Introducción
El 26 de mayo de 2021 fue publicada, en el Quinto Suplemento del Registro Oficial Nº 459, la Ley Orgánica de Protección de Datos Personales (“LOPDP”), que regula las formas de acceso y decisión sobre los datos personales para sus titulares y, a su vez, busca la protección de esos datos mediante el establecimiento de mecanismos de tutela.
El ámbito de aplicación de la norma abarca el tratamiento[1] de los datos personales que constan en cualquier tipo de soporte, sea automatizado o no, y cualquier modalidad de uso posterior, pero excluye a:
- Las personas naturales que usen datos personales en realización de actividades dométicas o familiares.
- Las personas fallecidas.
- Los datos anonimizados, es decir, cuando le sean aplicadas medidas que impidan la identificabilidad del titular. Si es posible determinar la identificación del titular, le serán aplicables las normas establecidas por la LOPDP.
- Las actividades periodísticas o contenidos editoriales.
- Los datos personales regulados por normativa equivalente o de mayor rango en materia de desastres naturales o seguridad y defensa del estado.
- Los datos o bases de datos que consten en registros de prevención, investigación, detección y enjuiciamiento o ejecución de sanciones de infracciones penales.
- Y los datos de identificación de las personas jurídicas.
También se consideran como datos públicos los relacionados al contacto de profesionales, así como los datos de comerciantes, representantes, socios y accionistas de personas jurídicas y servidores públicos, siempre que estén relacionados a su profesión u oficio. En el caso de servidores públicos, también será de acceso público el historial de la declaración patrimonial y la remuneración que perciba.
Los efectos de la LOPDP se aplicarán cuando: (i) el tratamiento de datos se realice en el territorio ecuatoriano; y, (ii) el responsable o encargado del tratamiento de datos esté domiciliado en jurisdicción ecuatoriana o, en caso de estar domiciliados en el exterior, si los titulares de los datos residieren en el país o si la legislación nacional fuere aplicable en virtud de un contrato o por regulaciones del Derecho Internacional Público.
Licitud del tratamiento de datos personales y derechos del titular
La LOPDP establece que el tratamiento de datos personales es lícito cuando se lo realiza, entre otros motivos:
- Por consentimiento del titular para una finalidad específica, que incluye el consentimiento para la ejecución de medidas precontractuales o ejecución de contratos. El consentimineto debe ser libre, específico, informado e inequívoco y podrá ser revocado en cualquier momento y no tendrá efecto retroactivo.
- Por el ejercicio de poderes públicos derivados de una competencia atribuida por una norma de rango legal, o por el cumplimiento de una obligación legal o de una orden judicial.
- Cuando los datos constan en un registro de acceso público y, por último, cuando sea para satisfacer un interés legítimo o intereses vitales del titular de los datos. En este caso, el tratamiento de datos será realizado sobre los datos estrictamente necesarios, garantizando la transpariencia a su titular y la total apertura a la Autoridad de Protección de Datos.
Uno de los principios trascendentes de LOPDP es que el tratamiento se debe realizar en función de una finalidad específica, explícita, legítima, debidamente comunicada al titular; y que los datos no pueden ser alterados o utilizados para otro fin, a menos que sean compatibles con su finalidad inicial.
La LOPDP consagra varios principios, entre ellos, el de minimización de recopilación, con el fin de que los datos recopilados sean los estrictamente necesarios; el de confidencialidad; y las obligaciones que tiene el responsable del tratamiento de datos en cuanto a la actualización, integridad, precisión, verificabilidad y exactitud de los datos. Esta obligación no es exigible cuando los datos han sido proporcionados directamente por el titular, o si hubiesen sido obtenidos por un intermediario o si fuesen obtenidos de un registro público.
En caso de duda sobre el alcance de normas legales o contractuales, las autoridades administrativas o judiciales aplicarán la interpretación más favorable para el titular de los datos.
El titular de los datos podrá ejercer los derechos de información; acceso a la información, rectificación y actualización; eliminación; oposición o negativa al tratamiento de sus datos y derecho a portabilidad, salvo las excepciones establecidas en el artículo 18, entre las que destacan la incapacidad del titular para ejercer sus derechos cuando los datos sean necesarios para la ejecución de un contrato o una orden emitida por una autoridad pública o judicial, o cuando pueda afectar a terceros.
