El 6 de noviembre de 2023, mediante el decreto ejecutivo 904, se define como la fecha en la cual –luego de más de 2 largos años- fue emitido el Reglamento a la Ley Orgánica de Protección de Datos Personales, la misma que se encuentra plenamente vigente, y que causó un gran movimiento de regulación jurídica, durante estos últimos meses, en compañías nacionales de todo tipo y sucursales extranjeras establecidas en el Ecuador.

A continuación, los 10 puntos relevantes de este Reglamento:

  1. El responsable y/o encargado del tratamiento de datos personales, deberá estar domiciliado en el Ecuador; en caso contrario, deberá contar con un Apoderado que lo represente en esta jurisdicción. La obligatoriedad de sujeción a este requisito, quedará supeditada a la guía técnica a ser emitida por la Autoridad competente.
  2. Se incluyen nuevas definiciones no contempladas previamente en la Ley, tales como el tratamiento de datos a gran escala, datos relacionados con actividades familiares o domésticas, datos relativos a la salud, entre otros; lo cual se asocia directamente a los niveles de responsabilidad y aplicabilidad de ciertas disposiciones conferidas en el Reglamento.
  3. Se establece –en ciertos casos- la obligatoriedad de realizar una Evaluación de impacto del tratamiento de datos personales, la cual tendrá un carácter “preventivo”, valorando los impactos reales del tratamiento de datos personales, a efecto de identificar y mitigar posibles riesgos. Esta evaluación deberá ser presentada a la Autoridad competente.
  4. Se estipula que la incapacidad de asumir los costos de aplicación de un sistema de protección de datos, no será considerado como excusa para el incumplimiento de la ley y el reglamento; debiendo las compañías, ampararse en el principio de proporcionalidad entre el volumen de tratamiento de los datos y su capacidad económica.
  5. Aquellas compañías responsables del tratamiento, que cuenten con 100 o más trabajadores, deberán llevar un registro de todas las actividades de datos personales que sean de su competencia. Sin perjuicio de aquello, las compañías con menor cantidad de trabajadores, aún poseen las obligaciones inherentes a los responsables y/o encargados de tratamiento de datos personales.
  6. El delegado de protección de datos podrá ser contratado bajo la figura de relación de dependencia o a través de un contrato de servicios profesionales. Los grupos empresariales, podrán designar a un único delegado.
  7. La Autoridad Competente, emitirá certificaciones, con el objeto de determinar el grado de cumplimiento de un mecanismo de autorregulación con relación a las obligaciones de la Ley Orgánica de Protección de Datos Personales y su Reglamento, con una duración máxima de 3 años.
  8. Se regula la transferencia y/o comunicación internacional de datos.
  9. Toda normativa corporativa o códigos de conducta encaminados a regular el tratamiento de Datos Personales dentro de una entidad societaria, deberán ser aprobados por la Autoridad Competente.
  10. La Autoridad de Protección de Datos Personales, es definida como Superintendente de Protección de Datos Personales. Su implementación se encuentra sujeta a disponibilidad presupuestaria.

Contáctese con iURISRED Legal Expertise, para mayor información tanto para el sistema de protección de datos como para el de cumplimiento Anticorrupción. ¡Estamos a sus órdenes!

Este artículo es meramente informativo, no constituye una opinión jurídica.