ECUADOR Y LA NUEVA LEY DE PROTECCIÓN DE DATOS

Editorial – Pablo Solines Moreno

Ecuador se encuentra a puertas de la entrada en vigor de su primera ley de protección de datos personales. Todo el país está expectante del impacto que tendrá esta norma, en primer lugar, en la vida de los ciudadanos, pues, llegó el día en que no solo que un cuerpo normativo reconoce derechos a su favor que garantizarían una adecuada protección a sus datos personales y a su privacidad, sino que, además, se les otorga herramientas jurídicas eficaces para ejercer y hacer respetar esos derechos; y, en segundo lugar, en las actividades que desarrollan empresas, instituciones, organizaciones y todo aquel que, de una u otra forma, realiza la recolección, almacenamiento, y/o utilización de datos personales de terceros. Esto, debido a que la nueva normativa exigirá a todos aquellos responsables de estos datos personales implementar una serie de medidas internas que contribuyan a una adecuada protección de estos y, así, se evite su acceso no autorizado, su filtración y su utilización para fines diferentes a los que fueron recogidos.

Esto cambia diametralmente la concepción de la persona como titular de derechos sobre sus datos personales, pues a estos se les otorga un valor de importante magnitud, que gozan de protección jurídica y que obliga a todos a respetarlos, cuidarlos
y no menospreciarlos. Así, la nueva ley de protección de datos personales crea una autoridad de control que está llamada a velar por el cumplimiento de la normativa, principalmente, de todos aquellos que realizan(mos) tratamientos de datos personales; y, además, de garantizar el correcto ejercicio de los derechos reconocidos a favor de los ciudadanos.

A la autoridad de control, concebida en una superintendencia de Protección de Datos, se le ha otorgado la facultad de revisar las actuaciones de los responsables (y encargados) de datos personales de terceros, de que los ciudadanos puedan acudir a ella en caso de que consideren infringidos sus derechos y, así mismo, de que pueda aplicar sanciones a aquellos que incumplan con sus obligaciones, pudiendo estas llegar a ser de carácter económico, de importante cuantía.

Así, se regula y reivindica un derecho de los ciudadanos, expresamente reconocido por primera vez en nuestra Constitución
del año 2.008, la protección de los datos personales (Art. 66 No. 19), que, hasta la fecha, ha sido meramente declarativo, sin ser observado ni respetado, debido a su falta de desarrollo en el ordenamiento jurídico ecuatoriano.

Pese a que la nueva ley de protección de datos era una deuda pendiente del legislador ecuatoriano, de 2 o 3 décadas, no es menos cierto que, el hecho de que se lo haya aprobado en el año 2021 ha permitido que nuestra ley recoja las nuevas tendencias normativas en esta materia y dé, en gran medida, respuesta a las principales inquietudes que plantea un mundo globalizado y tecnificado en el que nos encontramos.

Una de las principales características que trae consigo la nueva ley es la concepción de la “protección de datos desde el diseño”, esto es, el deber de la empresa u organización de tener en cuenta, en las primeras fases de concepción y diseño de un proyecto, los riesgos que entrañan aquellos tratamientos de datos personales previstos en el proyecto, a efectos de implementar las medidas técnicas, organizativas y de seguridad adecuadas, con miras a garantizar el respeto del derecho a protección de datos de los ciudadanos y a cumplir con las obligaciones que impone la ley. Este deber de cumplimiento se
extiende a la obligación de demostrarlo ante la autoridad de control, en caso de que así sea requerido.

La nueva ley reconoce, así mismo, algunos principios de importante calado, a efectos de que el sistema funcione adecuadamente y se eviten abusos, como es el de “minimización de datos”, que determina que los datos personales deben
ser aquellos precisos y limitados específicamente a lo necesario para el cumplimiento de la finalidad del tratamiento. Esto va de la mano con otra concepción importante e innovadora de la ley que se refiere a la “protección de datos por defecto” que hace referencia a que, en un emprendimiento o proyecto, el responsable aplique las medidas técnicas y organizativas adecuadas con miras a que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada
uno de los fines propuestos dentro del proyecto.

Otro elemento que se debe destacar de la ley es que incorpora un concepto moderno de “consentimiento», que otorga el titular de los datos personales a un tercero, pues, al igual que la más reciente normativa europea, determina que el consentimiento debe estar dado a través de una acción clara y afirmativa del titular, con lo cual, no se reconoce una práctica común de muchos (sobre todo en el entorno digital) de pretender obtener el consentimiento del titular en forma tácita. Ello obliga a ser bastante más cauto y precavido a la hora de utilizar datos personales de terceros.

Como expresaba al inicio, la nueva ley obliga a empresas y organizaciones a modificar sus procesos internos y prácticas generalizadas, y que conciban a la protección de datos personales como un eje transversal de todas sus actividades y áreas de trabajo, a efectos de que procuren implementar políticas y procesos internos, estructurar adecuadamente la documentación y contratos, capacitar a su personal, implementar herramientas tecnológicas que permitan un adecuado control de la trazabilidad de los datos, entre otros aspectos, que son necesarios, no solo para cumplir con la ley, sino, como decía anteriormente, para justificar este cumplimiento, a efectos de evitar ser sancionado por la autoridad o ser objeto de reclamaciones por parte de los interesados. El tratamiento de datos personales dentro de una empresa u organización está presente en casi todas sus áreas de trabajo, tanto comercial, de recursos humanos, tecnología, marketing, operaciones, entre otros, pues, los datos personales que circulan al interno son de diverso orden: de clientes, de personal, de proveedores, y muchos otros que exigen protección y diligencia debida, de acuerdo a su tipo, más aún, considerando que, en varios casos, se cuentan con datos sensibles (como los de salud, datos biométricos, filiación política, etnia, identidad de género, entre otros), que, además, merecen una especial protección a través de medidas específicas y más robustas. Es así, que la ley de protección de datos deberá ser observada y cumplida por todos los sectores que conforman la actividad económica del país, incluyendo el financiero, turístico, salud, educación, seguros, comercio, agrícola, telecomunicaciones, transporte, marketing, publicidad, entre otros, así como las instituciones del sector público.

Continúe leyendo este artículo en –> NJ180-Junio

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *