCRETOS

No será lícito el tratamiento de datos personales que tenga como fin informar sobre el cumplimiento o incumplimiento de obligaciones comerciales o crediticias. Los organismos de control financiero y bancario serán los encargados de regular la protección de los datos crediticios en el ámbito de sus competencias.

Para el tratamiento de datos sensibles de menores de edad, así como para las decisiones basadas en valoraciones automatizadas de estas personas, se requerirá el consentimiento expreso de su representante legal.

El consentimiento obtenido para el tratamiento de datos personales de un menor de edad no podrá, en ningún caso, menoscabar el interés superior de la niña, niño o adolescente de acuerdo con las disposiciones del Código de la Niñez y Adolescencia. Si se identifica una transgresión de este tipo, el consentimiento obtenido será considerado inválido.

TRANSFERENCIA DE DATOS PERSONALES A UN TERCERO

El Reglamento señala que la transferencia o comunicación de datos personales a un tercero o encargado requiere del consentimiento del titular, a menos que, previo a realizar la misma, se han disociado los datos, se han utilizado mecanismos de cifrado robustos de los datos u otros mecanismos orientados a la privacidad e intimidad de los titulares de los datos personales, de forma que no se pueda identificar a qué persona se refieren.

La transferencia o comunicación de datos personales a terceros se podrá realizar siempre que: i) sea para el cumplimiento de fines directamente relacionados con las funciones legítimas del responsable y del tercero destinatario, donde el destinatario se obliga a cumplir con la normativa de protección de datos; y, ii) cuando se cuente con el consentimiento previo del titular, el mismo que es sujeto de revocatoria. En este caso, no se requiere el consentimiento del titular de acuerdo con los supuestos recogidos por la Ley.

El Reglamento establece un procedimiento para el ejercicio de los derechos en los casos de transferencia de datos a terceros, en donde es el responsable del tratamiento quien debe ser el receptor del reclamo y actuar como intermediario en todo el proceso de reclamación.

VULNERACIONES A LA SEGURIDAD DE DATOS PERSONALES Y EVALUACIÓN DE IMPACTO

Se ha dado un parámetro de lo que se entiende por vulneración o violación a la seguridad de los datos personales, siendo que esto se constituye un riesgo para los derechos y las libertades de los titulares cuando: i) los datos fueron destruidos, ya no existen o no están disponibles de una forma que sea de utilidad para el responsable; ii) cuando los datos personales hayan sido alterados, corrompidos o dejan de estar completos; iii) cuando el responsable del tratamiento ha perdido el control o el acceso a los datos o ya no están en su poder; y, iv) cuando el tratamiento no ha sido autorizado o es ilícito, lo cual incluye la divulgación de datos personales o el acceso por parte de destinatarios que no están autorizados a recibir o acceder a los datos o cualquier otra forma de tratamiento que se ejecuta en contrario a las disposiciones legales.

En este cuerpo normativo también se detalla el contenido de la notificación de vulneraciones, el proceso de notificación de vulneración en caso de encargados del tratamiento de datos personales y la notificación de vulneración al titular de los datos.

Dentro del Reglamento también se da mayor detalle de la obligación de los responsables del tratamiento sobre la elaboración de una evaluación de impacto en la forma de un análisis preventivo, de naturaleza técnica, en donde se valoran los impactos reales del tratamiento de datos personales para identificar y mitigar riesgos. Esta evaluación es obligatoria en los casos determinados en la ley y debe ser realizada previo al inicio del tratamiento de datos personales.

La evaluación, obligatoria o no, debe cumplir con criterios y requisitos establecidos en el Reglamento y determinar los casos en donde hay una presencia de una evaluación sistemática y exhaustiva de aspectos personales, de un tratamiento a gran escala de categorías especiales de datos, de datos relativos a condenas e infracciones penales o, de una observación sistemática a gran escala de una zona de acceso público. En caso de duda razonable, se podrá consultar a la Autoridad para que determine la obligatoriedad de la evaluación de impacto.

DEL RESPONSABLE DEL TRATAMIENTO, LOS RESPONSABLES CONJUNTOS Y EL REGISTRO DE ACTIVIDADES DE TRATAMIENTO

El Reglamento señala que el responsable del tratamiento de datos personales, en el momento de la determinación de los medios para el tratamiento, como en el momento del procesamiento de datos personales, aplicar medidas apropiadas que sean adecuadas para la observancia efectiva de los principios de protección de datos, así como de los derechos reconocidos en la LOPDP, tomando en cuenta el estado de la técnica, costes de aplicación, naturaleza, alcance, circunstancia y fines del tratamiento, así como la probabilidad y gravedad de los riesgos para los intereses de los titulares.

