Ley Orgánica de Protección de Datos Personales en el Ecuador

 

La Ley Orgánica de Protección de Datos Personales (LOPDP) en Ecuador entró en vigencia el 10 de mayo de 2021, con el objetivo de garantizar el derecho a la protección de datos personales de las personas naturales y establecer los principios, mecanismos y procedimientos para su tratamiento por parte de las entidades públicas y privadas.

Principios Rectores.

La Ley Orgánica de Protección de Datos Personales (LOPDP) en Ecuador establece un conjunto de principios rectores que guían el tratamiento de datos personales en el país. Estos principios se encuentran establecidos en el Artículo 6 de la LOPDP y se detallan a continuación:

  • Legalidad: El tratamiento de datos personales debe estar fundamentado en una base legal legítima, como el consentimiento del titular de los datos, el cumplimiento de una obligación legal o la protección de intereses legítimos (Artículo 7 LOPDP).
  • Lealtad y Transparencia: El tratamiento de datos personales debe ser leal y transparente, lo que significa que el titular de los datos debe tener conocimiento de la existencia del tratamiento, sus finalidades, sus derechos y la identidad del responsable del tratamiento (Artículo 8 LOPDP).
  • Legitimidad: El tratamiento de datos personales debe ser necesario, adecuado y pertinente para las finalidades previstas (Artículo 9 LOPDP).
  • Finalidad: Los datos personales deben ser recolectados para finalidades determinadas, explícitas y legítimas, y no deben ser tratados posteriormente de manera incompatible con dichas finalidades (Artículo 10 LOPDP).
  • Calidad: Los datos personales deben ser exactos, actualizados y adecuados para las finalidades para las que se recolectan y procesan (Artículo 11 LOPDP).
  • Seguridad: Los datos personales deben ser tratados de forma que se garantice su seguridad y se protejan contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental (Artículo 12 LOPDP).
  • Responsabilidad: El responsable del tratamiento es responsable del cumplimiento de los principios establecidos en la LOPDP y debe adoptar las medidas técnicas y organizativas necesarias para proteger los datos personales (Artículo 13 LOPDP).

Derechos del Titular de Datos Personales.

La LOPDP reconoce una serie de derechos para el titular de datos personales, los cuales se encuentran establecidos en el Capítulo II de la ley. Estos derechos son:

  • Derecho de acceso: El derecho a obtener del responsable del tratamiento la confirmación de si se están tratando sus datos personales y, en caso afirmativo, acceso a dichos datos y a información sobre su tratamiento (Artículo 18 LOPDP).
  • Derecho de rectificación: El derecho a obtener del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan (Artículo 19 LOPDP).
  • Derecho de supresión: El derecho a obtener del responsable del tratamiento la supresión de los datos personales que le conciernan cuando concurran determinados motivos (Artículo 20 LOPDP).
  • Derecho de limitación del tratamiento: El derecho a solicitar al responsable del tratamiento la limitación del tratamiento de sus datos personales cuando concurran determinados motivos (Artículo 21 LOPDP).
  • Derecho de oposición al tratamiento: El derecho a oponerse al tratamiento de sus datos personales cuando concurran determinados motivos (Artículo 22 LOPDP).
  • Derecho a la portabilidad de los datos: El derecho a recibir sus datos personales en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que el responsable al que se los hubiera facilitado se lo pueda impedir (Artículo 23 LOPDP).
  • No ser objeto de decisiones individuales automatizadas: El derecho a no ser objeto de una decisión basada únicamente en un tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos sobre él o le afecte de manera significativa de modo similar (Artículo 24 LOPDP).

Obligaciones del Responsable del Tratamiento de Datos Personales en Ecuador: Un Análisis Completo.

