Como es de su conocimiento, la Ley Orgánica de Protección de Datos (en adelante la “LOPD”) fue promulgada el 26 de mayo de 2021, por lo que, a partir de esta fecha todas las personas, ya sean naturales, jurídicas o entidades públicas, están obligadas a cumplir con la LOPD.

Como es común en nuestro país, los reglamentos a las leyes son emitidos posteriormente a la promulgación de estas, lo que causa para los administrados un cierto limbo jurídico temporal, pues la falta de los reglamentos hace que las personas no sepamos cómo aplicar de manera objetiva la norma.

Se ha visto, asimismo, que hay normas que no han sido reglamentadas durante años, causando más confusión e inseguridad jurídica para los obligados; sin embargo, y lamentablemente, esta falta de coherencia legislativa no exime a los obligados el cumplimiento de la norma.

En este sentido, la LOPD, en su artículo 6, establece que como normas aplicables a la protección de datos personales, entre otras, estará el reglamento a la LOPD, el cual ayudará a determinar algunos asuntos necesarios para la aplicabilidad de esta.

Por otro lado, en la disposición transitoria segunda se establece el plazo de dos años para que la LOPD entre en vigencia, lo que quiere decir que, a partir del 26 de mayo de 2023 el régimen sancionatorio comienza a ser aplicable a todas las personas que traten datos personales. Pero ¿qué sucede en este interín si no se tiene un reglamento el cual se espera que esté antes de estos dos años? ¿Las personas que tratan datos personales deben cumplir o no con la LOPD? ¿Cómo se puede cumplir con la LOPD sin un reglamento? Estas preguntas son comunes actualmente por parte de los responsables[1] del tratamiento de datos personales.

Dando una respuesta objetiva a estas cuestiones comunes, es que no es necesario el reglamento a la LOPD para su cumplimiento actual de la misma, pues, y de acuerdo con la LOPD, para la implementación en general de la norma se deberá basar en el principio de responsabilidad proactiva o accountability como punto de partida.

El principio de responsabilidad proactiva, según nuestra normativa, se refiere a que, además de cumplir con los principios, derechos y obligaciones prescritos en la LOPD, el responsable“podrá valerse de estándares, mejores prácticas, esquemas de auto y corregulación, códigos de protección, sistemas de certificación, sellos de protección de datos personales o cualquier otro mecanismo que se determine adecuado a los fines, la naturaleza del dato personal o el riesgo del tratamiento”[2].

El principio de responsabilidad proactiva, además de lo mencionado por la LOPD, va más allá, pues lo que realmente se busca con este es que los responsables tengan “una actitud consciente, diligente y proactiva (…) frente a todos los tratamientos de datos personales que se llevan a cabo”[3]. Es decir que los responsables, bajo su propia autorregulación, determinen las medidas que crean necesarias dentro del tratamiento de protección de datos.

La LOPD, como se puede apreciar, abre un abanico de opciones para que el cumplimiento por parte de los responsables sea inexcusable, de las cuales se debe tener presente la opción de “valerse de estándares” y “mejores prácticas”[4] con el fin de cumplir con la ley.

Al establecer la LOPD que para el cumplimiento de la norma no solo se debe basar en el cuerpo positivo ecuatoriano, sino que además se deberá observar los estándares y mejores prácticas al respecto, se abre la posibilidad de ver cómo funciona la protección de datos en otros países, para lo cual es recomendable observar de manera muy detenida al Reglamento General de Protección de Datos europeo, y los preceptos dados por los órganos de la Unión Europea.

Al tener esta apertura, la implementación de la LOPD en el Ecuador no será, al menos en el sentido normativo, tan compleja.

En conclusión, actualmente la LOPD no tiene un reglamento que la regule; sin embargo, la falta de este cuerpo normativo no exime a los responsables del tratamiento el no cumplimiento de la LOPD, pues dentro de esta norma se establece el principio de responsabilidad proactiva o accountability, el cual no es más que dar la opción a los responsables de que puedan implementar todo lo necesario para la protección de los datos bajo estándares o mejores prácticas internacionales.

Santiago Andrade Cadena

[1] Para conocer más sobre los sujetos del sistema de protección de datos personales, visítanos en https://www.avl.com.ec/una-perspectiva-general-de-la-ley-organica-de-proteccion-de-datos-personales/

[2] Art. 10.k, Ley Orgánica de Protección de Datos.

[3] Guía del Reglamento General de Protección de Datos para Responsables del Tratamiento emitido por la Agencia Española de Protección de Datos: https://www.aepd.es/es/documento/guia-rgpd-para-responsables-de-tratamiento.pdf-0

[4] Art. 10.k, Ley Orgánica de Protección de Datos.