AD 198/2020
Resumen
El presente artículo pretender ilustrar de forma general el alcance del derecho de protección de datos personales en el ejercicio ordinario de los negocios ecuatorianos. Para esto, se analizan los aspectos jurídicos más relevantes que todo responsable o encargado de tratamiento de datos, ya sea particular, empresa y/o start up, deberá tener en cuenta a partir de la aprobación del Proyecto de la Ley Orgánica de Protección de Datos Personales, que actualmente se tramita en la Asamblea Nacional del Ecuador.
Palabras Clave: Ecuador, datos personales, proyecto de ley, empresas, start up, GDPR
Introducción
El ecosistema tecnológico de Ecuador ha cambiado drásticamente en los últimos años y aún más a raíz de la pandemia del COVID 19, que impulsó la creación de nuevas formas de negocio y la innovación de los servicios tradicionales. Pero esta renovación, que en principio era necesaria y esperada por muchos, nos dejó con otro gran problema: la actualización de nuestro sistema jurídico. Y es que, si bien nuestro legislador se ha esforzado por promulgar leyes e incluir reformas que regulen las nuevas figuras jurídicas derivadas de la sociedad digital, como es el caso de los contratos inteligentes (smart contracts) en el Código de Comercio y los sistemas de crowdfunding en la Ley Orgánica de Emprendimiento e Innovación, dichas previsiones legales o son poco claras, o, resultan insuficientes para una correcta aplicación e interpretación del sujeto de derecho, de los abogados y del administrador público.
Sobre esto, el Proyecto de Ley Orgánica de Protección de Datos Personales (que se está tramitando desde el pasado septiembre de 2019 en la Asamblea Nacional) presenta como variante la futura incorporación de un marco regulatorio amplio y específico a nuestro ordenamiento jurídico, que, por un lado, cubre las necesidades legales del ciudadano común que ya es consciente del valor de sus datos, y, por otro, nos acerca a las legislaciones internacionales que se imponen de formar estricta para el flujo comercial de los datos y para las sanciones por incumplimiento.
A continuación, se analizará de forma general los aspectos legales más relevantes que todo particular, empresa y/o start up debe considerar para el futuro cumplimiento de la normativa y la correcta protección de los datos personales que se manejan en el giro ordinario de su negocio:
1.- Responsable/Encargado de tratamiento
En primer lugar, debe identificarse si por el desarrollo del negocio se tratan datos de carácter personal que se encuentren dentro del ámbito de aplicación del proyecto de ley. Al respecto, los datos personales son todos aquellos que identifican o hacen identificable a una persona natural y el tratamiento puede ser cualquier operación o conjunto de operaciones realizadas sobre dichos datos personales, ya sea con procedimientos automatizados o no. Esta norma no será aplicable al tratamiento de datos personales utilizados en actividades familiares o domésticas, datos anónimos y datos que se refieran a las personas jurídicas per se
Por otro lado, la persona natural o jurídica será responsable de tratamiento si es quién decide sobre la finalidad y el tratamiento de los datos personales, y, será un encargado si trata los datos por nombre y a cuenta de un responsable de tratamiento. Esta diferencia es importante porque cada figura mantiene un régimen de responsabilidad diferente, lo que exigirá que cada uno establezca políticas y medidas correlativas al alcance de sus obligaciones.
2.- Legitimidad del tratamiento de datos personales
Es cierto que el consentimiento es una de las bases legitimadoras más importantes para el tratamiento de datos personales, pero no es la única. Al igual que el Reglamento General de Protección de Datos de la Unión Europea (GDPR por sus siglas en inglés), el proyecto de ley contempla diferentes opciones que legitiman el tratamiento de datos personales, tales como el cumplimiento de un mandato legal aplicable al responsable de tratamiento, cumplimiento de obligaciones contractuales y la ejecución de medidas precontractuales a petición del titular.
Para la empresa/start up será imprescindible identificar de forma correcta la base de legitimación del tratamiento de datos personales, y para esto es necesario el acompañamiento de una correcta asesoría jurídica. La solución no es privarse del tratamiento de datos por creer que no existe una opción viable, sino, por el contrario, crear una estructura que sea legal y práctica para el crecimiento del negocio con el uso de este importante activo.
3.- Implementación de medidas de seguridad y responsabilidad proactiva
Otras de las características que comparte el proyecto de ley de protección de datos en Ecuador con el GDPR es el principio de responsabilidad proactiva, por el cual, el responsable de tratamiento tiene la obligación de acreditar su cumplimiento y la aplicación de medidas de seguridad para la protección de datos personales. Es decir, no basta que el particular, empresa o start up haga una simple declaración enunciativa de las medidas adoptadas, sino que debe ser capaz de demostrar su aplicación y mantener una constante revisión de las mismas. Para esto, pueden valerse de certificaciones, códigos de auto y corregulación, aplicación de estándares y mejores prácticas, entre otros.