En este documento se han levantado las definiciones de lo que es entendido como estado de la técnica y costos de aplicación, así como la prueba de las medidas de protección. Respecto de las medidas de protección, la carga probatoria le pertenece al responsable, quien podrá utilizar indicadores de rendimiento adecuados para demostrar el cumplimiento de sus obligaciones. Dichos indicadores pueden ser varios, incluyendo métricas para demostrar la eficacia de las medidas tomadas.

Un tema importante que ha sido definido en el Reglamento radica sobre los responsables conjuntos, siendo estos aquellos que determinan conjuntamente los mismos fines y medios del tratamiento de datos personales, quienes definirán sus respectivas tareas y responsabilidades de forma transparente a través de un contrato, en la medida en que estas no estén ya definidas en disposiciones legales. El contrato no puede impedir que el titular o interesado ejerza sus derechos contra cualquiera de los responsables conjuntos del tratamiento y que estos sean responsables solidarios. Cada responsable conjunto deberá cumplir las obligaciones que determina la LOPDP, en función de las responsabilidades asumidas en el acuerdo, cuya evidencia deberá estar a disposición de la Autoridad cuando lo solicite. En caso de sanciones, cada responsable conjunto es sujeto del régimen sancionador de forma diferenciada y en base a las responsabilidades adquiridas. Los contratos de protección de datos entre responsables conjuntos deben ser compartidos con los titulares interesados cuando estos los requieran.

En esta normativa se brinda un parámetro puntual de cuando el responsable deberá llevar un registro de actividades de tratamiento con todas las actividades del tratamiento que sea de su competencia, siendo esto cuando el responsable cuente con cien o más trabajadores. Adicionalmente, el Reglamento define el contenido del registro de actividades de tratamiento, que incluye 9 puntos con distinta información. Este registro debe llevarse por escrito o electrónicamente. Adicionalmente, la obligación de registro de actividades se extenderá para aquellos responsables que, teniendo menos de cien trabajadores, cumplan con una de las siguientes condiciones: i) el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertades de los titulares, de acuerdo con el análisis de riesgos, amenazas y vulnerabilidades; ii) no se trate de un tratamiento ocasional; o, iii) incluya categorías especiales de datos personales.

ENCARGADOS DEL TRATAMIENTO

Tal y como ya lo define la LOPDP, la relación entre responsable y encargado del tratamiento de datos debe regirse por un contrato escrito, en donde se detallan las instrucciones encomendadas; no obstante, el Reglamento también solicita que se recojan los siguientes aspectos:

1. El objeto
2. La duración
3. La naturaleza del tratamiento
4. La finalidad del tratamiento
5. La categoría de los datos personales
6. La identificación de los titulares de los datos personales tratados
7. Las obligaciones y responsabilidades del encargado.

El encargado siempre deberá exponer al responsable las medidas técnicas y organizativas adecuadas para brindar el servicio y que deberán ser equiparables a aquellas del responsable. Así mismo, el encargado deberá asistir al responsable y realizar todas las acciones necesarias y bajo su responsabilidad para que el responsable cumpla con la obligación de garantizar el correcto ejercicio de los derechos reconocidos por la LOPDP en favor de los titulares.

Un punto importante es que el Reglamento señala que el encargado será considerado responsable del tratamiento cuando este haya determinado los fines y los medios del tratamiento. En tal sentido, el encargado debe actuar a nombre y por cuenta del responsable y sus instrucciones documentadas y de considerar que una instrucción es ilegal, informará al responsable del tratamiento para que se corrija la instrucción de ser pertinente.

El encargado también deberá llevar un registro de actividades del tratamiento en caso de que el responsable con el que mantiene la relación esté obligado a hacerlo. Es posible la contratación de un subencargo siempre que esto esté comprendido en la relación contractual o se solicite permiso del responsable.

Una vez terminado el encargo, los datos deben ser devueltos o eliminados, incluyendo cualquier copia existente, salvo que exista la obligación de conservar los datos en virtud de una disposición legal.

DELEGADO DE PROTECCIÓN DE DATOS

El Reglamento define al Delegado de Protección de Datos y puntualiza que éste es una persona natural que se encarga de asesorar, velar y supervisar, de manera independiente, por el cumplimiento de las obligaciones y responsabilidades en el tratamiento de datos personales del responsable y encargado. Esta persona podrá realizar otras actividades relacionadas con la protección de datos personales que le sean encomendadas por el responsable, siempre que no supongan o exijan una preparación diversa ni que exista un conflicto en sus responsabilidades.

