Contactar asesor

Ley de Protección de Datos Personales en Ecuador

José Antonio Sánchez
como-constituir-una-empresa-sas-ecuador

El próximo 25 de mayo de 2023 entra en vigor la Ley Orgánica de Protección de Datos Personales para los ciudadanos ecuatorianos. Una de las dudas más comunes que surgen antes de la entrada en vigor de esta Ley. Es si existe la obligación de tener un Delegado de Protección de Datos (DPD) en las empresas o negocios. En este artículo hablaremos sobre qué empresas están obligadas a contratar a un DPD.

¿Cuándo es obligatorio adquirir un DPD?

Una de las novedades que trae la Ley Orgánica de Protección de Datos Personales es la figura del Delegado de Protección de Datos. Sin embargo, es poco precisa sobre cuando las empresas o negocios están obligados a la contratación de un Delegado de Protección de Datos. En su artículo 48 recoge los supuestos en que es obligatorio la designación de un DPD, y son los siguientes:

  1. Cuando el tratamiento se lleve a cabo por quienes conforman el sector público (ministerios, secretarias, gobiernos autónomos descentralizados, etc.)
  2. Cuando las actividades del responsable o encargado del tratamiento de datos personales requieran un control permanente y sistematizado por su volumen, naturaleza, alcance o finalidades del tratamiento.
  3. Cuando se refiera al tratamiento a gran escala de categorías especiales de datos.

El primero de los puntos no deja lugar a dudas. Ya que se circunscribe únicamente a organismos públicos pero los dos restantes pueden resultar poco específicos. Para esto te daremos algunas pautas para poder determinar con mayor claridad cuando una empresa está obligada a designar un DPD:

Control permanente y sistematizado

Debe entenderse por control permanente y sistematizado a un control constante y recurrente sobre los datos a tratarse. Dicho control debe ser sistematizado. Es decir que se lleve a través de un sistema preestablecido, organizado o metódico.

En cualquier caso las empresas que tienen actividades que requieren un control permanente y sistematizado sobre los datos que recogen. Siempre tendrán un plan general de recogida de dato. Llevado a cabo como parte de una estrategia de protección de datos personales.

Algunos ejemplos de actividades que requieren “control permanente y sistematizado” serían:

  • Prestar servicios de telecomunicaciones
  • Redireccionar correos electrónicos
  • Creación de perfiles y puntuación con fines de evaluación de riesgos
  • Seguimiento de ubicación, por ejemplo, mediante aplicaciones móviles
  • Programas de fidelización
  • Publicidad basada en el comportamiento
  • Seguimiento de datos de bienestar, estado físico y salud mediante dispositivos portátiles

Tratamiento a gran escala

Debe entenderse por “a gran escala”  el procesar una cantidad considerable de datos personales. Que pudieran afectar a un gran número de personas. No obstante la Ley de Protección de Datos Personales no establece una cifra exacta. Ya sea en relación a la cantidad de datos procesados como el número de personas afectadas.

Para lo cual nos basaremos en la normativa europea. Que define algunos conceptos que la legislación ecuatoriana aún no lo hace. La “Guía práctica de Análisis de riesgos en los tratamientos de datos personales sujetos al RGPD” y la “Guía para la gestión y notificación de brechas de seguridad” de la Agencia Española de Protección de Datos.toman en cuenta los siguientes factores para determinar si el tratamiento se lleva a cabo a gran escala:

  1. El número de interesados (personas afectadas por el tratamiento).
  2. El volumen de datos o el abanico de diferentes conceptos de datos que se procesan.
  3. La duración, o permanencia, de la actividad de tratamiento de datos.
  4. El alcance geográfico de la actividad de tratamiento.

Algunos ejemplos de tratamiento “a gran escala” serían:

  • Tratamiento de datos por parte de proveedores de telefonía o de servicios de Internet.
  • Tratamiento de datos personales para publicidad basada en el comportamiento por parte de un motor de búsqueda.
  • Tratamiento de datos de desplazamiento de personas físicas que utilizan el sistema de transporte público de una ciudad (tarjetas de transporte)
  • Tratamiento de datos de geolocalización en tiempo real de clientes de una aplicación (Uber, Rappi, etc.)
  • Tratamiento de datos de clientes en el desarrollo normal de la actividad de una empresa de seguros o un banco.

Tratamiento de categorías especiales de datos

Entiéndase por categoría especial de datos aquellos datos que requieren una mayor protección. Por referirse a aspectos especialmente sensibles de una persona como: su raza, etnia, orientación sexual, condición migratoria, entre otros. Además dentro de las categorías especiales de datos. También están incluidos los datos de niñas, niños y adolescentes, datos de salud, datos de personas con discapacidad y de sus sustitutos, relativos a la discapacidad.

En principio el tratamiento de estos datos está prohibido. Pero se exceptúa dicha prohibición en casos específicos. En todo caso cuando sea posible su tratamiento, el responsable o encargado del tratamiento deberá disponer de un Delegado de Protección de Datos.

¿Quiénes deberían contratar un DPD en Ecuador según la Ley de Protección de Datos personales?

En Ecuador no se ha expedido el reglamento a la Ley Orgánica de Protección de Datos Personales hasta la presente fecha. Por lo que todavía no ha sido posible definir con mayor detalle las empresas o negocios que deberían tener un DPD de forma obligatoria.

Sin embargo, siguiendo los pasos de la normativa europea las empresas o negocios que obligatoriamente necesitarán contratar un DPD serán los siguientes:

  • Los colegios profesionales, asociaciones o federaciones.
  • Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles de educación (Universidades públicas y privadas, escuelas, colegios, etc.)
  • Las entidades que exploten redes y presten servicios de telecomunicaciones
  • Los establecimientos financieros (bancos, recaudadoras, etc.)
  • Las entidades aseguradoras y reaseguradoras.
  • Las casas de valores
  • Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
  • Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito.
  • Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados.
  • Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
  • Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos.
  • Las empresas de seguridad privada.

Una vez que evalúes si tu empresa está obligada a designar un Delegado de Protección de Datos, te queda la ardua tarea de conocer el perfil profesional que debe tener el DPD, sus obligaciones y funciones en el cargo, esto te contaremos en nuestro siguiente artículo.

¡Entérate de muchas más novedades en nuestro blog!

Share

Deja una respuesta

Artículos relacionados

5 Errores que Pueden Retrasar la Constitución de tu Empresa y Cómo Evitarlos

5 Errores que Pueden Retrasar la Constitución de tu Empresa y Cómo Evitarlos

kathebritoec@gmail.com
Read More

Beneficios Fiscales de una SAS en Ecuador: ¿Cómo Pagar Menos Impuestos Legalmente?

kathebritoec@gmail.com
Read More

Las píldoras venenosas en el Derecho Societario

José Antonio Sánchez
Read More

Clientes

Queremos que cada emprendimiento sea una fuente de ingresos y empleo para Ecuador, por eso ayudamos a los emprendedores a constituir una SAS a través de la mejor tecnología legal que los apoye desde el inicio de su actividad comercial, hasta el cumplimiento de sus metas.
Estas son las marcas que ya confiaron en nosotros:

simpleSAS is a service of L4i SAS BIC. Copyright 2022 sasecuador. All rights reserved

× Hablar con una simplificadora