La Ley de Protección de Datos Personales entró en vigencia el 26 de mayo de 2021 y otorgó dos años a las empresas para adecuarse a la norma, sin recibir sanciones administrativas.
El 26 de mayo de 2023 vencerá ese plazo. A partir de ese momento, las entidades públicas o privadas podrán ser multadas con hasta 1% de su facturación por infringir la norma.
El presidente de la Asociación Ecuatoriana de Datos Personales, Pablo Solines, aclara que para que esto sea efectivo debe estar constituida la Superintendencia de Protección de Datos Personales.
Solines es enfático en que la autoridad de control debe tener un perfil técnico, no político. Además, subraya que no existe una “receta única” para la implementación de la Ley por parte de una compañía.
¿Qué cambiará para las empresas desde el 26 de mayo de 2023 con la Ley de Protección de Datos Personales?
La norma estableció un período de gracia de dos años para que entre en vigencia el régimen sancionador, mediante el cual la Superintendencia de Protección de Datos Personales podrá determinar incumplimientos a la norma y aplicar medidas correctivas o multas.
Una infracción leve podrá acarrear una multa de hasta 0,7% de la facturación de una empresa. Mientras que una grave, de 0,7% a 1% de la facturación.
Las responsabilidades de orden civil o penal por incumplimientos a la norma ya estaban vigentes desde que entró en vigor la ley. Por ejemplo, indemnizaciones por daños y perjuicios a personas afectadas por el mal uso de sus datos personales.
¿Qué ha pasado con el nombramiento de la autoridad de control?
Debió ocurrir hace varios meses. Esperamos que en las próximas dos semanas se envíe la terna por parte del Presidente de la República al Consejo de Participación Ciudadana y Control Social.
La autoridad de control debe tener un perfil absolutamente técnico, no político; se requiere contar con un especialista en este campo.
¿Por qué se ha retrasado este proceso?
Principalmente, por aspectos económicos. Crear una Superintendencia implica presupuesto; entiendo que esto es lo que ha frenado al Ejecutivo.
El régimen sancionador va a poder ser efectivo en la medida en que haya una autoridad de control.
Aunque sea nombrada, la superintendencia aún deberá constituirse y estructurarse. Esto puede dar unos meses adicionales a las empresas para que se adecuen a la ley, sin ser sancionadas.
La autoridad de control debe tener un perfil absolutamente técnico, no político.
¿Qué tipo de empresas deben cumplir con esta ley?
Todas las empresas públicas o privadas que manejen datos personales de terceros fuera del ámbito personal y familiar. Es decir, cuando se utiliza esta información para el giro de negocio.
La ley es transversal a todas las empresas. No obstante, determinados sectores pueden ser más sensibles por el tipo de información que manejan, como los de salud, financiero y educación.
Los profesionales en libre ejercicio también están obligados a cumplir con la ley, si sus bases de datos o archivos son usados con fines que exceden el ámbito personal y familiar.
¿Qué implica el proceso de adaptación a la ley por parte de una empresa?
Cada sector u organización tiene necesidades diferentes y responde a realidades distintas; no hay recetas únicas ni estandarizadas.
Un proceso de adaptación implica cumplir con dos etapas:
- Diagnóstico situacional del nivel de cumplimiento de la organización a la Ley de Protección de Datos Personales.
- Implementación de las medidas que se deben adoptar para el cumplimiento de la norma.
¿Cuáles serían las medidas principales que debería implementar una compañía?
- Política de protección de datos, es decir, una guía de cómo deben ser manejados los datos personales dentro de la organización.
- Políticas de seguridad de la información.
- Cláusulas de consentimiento por parte de los titulares para el uso de sus datos.
- Cláusulas informativas en la que se detallen a los titulares el uso que se dará a sus datos.
- Procesos para garantizar el cumplimiento de derechos de protección de datos.
- Capacitaciones para una adecuada gestión de los datos personales.
- Medidas técnicas, organizativas y de seguridad para proteger los datos ante cualquier riesgo, amenaza o vulnerabilidad.
- Cláusulas contractuales de protección de datos, entre los responsables y los encargados del tratamiento de datos personales.
- Notificaciones de brechas de seguridad cuando exista un incidente de seguridad, tanto a la autoridad de control como a los titulares de los datos.
- Evaluación del impacto del tratamiento de datos personales.
La Ley también establece la designación de un Delegado de Protección de Datos. ¿Qué empresas deberán contratar este perfil?
Todas las entidades públicas deben contar con este delegado porque manejan volúmenes importantes de información de los ciudadanos. Además, aquellas empresas con un volumen relevante de datos personales. El reglamento a la ley deberá establecerlo con claridad.
Esta persona se dedicará a un trabajo de monitoreo y recomendaciones para la protección de datos personales.
¿Cómo ha visto la adaptación de las empresas a la Ley de Protección de Datos?
Muchas empresas ya han iniciado el proceso de adaptación, especialmente del sector privado. En las entidades del sector público no hemos visto iniciativas reales de adaptación a la norma, lo cual es preocupante por la gran información que manejan de la ciudadanía.
¿Qué ha pasado con el reglamento de la ley?
Aspiramos a que salga este mes de febrero. Es importante para poder desarrollar ciertos vacíos de la ley, entre ellos, los mecanismos para las transferencias internacionales de datos.
Además, el reglamento deberá establecer las directrices de cómo va a operar el Registro Nacional de Protección de Datos, que será administrado por la Superintendencia.