Esta persona actuará con total independencia del responsable y encargado del tratamiento de datos personales, quienes están obligados a facilitar su labor. Será la Autoridad quién emitirá la normativa que garantice la independencia del delegado de protección de datos personales.

Este delegado podrá ser contratado bajo relación de dependencia o a través de una prestación de servicios. Sea cual sea el caso, se debe garantizar la independencia. Para grupos empresariales, se podrá designar un único delegado de protección de datos personales, en la medida en que pueda ejecutar sus actividades y sin que se pueda generar conflicto de interés. El delegado de protección de datos no es sujeto a sanciones concernientes a su labor y cumplimiento de funciones y, en caso de que el responsable o encargado lo sancionen o remuevan de su cargo por motivo de la ejecución de sus obligaciones, deberá reportarlo a la Autoridad quién podrá sancionar a los responsables o encargados.

Adicionalmente, se detallan los factores que definirán las actividades de los responsables o encargados que requieren de un control permanente y sistematizado de datos que obliguen a la necesidad de contar, obligatoriamente, con un delegado de protección de datos. De existir dudas sobre los supuestos que dan lugar a la designación del delegado de protección de datos personales, los responsables o encargados podrán dirigir sus consultas a la Autoridad, cuya decisión será de cumplimiento obligatorio para los consultantes.

Finalmente, el Reglamento detalla los requisitos para ser delegado de protección de datos personales, los cuáles son:

1. Estar en goce de los derechos políticos
2. Ser mayor de edad
3. Tener título de tercer nivel en Derecho, Sistemas de Información, de Comunicación o de Tecnologías
4. Acreditar experiencia profesional de por lo menos cinco años.

Estos requisitos pueden ser aumentados por la Autoridad.

No podrán ser delegados de protección de datos personales aquellas personas que formen parte de los órganos de administración y control de responsable y encargado, los socios o accionistas del responsable y encargado, los cónyuges de los administradores, directores o comisarios de la compañía o sus parientes hasta el cuarto grado de consanguinidad o segundo de afinidad y quienes tengan conflicto de interés con el responsable y encargado previo revisión de la norma que la Autoridad emitirá para el efecto.

Adicionalmente al contrato que se pueda suscribir con el delegado de protección de datos personales, se deberá suscribir un acuerdo de confidencialidad, el mismo cuyos términos serán acordados libremente entre las partes.

RESPONSABILIDAD PROACTIVA, AUTORREGULACIÓN, CERTIFICACIÓN Y CÓDIGOS DE CONDUCTA

Esta normativa recalca la obligatoriedad de la responsabilidad proactiva y autorregulación, pero adicionalmente, ahonda en las medidas de protección de datos desde el diseño y por defecto, señalando la necesidad de adoptar medidas técnicas y organizativas adecuadas para proteger los derechos de los titulares de manera previa al tratamiento y para garantizar que, mediante ajustes, por defecto, se traten aquellos datos personales cuyo tratamiento sea necesario para la respectiva finalidad específica. Para acreditar el cumplimiento de las medidas de protección de datos por defecto, se podrá utilizar un mecanismo de certificación.

Adicionalmente, se determinan cuáles son los mecanismos de autorregulación que pueden ser utilizados por los responsables, los cuales deben estar registrados ante la Autoridad para dar a conocer información relativa a la autorregulación que se ejercerá.

De otro lado, el Reglamento detalla los objetivos de la obtención de la certificación que pueden obtener las personas para efecto de determinar el grado de cumplimiento de un mecanismo de autorregulación. Será la Autoridad quien determinará y actualizará los parámetros básicos o estándares mínimos de autoevaluación a los que deberán someterse los responsables y encargados para obtener la certificación correspondiente. Dicha certificación tendrá un periodo de validez de tres años renovables bajo determinadas condiciones y requisitos. Las certificaciones serán emitidas por entidades de certificación acreditadas por el Servicio Ecuatoriano de Acreditación. La acreditación es sujeto de revocatoria.

A más de lo antes establecido, la normativa señala que cualquier persona podrá presentar, para aprobación de la Autoridad, códigos de conducta que tengan como fin el cumplimiento de la normativa vigente. En el Reglamento se detallan aquella información mínima que deben contener los códigos correspondientes y el procedimiento a seguir para su aprobación.