El responsable y el encargado de tratamiento tienen la obligación de implementar mecanismos y controles que permitan detectar y gestionar los riesgos en el tratamiento de datos personales, para evitar cualquier posible vulneración en los derechos de sus titulares. Estas medidas deben ser de carácter técnico y organizativo. Es decir, deben existir sistemas logísticos que cumplan con los estándares de privacidad en el diseño y por defecto, y, procesos de capacitación, auditoría y protocolos que sirvan para concientizar y preparar a todo el equipo de trabajo en esta materia.
4.- Creación de Políticas de Privacidad y Protección de Datos
El consentimiento en el tratamiento de datos personales es primordial. Por lo que, para que el mismo sea considerado válido debe ser, entre otros, expreso e informado.
Las grandes empresas, pero, sobre todo, las que prestan servicios transfronterizos conocen la importancia de la implementación de políticas de privacidad y protección de datos que incluyan todos los aspectos de la relación jurídica entre el responsable/encargado de tratamiento y el titular de los datos personales. Este es el primer paso para demostrar el cumplimiento de los mandatos legales en la materia y para establecer el alcance de las responsabilidades contractuales entre las partes.
La redacción de estos documentos debe ir acompañada de una asesoría legal que revise de forma minuciosa cuáles son las necesidades del negocio o emprendimiento y el público al que va dirigido, ya que, a mayor especialidad en el tratamiento de datos personales, mayor información deberá proporcionarse al titular de los datos.
5.- La figura del Delegado de Protección de Datos y el Registro Nacional de Protección de Datos
La norma establece en qué casos será necesario que el responsable o encargado de tratamiento designen a un delegado de protección de datos personales, figura que se incorpora por influencia del GDPR. Este agente mantendrá relación directa con el más alto nivel jerárquico de la empresa o start up, y deberá, entre otros, asesorarlos y supervisarlos en el cumplimiento de la normativa y las directrices impartidas por la Autoridad de Protección de Datos personales.
Además, el delegado guiará al responsable de tratamiento en el desarrollo e implementación del análisis de riesgo, evaluación de impacto y la evaluación de las medidas de seguridad.
Por otro lado, en el proyecto de ley se prevé la creación de un Registro Nacional de Protección de Datos Personales, que deberá mantenerse actualizado con la información que reporte el responsable de tratamiento. Esta información incluye, entre otras cuestiones, la identificación de la base de datos o del tratamiento, la naturaleza de los datos personales tratados, el tiempo de conservación de los datos y las transferencias internacionales de datos.
6.- La transferencia internacional de datos
Este es uno de los aspecto que más interesa a las empresas que prestan servicios digitales internacionales, multinacionales, o que, por su giro ordinario, comparten información con terceros países a quienes no le es aplicable la legislación ecuatoriana. En el proyecto de ley, siguiendo las soluciones planteadas en el GDPR, se refuerza y amplia el ámbito de aplicación de la norma y los criterios para la transferencia de datos personales a terceros países que cumplen con niveles adecuados de protección. Uno de estos estándares es, precisamente, que el país u organización cuente con una normativa especializada en protección de datos personales. De esta forma podemos adelantar que será posible la transferencia de datos personales a los países integrantes de la Unión Europea, así como otros de América Latina (Argentina y Colombia, por ejemplo).
Las otras opciones que plantea el proyecto de ley son la transferencia mediante garantías adecuadas, que opera cuando no existe una resolución de nivel adecuado de protección y el responsable o encargado de tratamiento tomas medidas adicionales y específicas para compensar la falta de protección en un tercer país u organización, y, la transferencia por normas corporativas vinculantes aplicadas al ámbito de su actividad.
En todos estos casos, la norma plantea una serie de condiciones que deberán ser cumplidas y conocidas por el particular, empresa o start up antes de iniciar cualquier proceso de transferencia de datos personales.
Conclusión
Es habitual que los particulares, empresas o start ups manejen datos de carácter personal en los diferentes flujos operativos de su negocio, desde la información de sus clientes y proveedores, hasta la de sus trabajadores. Los datos son un activo y promueven la economía. En dicho sentido, el Proyecto de Ley Orgánica de Protección de Datos Personales en Ecuador plantea un nuevo reto para todos aquellos responsables y encargados de tratamiento, que deben adaptarse a la normativa para evitar sanciones que podrían ascender al 17% del volumen de negocio correspondiente al ejercicio económico inmediato anterior.
En definitiva, con todos los requisitos y novedades que incluirá este cuerpo normativo, resultará fundamental contar con un equipo operativo y legal que guíe a los responsables y encargados de tratamiento para el aprovechamiento de los datos de forma eficiente y segura, evitando posibles vulneraciones e incumplimientos a una norma con un inequívoco espíritu garantista a favor de sus titulares.
Luisa Gárate Rivera
17 de diciembre de 2020
Referencias:
Proyecto de Ley Orgánica de Protección de Datos Personales. Asamblea Nacional del Ecuador.
Luisa Gárate Rivera
Abogada. Máster en Derecho de las Telecomunicaciones, Protección de Datos, Audiovisual y Sociedad de la Información por la Universidad Carlos III de Madrid. Cofundadora de Guayaquil Legal Hackers. Especialista en Legal Tech y transformación digital de los negocios.
Twitter: @luisagarate
LinkedIn: luisagaraterivera
