La entrada en vigencia de la Ley de Protección de Datos Personales, LPDP, en Ecuador, el 26 de mayo del 2023, implica que todas las empresas que operan en el país, incluyendo las extranjeras que manejen datos de personas ecuatorianas, deberán cumplir con las regulaciones establecidas en la ley.
Las empresas ecuatorianas deberán, por ejemplo, obtener el consentimiento explícito de los titulares de los datos antes de recopilar, almacenar o procesar cualquier información personal, además, garantizar la seguridad y confidencialidad de los datos personales, designar un responsable de protección de datos encargado de supervisar y garantizar el cumplimiento de la ley.
¿Pero qué tanto están las empresas preparadas para su cumplimiento?
Al respecto conversamos con Lorena Naranjo, directora de la Maestría en Derecho Digital e Innovación de UDLA y directora del Área de Protección de Datos de Spingarn &Marks quien enfatizó que no se necesita de un reglamento para la aplicabilidad de la Ley de Protección de Datos Personales, puesto que es un derecho fundamental y desde el punto de vista jurídico, legal y constitucional es de aplicación directa. El principio de responsabilidad proactiva y demostrada obliga a cumplir con la ley, utilizando los estándares técnicos disponibles y mejores prácticas hasta que la autoridad de protección sea nombrada y dicte las directrices necesarias.
Así mismo, mencionó que la implementación de marcos referenciales como el Sistemas de Gestión de la Información o de las ISO 27000 o su extensión a las ISO 27701, permiten cumplir con uno de los principios de la ley relacionado con controles de seguridad.
Además, de los controles se debía considerar un análisis diagnóstico de la organización para definir las acciones y mecanismos con que obtendrá el consentimiento informado y trabajar las bases legitimadoras que habiliten el uso de los datos cumpliendo con el principio de transparencia e información de cómo se usarán los datos.
Para la experta quien participó en el proceso de aprobación de la Ley, existe una falsa idea de que se necesita primero de un reglamento para aplicar la ley.
¿Qué sucede al no existir aún una autoridad de protección de datos si existe incumplimiento de la ley?
Los clientes, colaboradores o usuarios que se sienta afectados pueden presentar una denuncia o reclamo directamente a la empresa que realizó el tratamiento de sus datos. Una vez, que se nombre la autoridad de protección de datos personales, el afectado puede invocar esa denuncia y llevarla a esta como autoridad competente. Debido a que la denuncia evidencia que se produjo en el periodo de vigencia del régimen sancionatorio, la autoridad cuando sea nombrada dará paso al proceso de juzgamiento y la asignación de multas, de ser el caso. Está será la forma en la que, el régimen sancionatorio entrará en vigencia en ausencia de una autoridad, es decir dejándose evidencia de la fecha de la incorrección de un responsable de tratamiento por parte de un titular denunciante.
¿Cuál puede ser considerada una incorrección?
Un consentimiento informado incorrecto, por ejemplo, es no permitir al usuario contar con opciones para elegir o no la aceptación del uso de sus datos.
¿Cuáles son los valores de las multas?
En el caso de verificarse el cometimiento de una infracción leve, la multa va de entre el 0.1% y el 0.7% calculada sobre su volumen de negocio correspondiente al ejercicio económico inmediatamente anterior al de la imposición de la multa. Para infracciones graves es del 0.7% al 1%.
¿A qué se considera una infracción leve y grave?
Por ejemplo, no responder dentro del plazo de 15 días las peticiones de acceso con justificación, supresión, oposición sobre los datos de un usuario o cliente que la haya solicitado.
Una infracción grave, por ejemplo, es no haber implementado medidas técnicas administrativas, jurídicas, tecnológicas que permitan el cumplimiento de la ley.
¿Qué deberían tener al momento para evitar sanciones?
En el artículo 47 se estipula una serie de obligaciones que están entrelazadas con el artículo 67 y 68 donde se determinan las causales de infracción. Con ello deberían haber construido un esquema que le permita a la organización cumplir con las obligaciones y tener evidencias de que se han realizado acciones a favor de su cumplimiento, por ejemplo, tener diseñado el canal que deberá receptar las solicitudes o reclamos de las personas y que permiten a la empresa gestionar estas denuncias para tener la capacidad de responder en tiempo, de forma adecuada y coherente los requerimientos de solicitudes de eliminación, ratificación, actualización en la cadena de trazabilidad que tiene el dato del usuario, cliente, colaborador, etc., en la organización.
Aunque la ley no exige que una empresa cuente con un gobierno de datos, sí se vuelve indispensable pues contribuye al monitoreo y ejecución de actividades para el cumplimiento de los requerimientos de la privacidad.
¿De manera general, cuáles son los recursos que deberían tener las organizaciones?
Cada organización según su complejidad y naturaleza deberá considerar el manejo de información y transferencia de datos, pero de manera amplia y general, las organizaciones deben contar con un Sistema de Gestión, un canal eficiente de atención de derechos ARSO+, una gestión adecuada de consentimientos y preferencias, una correcta identificación de bases legitimadoras para el tratamiento de datos personales, un sistema de análisis de riesgo y evaluación de impacto en derechos y libertades, la identificación de vulnerabilidades y violación de datos personales, además, tener bien identificadas la necesidad del delegado de protección de datos y sus funciones.
¿Cuál es el papel de la LPDP en la transformación digital?
La LPDP en el mundo se considera habilitante para el desarrollo, y las organizaciones en proceso de transformación digital deben verlo como una oportunidad para mejorar sus relaciones comerciales. Es el momento de identificar bondades y trabajar en equipo, establecer acuerdos por sectores para el cumplimiento de sus principios.
Las empresas en cada sector deben auto-regularse y entender su importancia y las ventajas competitivas que pueden alcanzar con la Ley de Protección de Datos Personales.