noviembre 08, 2023

Reglamento General de la Ley Orgánica de Protección de Datos Personales

Publicaciones internas

Protección de Datos Personales

El 07 de noviembre de 2023, mediante Decreto Ejecutivo Nro. 904, el presidente emitió el Reglamento General de la Ley Orgánica de Protección de Datos Personales.

A continuación, se detallan los puntos relevantes:

 

  • De la designación del apoderado especial por parte de los responsables y/o encargados extranjeros

Cuando el responsable o encargado de tratamiento de datos no tenga domicilio en Ecuador deberá designar un apoderado especial, el que deberá contar con residencia en el país y facultades suficientes para comparecer en instancias administrativas y judiciales. No será necesaria su designación, cuando el tratamiento de datos personales sea ocasional y no genere un posible riesgo para los derechos y libertades de los titulares.

 

  • Sobre el consentimiento del titular de datos personales

El consentimiento dado en todos los casos deberá poder ser demostrado por el responsable de tratamiento. La Autoridad podrá solicitar la prueba de dicho consentimiento.

El silencio o inacción del titular de datos personales no puede presumirse como un consentimiento otorgado.

 

  • De la conservación de datos

Los datos personales se conservarán acorde al cumplimiento de las finalidades, sin exceder un plazo necesario. La Autoridad regulará los plazos de conservación para cada materia.

 

  • Respecto al tratamiento de datos de fuentes de acceso público

Se deberá respetar el principio de limitación de la finalidad de tratamiento, por lo que el tratamiento de datos personales obtenidos de fuentes de acceso público debe ser compatible con la finalidad que justificó su publicación.

 

  • De la excepción de eliminación de datos personales

No se eliminarán los datos personales en las siguientes materias, por cuestiones de interés público: salud pública y privada, materia estatal, seguridad, laboral, educación; y, en caso de ejercicio o defensa de reclamaciones.

 

  • Supuestos de transferencia de datos a terceros

La transferencia de datos personales debe cumplir con:

  1. Fines directamente relacionados a las funciones del responsable y del tercero.
  2. Consentimiento previo, mismo que podrá ser revocado.

 

  • Pruebas de medidas de protección

Los responsables del tratamiento de datos personales deberán demostrar que han aplicado todas las medidas necesarias para la protección de datos.

 

  • Responsables conjuntos

Se reconoce la existencia de responsables conjuntos cuando se determinan los mismos fines y medios del tratamiento de datos personales.

Mediante un contrato, se deberá definir las respectivas tareas y responsabilidades de cada parte.

En el caso de una infracción figurarán como responsables solidarios ante la Autoridad y titulares.

 

  • Sobre el Registro de Actividades de Tratamiento (RAT)

El responsable de tratamiento de datos personales que tenga cien o más trabajadores deberá registrar todas las actividades de tratamiento de datos personales que realice.

EL RAT deberá contener los requisitos establecidos en el Reglamento.  

 

  • Sobre la relación entre responsable y encargado

Debe regirse por un contrato, el cual debe contemplar las instrucciones que determine el responsable para el cumplimiento del encargo. Los principales aspectos son: objeto, duración, naturaleza, finalidad del tratamiento de datos, entre otros.

El encargado deberá establecer las medidas técnicas y organizativas adaptadas, mismas que serán equiparables a las del responsable.

 

  • De la obligación de eliminación de datos por parte del encargado

El encargado del tratamiento de datos deberá devolver o eliminar todos los datos personales, una vez finalizada la relación con el responsable, según instrucciones impartidas por este. Excepcionalmente, este podrá conservar los datos en virtud de una disposición legal.

 

  • Sobre el delegado de protección de datos personales (DPO) y su contratación

El DPO podrá ser contratado por el responsable de tratamiento bajo relación de dependencia o por contrato de prestación de servicios.

 

  • Sobre el delegado de protección de datos personales (DPO) para grupos empresariales

Los grupos empresariales podrán designar un único DPO siempre que pueda realizar todas las actividades sin que se genere un conflicto de intereses.

 

  • Requisitos para ser delegado de protección de datos personales

Sin perjuicio de que la Autoridad establezca requisitos adicionales, se requiere:

  1. Gozar de derechos políticos
  2. Ser mayor de edad
  3. Tener título de tercer nivel en derecho, sistemas de la información, comunicación o de tecnologías
  4. Acreditar experiencia profesional de al menos cinco (5) años

PBP estará gustoso de atender las consultas relativas a esta nueva norma legal y sus distintas implicaciones.

Consejo Editorial

Compartir artículo