Confidencialidad, tratamiento y protección de datos

Share

Stefanie Ponce, abogada senior en Ecuador Consulting Group, habla de las características contractuales esenciales que deben estar presentes en la página web de un negocio para conservar la confidencialidad, el trato de los datos, la protección legal de eventuales contingencias y aspectos clave de la Ley de Protección de Datos Personales.

1.- ¿Qué implicaciones tiene la aplicabilidad la Ley de Protección de Datos Personales, considerando que hasta el momento aún no se existe un reglamento?

La Ley Orgánica de Protección de Datos Personales, en lo principal se enfoca en las condiciones que tienen que verificarse con el objetivo de asegurar la legitimidad al tratamiento que se brinda a los datos personales de los usuarios y como este último puede expresar su voluntad de que sus datos sean tratados por el sitio web, redes sociales u otro mecanismo electrónico.

Dentro del ámbito de su regulación respecto a la información, se encuentra regulado: el tratamiento, el acceso, la rectificación y actualización, la eliminación, la oposición, a la portabilidad, a no ser objeto de una decisión basada única o parcialmente en valoraciones automatizadas, de consulta pública y gratuita ante el Registro Nacional de Protección de Datos Personales y la educación digital.

Además, realiza una diferenciación con categorías especiales de datos personales con su respectivo tratamiento especializado, a información que comprenda datos de salud, datos de personas con discapacidad, datos de niños, niñas y adolescentes, y los datos sensibles.

Dentro de las disposiciones transitorias de la Ley Orgánica de Protección de Datos Personales, se hace referencia a que las normas relativas al régimen sancionatorio no entrarán en vigor sino hasta dos años después de su publicación en el Registro Oficial.

La Disposición Transitoria PRIMERA, también indica que, en el transcurso de los dos años, los responsables y encargados del tratamiento de datos personales se adecuarán a los preceptos establecidos dentro de las disposiciones, su reglamento de aplicación y demás normativa emitida por la Autoridad de Protección de Datos Personales.

2.- Cuáles son los aspectos más relevantes de la Ley de Protección de Datos Personales que deben observar los gerentes de Tecnología para adaptar soluciones en la cadena de gestión y tratamiento de datos.

El responsable o encargado del tratamiento de datos personales según sea el caso, deberá sujetarse al principio de seguridad de datos personales, para lo cual deberá implementar un proceso de verificación, evaluación y valoración continua y permanente de la eficiencia, eficacia y efectividad de las medidas de carácter técnico, organizativo y de cualquier otra índole, implementadas con el objeto de garantizar y mejorar la seguridad del tratamiento de datos personales.

El responsable o encargado del tratamiento de datos personales deberá evidenciar que las medidas adoptadas e implementadas mitiguen de forma adecuada los riesgos identificados.

Entre otras medidas, se podrán incluir las siguientes:

  • Medidas de anonimización, seudonomización o cifrado de datos personales;
  • Medidas dirigidas a mantener la confidencialidad, integridad y disponibilidad permanentes de los sistemas y servicios del tratamiento de datos personales y el acceso a los datos personales, de forma rápida en caso de incidentes;
  • y Medidas dirigidas a mejorar la residencia técnica, física, administrativa, y jurídica.

Los responsables y encargados del tratamiento de datos personales podrán acogerse a estándares internacionales para una adecuada gestión de riesgos enfocada a la protección de derechos y libertades, así como para la implementación y manejo de sistemas de seguridad de la información o a códigos de conducta reconocidos y autorizados por la Autoridad de Protección de Datos Personales.

3.- Las áreas de tecnología deben prepararse para cumplir con los aspectos técnicos sobre los recursos digitales utilizados por las compañías (página web de las empresas, el uso de técnicas como mailing o estrategias comerciales con uso de chatbots)

¿Qué aspectos debe considerar la empresa dueña del sitio web (destinatario), y también el hospedador del host usado para salvaguardar la seguridad y confidencialidad de los datos personales?

Previo a plasmar las políticas de privacidad del sitio web, es imperante reconocer que el usuario tiene derechos como el de la información, al acceso, rectificación y actualización, eliminación, oposición, portabilidad, suspensión de tratamiento, entre otros.

El elemento principal siempre va a ser el consentimiento, ya que es la manifestación de la voluntad libre, específica, informada e inequívoca, por el que el titular de los datos personales autoriza al responsable del tratamiento de los datos personales a tratar los mismos.

4.- ¿Qué aspectos técnicos y legales debe considerar la empresa destinataria de un sitio web ecuatoriano que gracias a internet tiene un alcance global?

Un sitio web ecuatoriano, debe tener claro que uno de los derechos de los usuarios, es a ser informado por cualquier medio, conforme a los principios de lealtad y transparencia, sobre las transferencias o comunicaciones, nacionales o internacionales, de datos personales que pretenda realizar, incluyendo los destinatarios y sus clases, así como las finalidades que motivan la realización de estas y las garantías de protección establecidas.

5.- El uso de la aceptación de las cookies es un mecanismo legal (es un consentimiento) que posibilita a las empresas recabar información a través de este recurso, ¿por qué?

