Protección de Datos: hacia un nuevo régimen
Por: Luis Fernando Oramas
La Ley Orgánica de Protección de Datos Personales (“LOPDP”) fue publicada en el Quinto Suplemento del Registro Oficial No. 459 del 26 de mayo del 2021. A pesar de que en la Constitución ya se contemplaba el principio de protección de los datos personales, la LOPD constituye un hito para el país ya que, por primera vez, esta materia se regula en un cuerpo normativo específico. Tal es la importancia de la protección de datos en la actualidad que, antes de la publicación de la LOPDP, solo tres países de Sudamérica –entre los cuales se encontraba Ecuador– no contaban con una ley para regular una materia de un perfil altamente complejo y técnico.
Como antecedente a nuestra ley, debemos señalar que en el año 2016 se publicó un reglamento europeo de protección de datos (“Reglamento General de Protección de Datos”)1, el cual es aplicable a todos los países que forman parte de la Unión Europea. Asimismo, existe en la actualidad una corriente que busca la armonización de las normas de protección de datos, con el objetivo de que su aplicación resulte más sencilla. Lo anterior es relevante porque la LOPDP prácticamente recoge los mismos principios y las mismas normas que el reglamento europeo.
La LOPDP contiene varios puntos importantes que merecen un análisis detallado. En este informe, señalaremos brevemente algunos de los principales puntos de la ley, los cuales merecen una especial atención:
Tal es la importancia de la protección de datos en la actualidad que, antes de la publicación de la LOPDP, solo tres países de Sudamérica no contaban con una ley para regular una materia de un perfil altamente complejo y técnico.
-
-
-
- A pesar de que la ley se encuentra en vigencia en la actualidad, la disposición transitoria primera establece que las medidas correctivas y el régimen sancionatorio, es decir, las multas que pueden recibir las personas naturales o jurídicas entrarán en vigencia en dos años contados a partir de la publicación de la ley. Por lo tanto, será a partir del 26 de mayo del 2023 que se podrán aplicar las sanciones y medidas correctivas. Así, las empresas tendrán un período importante para adecuar sus prácticas a lo establecido por la nueva ley.
- Por el alto grado de tecnicidad de la materia, la ley contiene una serie de definiciones. Así, por ejemplo, el Art. 4 explica lo que debe entenderse por consentimiento, datos personales, anonimización, etc. Una de las figuras imprescindibles para entender la ley es la del “tratamiento”. Tratar datos es, básicamente, cualquier operación realizada sobre un dato personal como recoger, recopilar, obtener, registrar, conservar, modificar o eliminar un dato.
- En ciertos casos, expresamente establecidos en la LOPDP, las empresas que manejan datos personales deberán contratar a un delegado de protección de datos. Ejemplo de esto son las instituciones públicas, los hospitales o los bancos, por el manejo de datos que realizan a gran escala. Esta figura se asemeja a la de un “oficial de cumplimiento”, en el sentido de que este deberá asegurarse de que la empresa cumpla con todas las disposiciones y regulaciones en materia de protección de datos. Esto supondrá un costo adicional para las compañías.
- Existe una regla general en la LOPDP según la cual no puede existir tratamiento de datos si no se cuenta con el consentimiento del titular de estos. Para que el consentimiento sea válido, este deberá ser libre, especifico, informado e inequívoco. Esto obligará a que las empresas adopten una política estricta en lo concerniente a la obtención del consentimiento del titular de los datos.
- La LOPDP establece la creación de una Superintendencia de Protección de Datos. Esta institución será la encargada de supervisar y controlar a todas aquellas personas o empresas que traten datos, tendrá potestad sancionadora, será la encargada de resolver los reclamos interpuestos, atenderá consultas en materia de protección de datos, etc.
- El Art. 10 de la LOPDP establece, además, una serie de principios que rigen en materia de protección de datos. Entre ellos, destaca el de pertinencia y minimización de los datos, lo que obliga a que estos sean limitados a lo estrictamente necesario; el de confidencialidad, que establece que los datos deben ser tratados con sigilo y secreto; y, el principio de conservación, que ordena que los datos no se conserven por más tiempo del que se considere necesario para cumplir con su finalidad.
- A pesar de que la ley se encuentra en vigencia en la actualidad, la disposición transitoria primera establece que las medidas correctivas y el régimen sancionatorio, es decir, las multas que pueden recibir las personas naturales o jurídicas entrarán en vigencia en dos años contados a partir de la publicación de la ley. Por lo tanto, será a partir del 26 de mayo del 2023 que se podrán aplicar las sanciones y medidas correctivas. Así, las empresas tendrán un período importante para adecuar sus prácticas a lo establecido por la nueva ley.
-
-
La disposición transitoria primera establece que las medidas correctivas y el régimen sancionatorio, es decir, las multas que pueden recibir las personas naturales o jurídicas entrarán en vigencia en dos años contados a partir de la publicación de la ley.
Si bien aún no se ha creado la Superintendencia de Protección de Datos ni tampoco se ha indicado cuando se publicará el Reglamento de la LOPDP; debemos señalar que resulta conveniente que exista un temprano asesoramiento en lo relativo a las nuevas disposiciones en materia de protección de datos para que los cambios en las políticas de las empresas y/o el período de transición de lo que establece la LOPDP sea manejable y adecuado.
_______________________________________________
1 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)