PBP siempre comprometido con la protección de datos personales les recuerda la importancia y necesidad de implementar un programa de protección de datos en Ecuador, en cumplimiento con la Ley Orgánica de Protección de Datos Personales (LOPDP) y su reglamento.
La Superintendencia de Protección de Datos Personales se encuentra ejerciendo sus funciones, realizando auditorías y atendiendo reclamos de los titulares de datos. Por lo tanto, es necesario haber implementado un programa de privacidad para prevenir y evitar sanciones que pueden llegar al 1% de la facturación anual de la empresa.
Preguntas que cada empresa se debe responder:
- ¿Estamos listos para una auditoría o revisión por parte de la autoridad de protección de datos?
- ¿Estamos listos para enfrentar un incidente de seguridad de la información que involucre datos personales?
- ¿Tenemos implementado un programa de privacidad de datos que nos permita responder a un reclamo de un titular de datos personales?
Para poder responder las interrogantes anteriores, a continuación, resaltamos de las siguientes obligaciones que las empresas deben haber cumplido para no ser sancionadas:
a) Designación de Apoderados Especiales
Los responsables y encargados del tratamiento de datos personales no domiciliados en Ecuador están obligados en designar un apoderado especial domiciliado en el país.
b) Designación de Delegado de Protección de Datos (DPO)
Es obligatorio designar un DPO cuando las actividades de tratamiento de datos impliquen un control permanente y sistematizado o el tratamiento a gran escala de datos categorías especiales.
c) Implementación de un Sistema de Gestión de Seguridad de la Información (SGSI)
Desarrollar e implementar un SGSI que soporte la protección de datos personales, siguiendo estándares internacionales como por ejemplo la ISO27001 puede evitar vulneraciones de seguridad en la empresa.
d) Levantamiento del Registro de Actividades de Tratamiento
Mantener un registro actualizado de todas las actividades de tratamiento de datos personales es obligatorio para cualquier empresa con más de 100 empleados o en virtud con el volumen y categoría de datos procesados.
e) Análisis de Riesgos
Realizar análisis de riesgos para identificar y mitigar posibles amenazas a la protección de los datos personales
f) Evaluaciones de Impacto a la Protección de Datos (EIPD)
Será obligatorio realizar EIPDs cuando se haya identificado la probabilidad de que dicho tratamiento, por su naturaleza, contexto o fines, conlleve un alto riesgo para los derechos y libertades del titular con la finalidad de reducir los riesgos asociados con dicho tratamiento.
g) Generación de Políticas y Procedimientos de Protección de Datos
Desarrollar y documentar políticas y procedimientos para la protección de datos personales y su área encargada de gestión.
h) Regularización de las Bases Legítimas
Se debe asegurar que todos los tratamientos de datos personales dispongan de al menos una base legitimadora (consentimientos, contratos u otros).
i) Regularización de Encargados del tratamiento
Formalizar acuerdos de encargo y evaluar la postura de protección de datos y seguridad de la información de los encargados.
j) Capacitación en Protección de Datos y Seguridad de la Información
Implementar programas de formación continua para el personal en materia de protección de datos y seguridad de la información.
En PBP podemos asistir a las empresas para la adecuación de sus políticas, protocolos y medidas de seguridad y cumplir con las obligaciones antes mencionadas.
Consejo Editorial
