Legislación y proyectos normativos - Ecuador

Protección de datos personales

Ley Orgánica

El pasado 26 de mayo se publicó la Ley Orgánica de Protección de datos personales, una ley que tiene como fin garantizar el ejercicio del derecho a la protección de datos personales en el país y que lleva gestándose desde el año 2019.

Entrará en vigor en mayo de 2023 y tiene una clara influencia de la legislación europea y un espíritu garantista respecto a los titulares, que se refleja en su contenido:

Ámbito de aplicación objetivo

Se aplicará en relación a aquellos datos personales contenidos en cualquier tipo de soporte automatizado o no, salvo en los siguientes supuestos:

  • Personas naturales que usen estos datos en la realización de actividades domésticas
  • Personas fallecidas
  • Datos anonimizados siempre y cuando no sea posible identificar a su titular
  • Actividades periodísticas
  • Datos personales cuyo tratamiento esté regulado en normativa especializada en materia de gestión de riesgos por desastres naturales y seguridad y defensa del Estado
  • Datos establecidos para la prevención investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales
  • Datos que identifican o hacen identificable a personas jurídicas

Ámbito de aplicación territorial

La ley será de aplicación: (i) a aquellos  tratamientos que se realicen en cualquier parte del territorio nacional, (ii) cuando el responsable o el encargado se encuentre domiciliado en cualquier parte del territorio nacional, (iii) en supuestos en que el tratamiento de datos personales pertenezca a titulares que residen en Ecuador por parte de un responsable o encargado no establecido en Ecuador, cuando las actividades estén relacionadas con la oferta de bienes o servicios a dichos titulares o del control de su comportamiento, y (iv) en los supuestos en que al responsable o encargado del tratamiento no domiciliado en el territorio nacional le resulte aplicable la legislación nacional, en virtud de un contrato o de las regulaciones de derecho internacional público.

Tratamiento legítimo y consentimiento

El tratamiento será legítimo y lícito siempre y cuando se cumpla con alguna de las siguientes condiciones: (i) exista consentimiento del titular, (ii) se realice en cumplimiento de una obligación legal o por orden judicial para proteger un interés vital o (iii) cuando los datos consten en bases de datos de acceso público, entre otros.

Respecto al consentimiento, la norma lo reconoce como válido cuando exista una manifestación de voluntad libre, específica, informada e inequívoca; y será revocable en cualquier momento.

Derechos

Al igual que el resto de normativa latinoamericana que sigue la tendencia europea, la ley contempla diferentes derechos cuyo ejercicio es necesario garantizar: derecho a la información, derecho de acceso, derecho de rectificación y actualización, derecho de eliminación, derecho de oposición y derecho a la portabilidad[1].

Asimismo reconoce otros derechos como el derecho a la suspensión del tratamiento, derecho a no ser objeto de una decisión basada única o parcialmente en valoraciones automatizadas, derecho de consulta o derecho a la educación digital.

Categorías especiales de datos personales

La ley contempla cuatro categorías especiales de datos personales: datos sensibles, datos de niños y adolescentes, datos de salud y datos de personas con discapacidad.

Entre los datos sensibles, cabe destacar el tratamiento de los datos crediticios: la norma establece que se reconoce como legítimo y lícito el tratamiento de datos destinados a informar sobre la solvencia patrimonial o crediticia, incluyendo los relativos al cumplimiento o incumplimiento de obligaciones de carácter comercial o crediticio que permitan evaluar la capacidad de pago del titular de los datos; lo anterior en aquellos casos en que los mismos sean obtenidos de fuentes de acceso público o procedentes de informaciones facilitadas por acreedor.

No obstante, no podrán comunicarse los datos crediticios relativos a obligaciones de carácter económico, financiero o bancario o comercial una vez transcurridos cinco años desde que la obligación a la que se refiera se haya hecho exigible.

Transferencias de datos

La norma permite transferir datos a terceros siempre y cuando se realice para el cumplimiento de fines directamente relacionados con las funciones legítimas del responsable y del destinatario, cuando la transferencia se encuentre configurada dentro de una de las causas de legitimidad previstas en la Ley y se cuente además con el consentimiento del titular.

Por otro lado, dispone que no se considerará transferencia de datos si el encargado accede a datos para la prestación de un servicio al responsable del tratamiento, siempre y cuando esté regulado por un contrato; ni cuando el acceso se realice por un tercero y sea necesario para la prestación de un servicio al responsable del tratamiento, debiendo asimismo estar regulado por un contrato.

Delegado de protección de datos

La ley contempla la figura del delegado de protección de datos, enumerando los supuestos en los que es necesario su nombramiento –dejando abierta la posibilidad de que la Autoridad de Protección de Datos Personales defina nuevas condiciones en las que se deba designar-, y las funciones que ha de desempeñar.

Otras novedades

Considerando el principio de seguridad de los datos, el texto regula las medidas de seguridad que han de adoptarse en los distintos tratamientos, define la denominada "protección de datos desde el diseño" y "por defecto", establece el análisis de riesgos, amenazas y vulnerabilidades y la evaluación de impacto del tratamiento que, en su caso, sean necesarios realizar; así como la manera de proceder ante supuestos de brechas de seguridad.

Otro de los puntos novedosos es la llamada "responsabilidad proactiva", a la cual se dedica un capítulo normando la autorregulación, los códigos de conducta y las entidades de certificación.

[1] Respecto a estos derechos citados, la norma prevé ciertas excepciones al ejercicio de los mismos: cuando falte la acreditación del solicitante, en supuestos en que los datos sean necesarios para el cumplimiento de una obligación legal o de una orden judicial, cuando puedan verse perjudicados derechos de terceros, en  casos en que los datos sean necesarios para proteger el interés vital del interesado o de otra persona natural o cuando sean necesarios para ejercer el derecho a la libertad de expresión y opinión, entre otros.