El 26 de mayo del 2021 se promulgó la Ley Orgánica de Protección de Datos Personales (LOPDP), la cual es vinculante para toda persona que trate [1] datos personales, es decir, para cualquier persona natural, jurídica pública o privada, nacional o internacional (Responsable) [2] que trate datos personales de nacionales o residentes en el Ecuador (Titulares) [3].

¿Cuál es el fin la LOPDP?

La finalidad de esta norma es reglar cualquier tratamiento de datos personales que realice el Responsable, y garantizar los derechos de los Titulares

¿Quiénes tienen derechos, según la LOPDP?

Los Titulares, es decir los usuarios, visitantes, empleados, directivos, proveedores, clientes, transeúntes, o cualquier otra persona que sus datos sean tratados, de manera directa o indirecta.

¿Qué debe hacer mi organización para cumplir con la LOPDP?

Como primer paso se deberá conocer cómo se están tratando los datos personales (de cualquier persona) dentro de la empresa, con el fin de analizar el riesgo actual y evaluar el impacto económico, reputacional, organizacional en el caso de que exista alguna brecha de seguridad.

Una vez analizado lo anterior, se deberán tomar las medidas organizativas, jurídicas y técnicas necesarias, entre ellas, políticas de protección de datos (p. ej.: datos biométricos, cámaras de seguridad, correos electrónicos, uso de dispositivos electrónicos, etc.), cláusulas de protección de datos en los contratos de los trabajadores, directores, proveedores, etc., políticas de privacidad en las páginas web, contratos con los proveedores que traten datos personales (encargados del tratamiento[4]), nombrar al delegado de protección de datos[5], servidores, servicios de cloud, etc.

¿Qué pasa si no cumplo con la LOPDP?

Es importante tener en cuenta que la autoridad ha dado un plazo de 2 años para que el Responsable tome las medidas necesarias y no sea sancionado. Estos dos años se cumplen el 26 de mayo de 2023.

En cuanto a las sanciones, la normativa establece -además de las medias correctivas que la autoridad puede imponer- dos tipos de sanciones:

• Leves: 0.1% al 0.7% sobre el volumen del negocio.

• Graves: 0.7% al 1% sobre el volumen del negocio.

Se debe entender al volumen de negocio como el resultado de la venta de productos o servicios del último ejercicio, previa deducción del IVA y otros impuestos[6].

¿Dos años son suficientes para cumplir con la LOPDP?

Todo dependerá del flujo de datos que se trate dentro de la compañía, de la industria en la que se encuentre, y de cómo se estén tratando los datos en la actualidad.

Por otro lado, de los dos años establecidos en la normativa, ya ha pasado casi uno, por lo que, el tiempo apremia.

Conclusión

La LOPDP está vigente desde el año anterior; sin embargo, la autoridad ha dado dos años, de los cuales ya ha pasado casi uno, para que los Responsables cumplan con sus obligaciones, so pena de sanciones que no son menores. Es necesario que se tomen varias medidas desde el punto organizacional, jurídico y técnico, lo cual, y dependiendo de la industria y flujo de datos, podrá tomar tiempo, esfuerzo y capital.

AVL está capacitado para poder asesorar a todo tipo de industria desde la fase inicial (due diligence de datos) hasta la implementación de las medidas organizativas y jurídicas. En cuanto a la implementación de las medidas técnicas, AVL ha enlazado relaciones con sus partners estratégicos como IBM y Microsoft, por si el cliente requiere de asesoría en el campo tecnológico.

---

[1] Art. 4, Ley Orgánica de Protección de Datos Personales:

“Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos técnicos de carácter automatizado, parcialmente automatizado o no automatizado, tales como: la recogida, recopilación, obtención, registro, organización, estructuración, conservación, custodia, adaptación, modificación, eliminación, indexación, extracción, consulta, elaboración, utilización, posesión, aprovechamiento, distribución, cesión, comunicación o transferencia, o cualquier otra forma de habilitación de acceso, cotejo, interconexión, limitación, supresión, destrucción y, en general, cualquier uso de datos personales”.

[2] Ídem: “Responsable de tratamiento de datos personales: persona natural o jurídica, pública o privada, autoridad pública, u otro organismo, que solo o conjuntamente con otros decide sobre la finalidad y el tratamiento de datos personales”.

[3] Ídem: “Titular: Persona natural cuyos datos son objeto de tratamiento”.

[4] Ídem:

“Encargado del tratamiento de datos personales: Persona natural o jurídica, pública o privada, autoridad pública, u otro organismo que solo o conjuntamente con otros trate datos personales a nombre y por cuenta de un responsable de tratamiento de datos personales”.

[5] Ídem:

“Delegado de protección de datos: Persona natural encargada de informar al responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la Autoridad de Protección de Datos Personales, sirviendo como punto de contacto entre esta y la entidad responsable del tratamiento de datos”.

[6] Art. 73, Ley Orgánica de Protección de Datos Personales:

A efectos del régimen sancionatorio de la presente ley, se entiende por volumen de negocio, a la cuantía resultante de la venta de productos y de la prestación de servicios realizados por operadores económicos, durante el último ejercicio que corresponda a sus actividades, previa deducción del Impuesto al Valor Agregado y de otros impuestos directamente relacionados con la operación económica.