En la Ley Orgánica de Protección de Datos Personales (LOPDP) existe todo un capítulo dedicado a los principios que rigen de manera específica a la normativa de la materia. Uno de estos principios, el de finalidad, es fundamental para entender la respuesta a la pregunta que se plantea en esta ocasión, ¿por qué y para qué se recaban los datos personales?

La legislación ecuatoriana ha determinado que la finalidad del tratamiento de datos personales deberá ser determinada, explícita, legítima y comunicada a su titular[1]. Eso significa que cuando una persona natural o jurídica vaya a tratar datos personales de terceros tiene la obligación de comunicar al titular el objetivo del uso que se va a dar a esos datos de manera expresa, clara y transparente. Además, cabe mencionar que el responsable del tratamiento de datos personales tiene la facultad de decidir el propósito que se va a dar a esos datos, siempre que se cumpla con las bases legitimadoras expresadas en la LOPDP y con el consentimiento expreso del titular.

Otro aspecto relevante que establece la norma es que no podrán tratarse datos personales con fines distintos para los cuales fueron recopilados, salvo cuando sea compatible con los fines de su recogida inicial, o que se configure una de las condiciones de tratamiento legítimo de datos personales, que son las siguientes[2]:

1. Que el titular otorgue su consentimiento para que sus datos sean utilizados para varias finalidades, las cuales deben ser especificadas.
2. En caso de que el responsable del tratamiento de datos personales deba cumplir con alguna obligación legal.
3. En caso de que el responsable del tratamiento de datos personales deba cumplir con una orden judicial.
4. Cuando su tratamiento se de por un asunto de interés público o en el ejercicio de poderes públicos otorgados al responsable del tratamiento de datos personales por ley.
5. Para la ejecución de medidas precontractuales o para el cumplimiento de obligaciones contractuales.
6.  Para proteger cuestiones tales como la vida, salud o integridad del titular de los datos.
7. Cuando los datos se encuentren en bases de datos de acceso público.
8. Para satisfacer un interés legítimo del responsable de tratamiento o de un tercero, siempre que no prevalezca el interés o derechos fundamentales del titular de los datos.

Cabe mencionar que el incumplimiento a este principio constituye una falta grave para el responsable del tratamiento de los datos personales de conformidad con el artículo 68, numeral 2 de la LOPDP. La Autoridad de Protección de Datos Personales se encargará de imponer las sanciones administrativas que correspondan, entre esas, podrá imponer una multa de entre el 0.7% y el 1% calculada sobre el volumen de negocios correspondiente al ejercicio económico inmediatamente anterior al de la imposición de la multa.

Por este motivo, el trabajo de los responsables del tratamiento de datos personales requiere de una atención especial a los detalles para evitar que los datos que se encuentran bajo su custodia sean usados para otra finalidad distinta para la que fueron entregados, y deberán contar con los respaldos suficientes para demostrar este hecho en cualquier momento. Aquí radica la importancia de establecer protocolos para prevenir incumplimientos de la legislación actual así como para garantizar a los titulares de los datos sus derechos.

Belén Viteri

[1] Art.10, literal d), LOPDP.

[2] Art. 7, LOPDP.