Desafíos y Oportunidades de los CIO en el Marco de Leyes y Normativas vigentes

Dr. Santiago Acurio Del Pino, Máster en Derecho Digital y Experto en Derecho Penal.

Profesor de la Pontificia Universidad Católica del Ecuador.  

Las recientes leyes sobre Protección de Datos Personales, incluyendo su reglamento emitido en noviembre de 2023, junto con la implementación del Reglamento a la Ley Orgánica para el Desarrollo, Regulación y Control de los Servicios Financieros Tecnológicos desde el 14 de noviembre, así como la promulgación de la Ley para la Transformación Digital y Audiovisual, ofrecen oportunidades sustanciales para los CIO y departamentos de Tecnologías de la Información en Ecuador. 

Estas leyes están fomentando la implementación de soluciones para la gestión de datos y seguridad de la información, y abren un espacio propicio para que las empresas tecnológicas exploren y creen nuevos productos y servicios. Sin embargo, la efectiva ejecución de estos cambios no solo requiere preparación técnica, sino también una voluntad estratégica y financiera para afrontar las demandas normativas. 

Los desafíos que enfrentarán los CIO en 2024 con respecto al cumplimiento normativo son múltiples. Aunque la Ley Orgánica de Protección de Datos Personales y su Reglamento están vigentes desde 2021 y 2023 respectivamente, persiste una brecha en su entendimiento y aplicación, ya sea por la complejidad normativa o por la falta de recursos para su implementación, así como un seguimiento ineficaz en las organizaciones. 

Este año, los CIO deben comprender a fondo las leyes y asegurarse de que las aplicaciones y tecnologías utilizadas estén alineadas con los estándares de protección de datos exigidos. Es importante tomar acciones que involucren la implementación de controles de seguridad apropiados, integrar la privacidad en el diseño y operación de sistemas y procesos empresariales, y establecer políticas que garanticen el cumplimiento desde el inicio de cualquier proyecto u iniciativa. 

Además, la atención debe centrarse en el reglamento que otorga derechos a los titulares de datos, como el acceso, corrección, portabilidad y supresión. La implementación de procesos y cambios organizativos para manejar eficientemente estas solicitudes y cumplir con los plazos legales. 

Dado que las empresas a menudo dependen de proveedores terceros que también manejan datos personales, los CIO deben asegurarse de que cumplan con las regulaciones, enfrentando desafíos debido a diferentes jurisdicciones donde se ubican los distintos proveedores de servicios. También deben estar preparados para inspecciones y auditorías por parte de la Superintendencia de Datos Personales, cuya función es hacer cumplir la Ley de Protección de Datos Personales y estará a cargo de imponer las sanciones. Estos desafíos requieren un enfoque multidisciplinario que combine habilidades técnicas, legales y de gestión, y una estrecha colaboración entre los departamentos de TI, legal y de cumplimiento. 

Respecto a la Ley Fintech, diseñada para regular los servicios financieros digitales en Ecuador, presenta una serie de oportunidades para los CIO del sector. Esta regulación, además de crear un entorno de mercado más competitivo y equitativo, ofrece a los líderes de tecnología la posibilidad de encabezar la implementación e innovación de nuevas soluciones. Para las empresas de tecnología financiera, esta ley supone una ventana de oportunidad para desarrollar nuevos productos y servicios que se ajusten a las nuevas regulaciones. 

Además, la ley puede contribuir a disminuir la desconfianza en los procesos financieros digitales. La implementación de Sandboxes regulatorios, en particular, podría fomentar un mayor nivel de confianza, y a su vez impulsar la adopción más amplia de estas tecnologías en el ámbito financiero. Sin embargo, se espera que estas disposiciones vayan más allá del papel y se traduzcan en acciones tangibles que beneficien a todos los involucrados en el ecosistema financiero digital. 

Las nuevas leyes y regulaciones en Ecuador inciden en el panorama de adopción tecnológica en las empresas ecuatorianas. Si bien ofrecen oportunidades prometedoras para el liderazgo de los CIO, también plantean desafíos complejos que requieren una comprensión profunda, adaptación ágil y colaboración interdisciplinaria, además de una preparación integral, el enfoque estratégico alineado a la organización y una colaboración interdepartamental. 

Los CIOs debe adaptarse al reglamento de la Ley de Protección de Datos Personales.  

El Decreto Ejecutivo No 904, publicado en el Tercer Suplemento No. 435 del Registro Oficial, publicado el 13 de noviembre del 2023 que contiene el Reglamento de Protección de Datos en Ecuador, se compone de 14 capítulos y 90 artículos.  

Lista de capítulos y descripción de contenidos del reglamento 

Capítulo	Contenido
I. Generalidades	Establece el objeto, ámbito y definiciones clave del reglamento.
II. Conservación de Datos Personales	Aborda los plazos de conservación de datos personales y las obligaciones relacionadas con la eliminación, bloqueo o anonimización de datos.
III. Derechos	Describe los medios y procedimientos para el ejercicio de los derechos de los titulares de datos personales.
IV. Disposiciones   Aplicables a   Tratamientos Concretos	Trata temas específicos como datos de personas fallecidas, datos crediticios y datos de menores de edad.
V. Transferencia o   Comunicación de Datos a Terceros	Establece las condiciones y requisitos para la transferencia o comunicación de datos personales a terceros.
Capítulo	Contenido
VI. Vulneración a la   Seguridad de Datos Personales	Aborda las obligaciones de notificación en caso de vulneración de seguridad de datos personales.
VII. Evaluación de Impacto	Describe el proceso y requisitos para la evaluación de impacto en el tratamiento de datos personales.
VIII. Responsable del Tratamiento	Detalla las obligaciones y responsabilidades del responsable del tratamiento de datos personales.
IX. Encargado del Tratamiento	Explica las obligaciones y responsabilidades del encargado del tratamiento de datos personales.
X. Delegado de Protección de Datos	Aborda las funciones, obligaciones y responsabilidades del Delegado de Protección de Datos.
XI. Responsabilidad   Proactiva y   Autorregulación	Establece las obligaciones de los responsables y encargados del tratamiento en cuanto a la responsabilidad proactiva y la autorregulación.
	SECCIÓN 1: Certificación del mecanismo de autorregulación y la entidades de Certificación
	SECCIÓN 2: Códigos de Conducta y Evaluación de Fondo
XII. Transferencia o   Comunicación   Internacional de Datos	Describe las condiciones y requisitos para la transferencia o comunicación internacional de datos personales.
XIII. Autoridad de   Protección de Datos   Personales y sus Atribuciones	Describe las funciones y atribuciones de la Autoridad de   Protección de Datos Personales.
XIV. Régimen Sancionatorio	Establece que las infracciones y sanciones relacionadas con la protección de datos personales serán impuestas siguiendo el procedimiento administrativo sancionador dispuesto en el Código   Orgánico Administrativo COA

Aspectos de interés de la Ley Fintech 

La Ley Orgánica para el Desarrollo, Regulación y Control de los Servicios Financieros Tecnológicos, también conocida como Ley Fintech, tiene varios puntos importantes:  

1. Objeto y Finalidad: La ley tiene como objetivo regular las actividades Fintech relacionadas con todas las actividades financieras, incluyendo el mercado financiero, de valores y seguros. Su finalidad es fomentar la innovación y el desarrollo, adopción y uso de nuevas tecnologías en productos y servicios financieros para mejorar la inclusión financiera, la productividad nacional y contribuir a la reducción de brechas de desigualdad socioeconómica en un contexto de plena competencia y brindar la protección a los usuarios y consumidores de los servicios.  

1. Ámbito de Aplicación: La ley se aplica al desarrollo, prestación, uso y oferta de Actividades Fintech en todo el territorio nacional.  

1. Actividades Fintech: La ley define las Actividades Fintech como el desarrollo, prestación, uso u oferta de infraestructuras tecnológicas para canalizar medios de pago, servicios financieros tecnológicos, sociedades especializadas de depósitos y pagos electrónicos, servicios tecnológicos del mercado de valores, y servicios tecnológicos de seguros.  

1. Principios: La ley se rige por los principios de autonomía de la voluntad, regulación basada en riesgos, transparencia, especialidad, lealtad, confidencialidad y protección de datos, seguridad, e incidentes/vulnerabilidades.  

1. Requisitos para el Ejercicio de Actividades Fintech: Para ejercer Actividades Fintech en Ecuador, las compañías deben estar debidamente constituidas como sociedades nacionales, o estar autorizadas como sucursales de compañías extranjeras en Ecuador. Además, se requerirá autorización para la prestación de cualquiera de las Actividades Fintech establecidas en esta Ley, por la Superintendencia de Bancos, la Superintendencia de Economía Popular y Solidaria, la Superintendencia de Compañías, Valores y Seguros o el Banco Central del Ecuador.  

1. Regulación y Control: Las entidades que desarrollan actividades financieras centradas en la tecnología digital y electrónica o que realicen actividades que representen riesgo financiero serán reguladas por la Junta de Política y Regulación Financiera y controladas por el Banco Central del Ecuador.  

El Reglamento a la ley también trae puntos importantes tales como:  

1. Objeto y ámbito: El reglamento tiene como objetivo desarrollar y estructurar la normativa necesaria para aplicar la Ley Fintech. Su aplicación es obligatoria para todas las personas naturales y jurídicas, nacionales y extranjeras, que participen en cualquier actividad Fintech.  

1. Regulación y control: Las actividades Fintech serán reguladas por la Junta de Política y Regulación Monetaria y la Junta de Política y Regulación Financiera. La calificación, supervisión y control de las compañías que desarrollen actividades Fintech corresponderá al Banco Central del Ecuador, a la Superintendencia de Compañías, Valores y Seguros, o a la Superintendencia de Bancos.  

1. Actividades Fintech: Las compañías que desarrollen actividades Fintech deben tener un objeto social específico y exclusivo para dichas actividades. Estas compañías pueden prestar uno o varios de los servicios que forman parte de las diferentes actividades Fintech, siempre y cuando obtengan la autorización correspondiente.  

1. Prevención de lavado de activos y financiamiento de delitos: La Junta de Política y Regulación Monetaria y la Junta de Política y Regulación Financiera deben emitir regulaciones para prevenir el lavado de activos y el financiamiento de delitos.  

1. Ciberseguridad: Los entes de regulación deben emitir la regulación respectiva en materia de seguridad de la información y ciberseguridad.  

1. Implementación de SANDBOX regulatorios: El Banco Central del Ecuador, la Superintendencia de Bancos y la Superintendencia de Compañías, Valores y Seguros son los únicos organismos competentes para la implementación de los ambientes de pruebas regulatorios (Sandbox).  

1. Protección de consumidores: Las Fintech deben velar por dar una información transparente al cliente que, en todo momento, debe conocer los riesgos que entrañan participar en un proyecto, contratar un servicio o producto.