TRANSFERENCIA O COMUNICACIÓN INTERNACIONAL DE DATOS

La Autoridad está llamada a que, de oficio o petición de parte, emita la resolución motivada que determine los países, organizaciones o personas jurídicas que cuentan con adecuados niveles de protección para transferencia de datos personales. La Autoridad deberá establecer el mecanismo de revisión periódica de los niveles adecuados de protección del país, organización o persona jurídica y, en caso de incumplir los niveles, podrá revocar, modificar o suspender su resolución. El Reglamento determina los criterios de estándares de nivel adecuado de protección que deberá tener el país, organización o persona jurídica para esta calificación.

Para aquellos casos en donde el país, organización o persona jurídica no haya sido calificada, se han determinado requisitos mínimos para poder realizar una transferencia o comunicación internacional, mediando garantías adecuadas de protección.

El Reglamento también habla de las normas corporativas vinculantes, que serán aquellas asumidas por un responsable o encargado del tratamiento establecido en el país y que sirvan para garantizar una adecuada protección de los datos personales, que permiten realizar transferencias internacionales de datos personales a un responsable o encargado en uno o más países, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta. Todo grupo empresarial podrá invocar normas corporativas vinculantes autorizadas para sus transferencias internacionales de datos a terceros países, siempre que tales normas incorporen todos los principios de tratamiento de datos personales y derechos aplicables y garantías de seguridad adecuadas para la transferencia. Estas normas corporativas deben ser autorizadas por la Autoridad de Protección de Datos siguiendo los requisitos definidos por la norma.

También habrá transferencia o comunicación internacional de datos en casos no contemplados únicamente cuando el responsable cumpla con uno de los supuestos detallados en el artículo 77 del Reglamento.

Adicionalmente, el Reglamento determina la información que se deberá registrar en el Registro Nacional de Protección de Datos respecto de las transferencias internacionales, lo que incluye: i) el país donde se ubica el destinatario de los datos; ii) las categorías de datos objeto de la transferencia; iii) las finalidades de la transferencia; iv) El nombre, denominación, razón social o nombre comercial con el que se identifique el destinatario; v) el mecanismo o esquema autorizado para realizar la transferencia conforme manda la normativa; y, vi) el criterio de excepción utilizado de los previstos en la ley, cuando sea el caso. La Autoridad privilegiará la utilización de medios digitales para el registro de la información descrita y emitirá las reglas conforme a las cuales se realizará el registro de la información, los medios disponibles, mecanismos de actualización y plazos.

DE LA AUTORIDAD DE PROTECCIÓN DE DATOS

Dentro del Reglamento se hacen puntualizaciones de la labor que tendrá la Autoridad de Protección de Datos, siendo uno de los factores más importantes el hecho de que su sede será en la ciudad de Quito D.M.

En el Reglamento se establecen las atribuciones de la Autoridad, sus planes anuales y las atribuciones del Superintendente de Protección de Datos Personales y sus responsabilidades frente al Registro Nacional de Protección de Datos Personales. Ahora bien, sobre el tema del Registro Nacional de Protección de Datos Personales, el artículo 86 del Reglamento determina la necesidad de una inscripción oportuna del reporte de bases de datos o tratamiento, lo cual deberá realizarse dentro del término de 10 días contados a partir del día siguiente al inicio del tratamiento.

Adicionalmente, la Autoridad llevará un registro único de responsables y encargados del tratamiento de datos personales incumplidos para aquellos que cuenten con una sanción por infracción que tenga una resolución firme. Este registro será utilizado exclusivamente para fines estadísticos, preventivos y de capacitación. La Autoridad guardará confidencialidad y privacidad de los datos contenidos en este registro y aplicará las medidas de seguridad para proteger la información personal ahí contenida. La información del registro se conservará por 7 años contados desde la fecha de la emisión de la resolución o sentencia en firme.

Finalmente, la disposición transitoria primera del Reglamento señala que la implementación y funcionamiento de la Superintendencia de Protección de Datos Personales estará sujeta a la disponibilidad presupuestaria, previo dictamen favorable del ente rector de las finanzas públicas.

RÉGIMEN SANCIONATORIO

De acuerdo con el Reglamento, el procedimiento administrativo sancionatorio se seguirá de conformidad con las disposiciones establecidas en el Código Orgánico Administrativo. Las sanciones a las que hubiere lugar se impondrán sin perjuicio de la responsabilidad civil o penal que resulten del cometimiento de la infracción.

De esta forma, en el presente artículo se ha procurado abordar los temas considerados de mayor importancia de este texto. Cualquier necesidad de información o profundización adicional sobre el nuevo Reglamento, estamos a las órdenes.

Mario Ruiz

---

Esta información es un resumen de novedades jurídicas de interés y por tanto no podrá ser considerada como una asesoría provista por AVL. Cualquier inquietud comunícate con el equipo de AVL Abogados.