La LOPDP también otorga al titular el derecho a la suspensión del tratamiento de manera condicionada; el derecho a no ser objeto de una decisión basada en valoraciones automatizadas; y los derechos de consulta y educación digital sobre el tratamiento de datos personales.
El ejercicio de los derechos de los menores de quince años tendrá que canalizarse a través de su representante legal, mientras que los mayores de esa edad podrán ejercerlos de manera directa ante las autoridades públicas.
Disposiciones específicas relativas a ciertos datos personales
La Ley categoriza a los datos personales de la siguiente manera:
- Datos sensibles, que son los que corresponden a etnia, género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos o genéricos y cualquier otro cuyo tratamiento pueda prestarse para conductas discriminatorias o que atenten o puedan atentar al ejercicio de derechos y libertadores fundamentales.
- Datos de niños y adolescentes.
- Datos de salud, concernientes a la condición médica física y mental del titular.
- Datos de personas con discapacidad y sus sustitutos.
Los titulares de derechos sucesorios tendrán derecho al acceso, rectificación y actualización o eliminación de datos de personas fallecidas.
También se podrán tratar los datos relacionados al cumplimiento o incumplimiento de obligaciones comerciales o crediticias con la única finalidad de evaluar la solvencia patrimonial o crediticia del titular de esos datos.
Los titulares de datos crediticios tendrán derecho al acceso gratuito a su información propia, así como a conocer, de manera clara y precisa, la condición de su historial de crédito. De igual manera, podrán exigir que las fuentes de información actualicen, rectifiquen o eliminen la información que fuese ilícita, falsa, inexacta, errónea, incompleta o caduca.
Transferencia o comunicación y acceso a datos personales por terceros
La transferencia de datos deberá realizarse para el cumplimiento de fines directamente relacionados a las funciones de quien los trate y con el consentimiento del titular.
No se considerará como transferencia cuando un encargado del tratamiento o un tercero acceda a los datos con motivo de la prestación de servicios que brinda a favor del responsable de la base de datos, pero ello deberá estar regulado por un contrato donde se establezca, de manera clara y precisa, que se tratarán datos únicamente conforme a las instrucciones del responsable de la base de datos y no para otras finalidades. En tal caso, el encargado y el tercero serán responsables por infracciones derivadas del incumplimiento de condiciones del tratamiento de datos personales[2].
Medidas de seguridad
El responsable del tratamiento de datos personales o sus encargados deberán tomar en cuenta las categorías de los datos y su volumen, el estado de la técnica y las mejores prácticas de seguridad integral. Por tal razón, se deberá implementar un sistema de verificación, eficacia y efectividad de medidas de carácter técnico y organizativo, tales como:
- Medidas de anomización.
- Medidas para mantener la confidencialidad.
- Y medidas dirigidas a la mejora de resiliencia técnica, física, administrativa o jurídica.
En caso de vulneración de la seguridad de la base de datos, el responsable deberá notificar dentro de un término no mayor a cinco días a la Autoridad de Protección de Datos Personales y a la Agencia de Regulación y Control de las Comunicaciones. Tratándose del encargado, deberá notificarle al responsable de la base de datos la vulneración en dos días. El titular de la información deberá ser notificado dentro de los tres días posteriores a la vulneración de la información.
Consulegis Abogados
Hugo Hermosa Bermúdez
[email protected]
[1] La palabra tratamiento en la LOPDP tiene un significado específico, pues, conforme al glosario de términos y definiciones que aparece en su artículo 4, de manera general podríamos señalar que con este vocablo se alude a cualquier forma de uso de datos personales, bien se que se lo haga de manera automatizada (total o parcialmente) o no.
[2] La LOPDP define el encargado como aquella persona natural o jurídica, pública o privada, autoridad pública u otro organismo, que por sí mismos o conjuntamente con otros trate datos personales, “a nombre y por cuenta de un responsable de tratamiento de datos personales”. Y se considera como responsable a la persona natural o jurídica, pública o privada, autoridad pública u otro organismo, que por sí mismos o conjuntamente con otros, tiene capacidad para decidir “sobre la finalidad y el tratamiento de datos personales”. El responsable y el encargado, junto con la Autoridad de Protección de Datos Personales, son los principales integrantes del sistema de protección de datos personales, conforme lo veremos en mayor detalle en la segunda parte de este informe.