Para la LOPDP el consentimiento es la manifestación de la voluntad libre, específica, informada e inequívoca, por el que el titular de los datos personales autoriza al responsable del tratamiento de los datos personales a tratar los mismos.

Por lo antes mencionado, es indispensable que el usuario tenga la capacidad técnica de autorizar previamente las cookies que desea aceptar, así como también la de verificar cuáles son las cookies aprobadas y consecuentemente tener los datos de contacto correspondientes para que cualquier usuario pueda ejercer sus derechos de privacidad, acceso, rectificación, cancelación y oposición, según la Ley de Protección de Datos Personales.

6.- ¿Qué aspectos deben considerar la web de empresas ecuatorianas para asegurar la confidencialidad de los datos de usuarios de otras latitudes, o más aún, de sitios web cuyo core de negocio es atraer turistas para turismo receptivo, o reservas de alojamiento o distracciones?

Respecto a la transferencia internacional de datos, actualmente la LOPDP, determina, que se requerirá la autorización de la Autoridad de Protección de Datos, para lo cual, se deberá garantizar documentadamente el cumplimiento de la normativa vigente sobre protección de datos de carácter personal, según lo determinado en el Reglamento de aplicación a la LOPDP.

Sin perjuicio de lo anterior, la información sobre transferencias internacionales de datos personales deberá ser registrada previamente en el Registro Nacional de Protección de Datos Personales por parte del responsable del tratamiento o, en su caso, del encargado, según el procedimiento establecido en el Reglamento de aplicación a la LOPDP.

7.- Qué deberían hacer las áreas de negocio de las empresas para recabar los datos de consumidores para sus estrategias comerciales cuando usan páginas web, formularios de registro, etc. (qué pasos deben cumplir) para apegarse a la Ley?

Teniendo en cuenta que todos los datos de los usuarios son de carácter personal, incluidos, información numérica, alfabética, fotos, audios y cualquier tipo de información sensible, es necesario entender que una buena política de privacidad contiene:

  • Datos de los responsables del dominio: Se incluye la información personal y de contacto del encargado del uso y mantenimiento de los datos recogidos por el sitio web.
  • Forma de contacto: Información para que cualquier usuario pueda ejercer sus derechos de privacidad, acceso, rectificación, cancelación y oposición, según la Ley de Protección de Datos Personales.
  • Finalidad del uso de datos: Deben estar contemplados toda la información sobre el objetivo y el tratamiento de los datos, así como sus responsables. A su vez, se debe especificar el porqué del uso de la información y el tiempo.
  • Cesión o transmisión: la posibilidad que tienen las aplicaciones y sitios web para compartir datos personales de sus usuarios es un hecho muy delicado. Aquí debe estar muy especificado si sus servicios, web o app comparten los datos de los usuarios con terceros y porque.
  • Responsabilidad del usuario: Así como el usuario tiene derecho, también tiene deberes. En este punto se plantean todas las limitaciones que tienen las personas para usar, transmitir y divulgar los servicios e información de tu empresa, sitio o aplicación. Todo esto tiene que estar acompañado de una filosofía corporativa o de trabajo que garantice el cumplimiento de todas las leyes del país en los que opera el sitio web en cuanto a la seguridad de datos.

8.- ¿Cuáles son las consideraciones que se deben tomar en cuenta para el tratamiento de datos en las campañas mailing?

Aplicando lo respondido en la pregunta anterior, se debe complementar, que el responsable del tratamiento de datos personales tiene que reportar y mantener actualizada la información ante la Autoridad de Protección de Datos Personales, respecto a lo siguiente:

  • Identificación de la base de datos o del tratamiento;
  • El nombre domicilio legal y datos de contacto del responsable y encargado del tratamiento de datos personales;
  • Características y finalidad del tratamiento de datos personales;
  • Naturaleza de los datos personales tratados;
  • Identificación, nombre, domicilio legal y datos de contacto de los destinatarios de los datos personales, incluyendo encargados y terceros;
  • Modo de interrelacionar la información registrada;
  • Medios utilizados para implementar los principios, derechos y obligaciones contenidas en la LOPDP y normativa especializada;
  • Requisitos y herramientas administrativas técnicas y físicas, organizativas y jurídicas implementadas para garantizar la seguridad y protección de datos personales;
  • Tiempo de conservación de los datos.

9.- ¿Cuáles son las características contractuales esenciales que deben estar presentes en la página web de un negocio para conservar la confidencialidad

En todo sitio web se debe redactar y aplicar ciertos parámetros donde se establezcan las leyes y medios de protección de datos, tales como:

  • Responsable del fichero y finalidad: toda la información de quién usa los datos y por qué, si se cuenta con una Inteligencia Artificial, entre otros.
  • Consentimiento: reconocimiento de la privacidad de los datos del usuario.
  • Derecho de los afectados: compromiso por respetar y facilitarles a las personas el ejercicio de sus derechos reconocidos por las leyes.
  • Medidas de seguridad: niveles de hermetismo y protección de datos personales.
  • Comunicaciones comerciales: derecho del usuario a no querer recibir más información sobre la actividad comercial de la marca.