La Ley Orgánica de Protección de Datos Personales (LOPDP) en Ecuador establece un conjunto de obligaciones para el responsable del tratamiento de datos personales, con el objetivo de garantizar la protección de los derechos y libertades de las personas físicas. Estas obligaciones se encuentran establecidas en el Capítulo III de la ley y se detallan a continuación:

Designación de un Delegado de Protección de Datos:

  • Cuándo es obligatorio: El responsable del tratamiento debe designar un delegado de protección de datos cuando el tratamiento de datos personales lo requiera por la naturaleza, el ámbito o la finalidad del mismo (Artículo 30 LOPDP).
  • Funciones del Delegado de Protección de Datos: El delegado de protección de datos debe actuar como punto de contacto para las autoridades de control y para las personas físicas en lo que respecta al tratamiento de sus datos personales (Artículo 37 LOPDP). El delegado también debe asesorar y supervisar el cumplimiento de la LOPDP por parte del responsable del tratamiento y debe actuar como interlocutor ante las autoridades de control (Artículo 37 LOPDP).
  • Requisitos del Delegado de Protección de Datos: El delegado de protección de datos debe tener conocimientos especializados en materia de protección de datos y debe ser capaz de ejercer sus funciones de forma independiente e imparcial (Artículo 37 LOPDP).

Implementación de Medidas de Seguridad:

  • Objetivo: El responsable del tratamiento debe adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos personales y protegerlos contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental (Artículo 32 LOPDP).
  • Principios para la Implementación de Medidas de Seguridad: Las medidas de seguridad deben implementarse teniendo en cuenta los siguientes principios:
    • Confidencialidad: Los datos personales deben ser tratados de forma confidencial, lo que significa que solo deben ser accesibles a las personas autorizadas.
    • Integridad: Los datos personales deben ser exactos y completos y deben mantenerse actualizados.
    • Disponibilidad: Los datos personales deben estar disponibles para su uso cuando sea necesario.
    • Resistencia: Los datos personales deben ser protegidos contra la destrucción, pérdida o daño accidental.
    • Protección contra el tratamiento no autorizado o ilícito: Los datos personales deben ser protegidos contra el tratamiento no autorizado o ilícito, incluyendo la recolección, el uso, la divulgación o la modificación no autorizadas.
  • Ejemplos de Medidas de Seguridad: Algunas medidas de seguridad que pueden implementarse son:
    • Control de acceso físico y lógico a los sistemas de información.
    • Protección contra malware y virus informáticos.
    • Implementación de firewalls y sistemas de detección de intrusiones.
    • Encriptación de datos confidenciales.
    • Copias de seguridad y recuperación de desastres.
    • Capacitación y sensibilización en seguridad de la información.

Realización de Evaluaciones de Impacto:

  • Cuándo es obligatorio: El responsable del tratamiento debe realizar una evaluación de impacto cuando el tratamiento de datos personales pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas (Artículo 35 LOPDP).
  • Qué es una evaluación de impacto: Una evaluación de impacto es un proceso sistemático que permite identificar, analizar y evaluar los riesgos que el tratamiento de datos personales puede suponer para los derechos y libertades de las personas físicas.
  • Cómo realizar una evaluación de impacto: La LOPDP no establece un procedimiento específico para la realización de evaluaciones de impacto. Sin embargo, la Agencia de Protección de Datos Personales (Arcotel) ha publicado una guía sobre la realización de evaluaciones de impacto que puede ser utilizada como referencia.
  • Recursos adicionales:

Notificación a la Autoridad de Control:

  • Cuándo es obligatorio: El responsable del tratamiento debe notificar a la Arcotel determinados tipos de tratamiento, como los que impliquen el tratamiento de datos personales sensibles o a gran escala (Artículo 36 LOPDP).
  • Contenido de la notificación: La notificación debe incluir información sobre el responsable del tratamiento, las finalidades del tratamiento, las categorías de datos personales que se van a tratar, las medidas de seguridad que se van a implementar y las transferencias de datos personales que se van a realizar.
  • Procedimiento de notificación: La notificación debe presentarse electrónicamente a través del portal web de la Arcotel.


No hay comentarios:

Publicar un comentario

Suscribirse a: Entradas (Atom)