SE EMITIÓ EL REGLAMENTO GENERAL DE LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES

El 6 de noviembre de 2023, el Presidente de la República, emitió el Reglamento General de la Ley Orgánica de Protección de Datos Personales, (en adelante el “Reglamento”).

El Reglamento desarrolla la normativa para la aplicación de la LOPDP, entre cuyas disposiciones destacamos:

1. Se incorporan definiciones para la aplicación de la Ley, como:
   
   · Actividades familiares o domésticas: las cuales se lleven a cabo en un entorno de amistad, parentesco o grupo personal cercano, en propiedad privada y que no tengan fines comerciales.
   
   · Tratamiento a gran escala: El cual tiene incidencia en una gran cantidad de datos, de numerosos titulares en diversas ubicaciones geográficas, que representa, por tanto, una amenaza a sus derechos y libertades.
   
   
2. Ejercicio de los derechos del titular: Para el ejercicio de sus derechos, el titular deberá incluir un mínimo de información que permita al responsable del tratamiento, identificar al titular y sus datos personales. Completada la solicitud, el responsable dará trámite a la petición del titular de datos.
   
   
3. Notificación de vulneraciones: Si se produce cualquier vulneración a la seguridad de datos que pueda represente un riesgo para los derechos de los titulares, el responsable del tratamiento deberá notificar a la Autoridad de Protección de Datos Personales y a la Agencia de Regulación y Control de Telecomunicaciones. Además, se deberá notificarse al titular con la misma información.
   
   
4. Evaluación de impacto: Se otorga al responsable la facultad de consultar a la Autoridad de Protección de Datos Personales a fin de determinar la obligatoriedad de la evaluación de impacto. Adicionalmente, se establecen los requisitos de la evaluación, que incluyen la descripción y finalidades del tratamiento; la justificación de necesidad y proporcionalidad; la evaluación de riesgos; y, las medidas destinadas a la protección de datos personales.
   
   
5. Responsabilidad conjunta: Si existen dos o más responsables del tratamiento de datos, deberán celebrar entre sí un contrato que delimite sus obligaciones, el cual deberá estar a disposición de la Autoridad de Protección de Datos Personales, así como de los titulares. Consecuentemente, se genera un régimen sancionador diferenciado en función del alcance de sus responsabilidades.
   
   
6. Registro de actividades: Los responsables que cuenten con 100, o más, empleados, deberán realizar un registro de las acciones relacionadas con el tratamiento de datos bajo su responsabilidad.  El Reglamento establece los requisitos para dicho registro.
   
   
7. Relación entre responsable y encargado: El responsable del tratamiento de datos y sus encargados, deberán establecer la relación entre sí por medio de un contrato escrito, en el que se detallen el objeto, la duración, la naturaleza, la finalidad, la categoría de datos personales, la identificación de los titulares de datos; y, las obligaciones e instrucciones relacionadas con las actividades de tratamiento.
   
   
8. Delegado de protección de datos (DPD): El Delegado deberá asesorar y supervisar las obligaciones del responsable y encargado de tratamiento, totalmente independiente de ellos. Su contratación podrá llevarse a cabo bajo relación de dependencia o por un contrato de prestación de servicios.
   
   Se considerará un mecanismo de buenas prácticas la designación voluntaria de un Delegado por parte de los responsables o encargados que no se encuentren obligados.
   
   
9. DPD para grupos empresariales: Los grupos empresariales podrán designar a un solo delegado, siempre que las actividades puedan desarrollarse por este sin conflicto de intereses.
   
   
10. Transferencia internacional: La Autoridad de Protección de Datos Personales determinará los países, organizaciones y personas jurídicas que cuentan con estándares de protección equivalentes o superiores a los establecidos en la Ley, las transferencias internacionales hacia dichos países, organizaciones y personas no requerirán autorización previa.
    
    El Reglamento establece los requisitos que deberán cumplirse para la transferencia de datos a países que no han sido calificados por la Autoridad de Protección de Datos Personales; así como para la autorización de normas corporativas vinculantes.
    
    Además, se deberá registrar en el Registro Nacional de Protección de Datos la siguiente información: el país del destinatario, las categorías de datos, la finalidad de la transferencia, la información de identificación del destinatario, el mecanismo para realizar la transferencia; y, el criterio de excepción, cuando corresponda. 

El Reglamento entrará en vigor a partir de su publicación en el Registro Oficial.

Contactos: Hipatia Donoso (hdonoso@tzvs.ec), Ana Mogollón (amogollon@tzvs.ec).

© TobarZVS 

Esta publicación contiene información de interés general y no constituye opinión legal sobre asuntos específicos. Cualquier análisis particular, requerirá asesoramiento legal de la Firma.