Protección de Datos Personales del Ecuador
El 26 de mayo del 2021 se publicó la Nueva Ley Orgánica de Protección de Datos Personales del Ecuador la cual entrará en vigencia en 2 años lo cual permitirá la adaptación de los procesos de las empresas a lo exigido por la normativa.
El objetivo central de la norma mejorar la seguridad de la información en cuanto a los datos personales de las organizaciones, salvaguardar la base de datos que manejan las empresas con referente a sus clientes (datos que permita identificarlos de alguna manera) y regular la confidencialidad de los datos personales y que eviten que estos datos se usen con otros fines.
El alcance de la norma es para toda empresa pública o privada que tenga acceso al tratamiento de los datos en el Ecuador, que provengan de la oferta de bienes o servicios, datos personales que provengan de contratos o regulaciones vigentes del derecho internacional.
Principios de la Ley Orgánica de Protección de Datos Personales del Ecuador
La Ley cuenta con 13 Principios:
- Juridicidad
- Lealtad
- Transparencia
- Finalidad (explícitas, legítimas y comunicadas la titular)
- Pertenencia y minimización
- Proporcionalidad
- Confidencialidad
- Calidad y exactitud
- Conservación (durante un tiempo no mayor al necesario)
- Seguridad
- Responsabilidad proactiva y demostrada
- Aplicación favorable al titular (Interpretación de la norma)
- Independencia del control (Autonomía e independencia del ente regulador)
Los cuales son las bases de las medidas para evitar una manipulación inadecuada de los datos personales en los diferentes criterios mencionados.
Nuevos derechos presentes en la nueva ley
Presenta también nuevos derechos entre los cuales tenemos los siguientes:
- Derecho a la información
- Derecho de acceso
- Derecho de rectificación y actuación
- Derecho de eliminación
- Derecho de oposición
- Derecho a la portabilidad
- Derecho a la suspensión del tratamiento
- Derecho a la suspensión del tratamiento (limitación de uso)
- Derecho a no ser objeto de una decisión basada única o parcialmente en valoraciones automatizadas.
- Derecho de consulta en el registro nacional de protección de datos personales
- Derecho a la educación digital
Responsabilidades con la nueva Ley de Protección de Datos
La Ley distribuye el nivel de responsabilidades para la implementación de la normativa asignando un responsable del tratamiento de datos quien aplicará las medidas aplicadas para el manejo de datos, un delegado de Protección de Datos (DPD), un responsable de tratamiento de datos y un encargado de tratamiento de datos.
Para la gestión e implementación de la norma define como DPO a la persona encargada de informar a la entidad responsable o al encargado de tratamiento sobre las obligaciones legales en materia de protección de datos, así como velar por el cumplimiento normativo y cooperar con la autoridad y actuar como punto de contacto entre la entidad y el responsable del tratamiento de datos
El responsable del tratamiento de datos es la entidad que debe aplicar e implementar los requisitos y herramientas administrativas para la implementación de la normativa, tanto el responsable como el encargado del tratamiento tienen las mismas obligaciones entre las principales tenemos las siguientes:
- Implementar las políticas de protección de datos en cada caso particular
- Utilizar metodologías de análisis y gestión de riesgos, tomar medidas para prevenir, impedir, reducir, mitigar y controlar los riesgos y las vulneraciones identificadas.
- Realizar evaluaciones de adecuación al nivel de seguridad previas al tratamiento de datos personales.
- Suscribir contratos de confidencialidad y manejo adecuado de datos personales
- Designar al delegado de protección de datos.
Medidas de seguridad a implementar
La ley propone que las organizaciones deben implementar medidas de seguridad para asegurar un nivel adecuado de protección de datos personales considerando los siguientes aspectos:
- Anonimización, integridad, confidencialidad, resiliencia técnica, física, administrativa y jurídica.
- Implementar un proceso de verificación, evaluación y valoración continua y permanente de la eficiencia y la efectividad de medidas de carácter técnico.
Si ocurriera una vulneración de datos la entidad responsable del tratamiento de datos personales deberá notificar al titular cuando conlleve un riesgo a sus derechos fundamentales y libertades individuales, dentro del término de 3 días contados a partir de la fecha en la que tuvo conocimiento del riesgo, así como también deberá notificar a la autoridad de protección de datos personales y la agencia de regulación y control de telecomunicaciones en los 5 días posteriores a la comprobación de la vulneración.
Sanciones y multas con la nueva Ley de Protección de Datos Personales del Ecuador
Como complemento la Ley de protección de datos personales también incluye sanciones y multas para los servidores públicos, responsables y encargados del tratamiento de los datos por el no cumplimiento de la misma, los cuales oscilan desde 1 a 20 salarios unificados para multas graves para servidores públicos y para los responsables o encargados en caso de multas graves del 0.7% al 1% calculada sobre el volumen de negocios correspondiente al ejercicio económico inmediatamente anterior.
Entre las principales causas de sanciones graves tenemos las siguientes:
- Por no implementar medidas administrativas para el tratamiento de los datos.
- No mantener actualizado el registro Nacional de Datos personales
- Utilizar información o datos personales para otros fines
- No utilizar metodologías para análisis y gestión de riesgos de vulneración de datos personales.
- No designar un DPO o responsable de tratamiento.
- No notificar a la autoridad responsable sobre las vulneraciones de seguridad.
- No suscribir contratos con el encargado.
Software de Gestión de Seguridad de la Información
El Software Excellence de ISOTools para la gestión de riesgos y seguridad de la información está diseñado para abordar diversos controles relacionados con el tratamiento de datos, gracias a las aplicaciones altamente configurables que contiene, adaptándose completamente a los requerimientos de cada organización.
Este software se compone de múltiples aplicaciones que, al trabajar en conjunto, garantizan que la información manejada por las empresas conserve sus propiedades fundamentales: disponibilidad, integridad y confidencialidad.
Además de ser una herramienta esencial en la gestión de la seguridad de la información, este software contribuye significativamente a que una organización cumpla con los requisitos establecidos por el Reglamento General de Protección de Datos.
- Implementando el Marco de Riesgo NIST: Estrategias para una Protección Efectiva
- Gestión de riesgos de ciberseguridad: clave para proteger tu empresa
- Comparativa: Software GRC vs. métodos tradicionales de gestión de riesgos
- Impacto del Software GRC en la Reducción de Riesgos Operativos
- Claves para gestionar los riesgos de terceros en tu empresa
¿Desea saber más?
Entradas relacionadas
Implementando el Marco de Riesgo NIST: Estrategias para una Protección Efectiva
El Marco de Riesgo NIST (National Institute of Standards and Technology Risk Management Framework) es un conjunto de lineamientos...