El Proyecto de Ley Orgánica de Protección de Datos Personales, presentado por el Ejecutivo el 19 de septiembre de 2019 y asignado a la Comisión de Soberanía, Integración, Relaciones Internacionales y Seguridad Integral, fue aprobado en segundo debate por el Pleno de la Asamblea Nacional este 10 de mayo de 2021. La moción de aprobación del texto integral comprendido en el informe para segundo debate, fue aprobado con amplia mayoría de 118 asambleístas de los 137 presentes, con una abstención. El texto aprobado ha sido remitido al Presidente de la República, para su veto dentro del plazo de 30 días.
Este Proyecto de Ley es un paso significativo para la correcta regulación de la economía digital en la que vivimos actualmente, estableciendo los principios en virtud de los cuales se puede tratar los datos personales, los derechos con los que cuentan los titulares, las obligaciones de las partes y las limitaciones para la recolección y uso de dichos datos. Con la normativa, el Ecuador formará parte de la lista de países que tienen una regulación de la materia y que cuentan con un estándar adecuado de protección, alineandose con la normativa Europea. Es importante destacar que la Ley prevé un período de adaptación de dos años, en el cual se debe adaptar las regulaciones a la práctica empresarial antes de la aplicación de sanciones.
1. Ámbito de aplicación: Aplica a todos los datos que identifiquen o hagan identificable a una persona natural sin importar el soporte. Se excluye uso familiar, datos de fallecidos, datos regulados en normas de igual o mayor jerarquía, datos anonimizados, usos periodísticos, gestión de seguridad y riesgo para el Estado, investigación penal, personas jurídicas.
Son accesibles al público y susceptibles de tratamiento los datos de contacto de profesionales, datos de comerciantes, representantes y socios y accionistas de personas jurídicas y servidores públicos, siempre y cuando se refieran al ejercicio de su profesión, oficio, giro de negocio, competencias, facultades, atribuciones o cargo y se trate de nombres y apellidos, funciones o puestos desempeñados, dirección postal o electrónica, y, número de teléfono profesional.
2. Ámbito de aplicación territorial: Regula el tratamiento realizado en Ecuador; cuando el encargado o el responsable estén domiciliados en Ecuador; cuando se oferten servicios a personas en territorio nacional; cuando por contrato sea aplicable la normativa nacional.
3. Consentimiento: La norma establece que todo consentimiento debe ser libre, previo, específico, informado, inequívoco, y podrá ser revocado en cualquier momento. En el caso de datos sensibles, el consentimiento debe ser expreso.
4. Licitud del tratamiento: Cuando exista consentimiento, en cumplimiento de una obligación legal, por orden judicial, interés público, ejecución de medidas precontractuales, protección de intereses vitales, interés legítimo.
5. Principios: Juridicidad, lealtad, transparencia, finalidad, pertinencia y minimización de datos personales, proporcionalidad de tratamiento, confidencialidad, calidad, conservación, seguridad de datos personales, responsabilidad proactiva y demostrada, aplicación favorable al titular, e independencia de control.
6. Derechos: A la información, al acceso, rectificación, eliminación, oposición, portabilidad, a no ser objeto de decisiones automatizadas únicamente, derecho a la suspensión, derecho a la consulta, a no ser objeto de una decisión automatizada.
7. Categorías especiales de datos: Datos sensibles, datos de menores de edad, datos de salud, datos de personas con discapacidad.
8. Transferencia de datos personales: Puede realizarse cuando exista consentimiento o cuando sea necesario para el cumplimiento de los fines autorizados, o si media cualquiera de las causales de legitimidad. Así también, cuando se cuente con el consentimiento del titular.
9. Seguridad: Responsable y encargado deberán adoptar las siguientes medidas de seguridad. I) protección desde el diseño y por defecto, ii) análisis de riesgo, iii) medidas de seguridad adicionales, iv) evaluación de impacto.
10. Notificación de una vulneración de seguridad: Responsable debe notificar a la autoridad máximo en 5 días, encargado deberá notificar al responsable máximo en 2 días desde que tuvo conocimiento. Deberá notificarse al titular cuando la vulneración conlleve riesgo a sus derechos fundamentales
11. Registro Nacional: La ley contempla la obligación de registro de los ficheros y bases de datos.
12. Transferencia Internacional: Se contempla la figura de países “adecuados y no adecuados” para los no adecuados hay mecanismos alternos que aseguran un buen tratamiento.
13. Ejercicio de derechos: El titular puede ejercer sus derechos directamente ante el responsable o través de la autoridad. El responsable tiene 10 días para satisfacer la solicitud.
14. Delegado de protección de datos: Es obligatorio para el sector público, cuando las actividades del responsable lo requieran por el volumen y tipo de datos.
15. Responsabilidad proactiva: Adicional a lo dispuesto en la Ley, los responsables y encargados voluntariamente podrán acogerse a sellos de certificación, códigos de conducta, marcas de protección, clausulas tipo y otros mecanismos que aseguren un adecuado tratamiento.
16. Infracciones: El incumplimiento de las obligaciones del responsable o del encargado y las disposiciones legales contenidas en esta norma podrán ser consideradas como infracciones graves o leves y acarrearan medidas correctivas o sanciones.
17. Sanciones: Distinguen leves de graves. Leves en el público hasta 10 SBU y privado 0-1% hasta el 0.7% volumen de ventas. Graves el público hasta 20 SBU y publico entre el 0.7% y el 1% del volumen de ventas.
18. Autoridad de Protección de Datos: Se contempla la creación de una autoridad independiente, una superintendencia.
19. Disposiciones generales: Lo procedimental se regirá por el COA, se crea el Registro Único de Responsables y Encargados Incumplidos, se procurará que los pueblos indígenas tengan un tratamiento en su idioma.
20. Disposiciones transitorias: El régimen sancionatorio y exigibilidad de lo dispuesto en la norma tiene un plazo de 2 años.
21. Disposiciones reformatorias: Ley de comercio electrónico, firmas y mensajes de datos, Ley Orgánica del Sistema Nacional de Registro de Datos Públicos, Código Orgánico de la Economía Social de los Conocimientos, Creatividad e Innovación, Ley Orgánica de Telecomunicaciones.
22. Derogatorias: Artículo 9 de la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos, artículos 80 y 84 de la Ley Orgánica de Telecomunicaciones, artículo 5 de la Ley Orgánica del Sistema Nacional de Registro de Datos Públicos, todas las que se contrapongan.
Consejo Editorial