Establecer un estándar para privacidad de datos en Ecuador

La Ley de Protección de Datos Personales de Ecuador es una ley de privacidad de datos recientemente aprobada en mayo de 2021. La Ley de Protección de Datos Personales fue aprobada para proporcionar a los ciudadanos ecuatorianos los derechos garantizados de protección de datos y, a su vez, de privacidad personal. Si bien la Constitución de la República de Ecuador de 2008 otorga a los ciudadanos ecuatorianos el derecho a la privacidad personal, tales derechos se expresaron a través de principios generales en lugar de términos estrictos o regulaciones. Como tal, la Ley de Protección de Datos Personales es la primera ley en Ecuador que proporciona a los ciudadanos del país un verdadero nivel de protección de datos. Como tal, la ley establece los requisitos que los controladores y procesadores de datos dentro de Ecuador deben seguir para mantener el cumplimiento.

¿Cómo define la ley a los responsables y encargados del tratamiento?

Según la Ley de Protección de Datos Personales de Ecuador, un responsable del tratamiento se define como una “persona física o jurídica, pública o privada, autoridad pública u otro organismo, que solo o conjuntamente con otros decida sobre la finalidad y el tratamiento de los datos personales”. Por otra parte, la ley define al encargado del tratamiento como una “persona física o jurídica, pública o privada, autoridad pública u otro organismo que, solo o conjuntamente con otros, trate datos personales en nombre y por cuenta de un responsable del tratamiento”. En cuanto al ámbito de aplicación y aplicación de la Ley de Protección de Datos Personales, la ley se aplica a todas las personas físicas dentro de Ecuador, con ciertas excepciones, como los datos personales de las personas jurídicas.

Además, el ámbito de aplicación material de la ley es bastante amplio, ya que se aplica a todos los datos personales que se recopilen o traten en Ecuador, independientemente de que dichos datos personales se hayan recopilado o tratado utilizando medios automatizados o no automatizados, así como a cualquier uso posterior de dichos datos personales. Además, el ámbito territorial de la ley es aplicable tanto a los datos personales que se recojan y traten en Ecuador, como en el extranjero, en las siguientes circunstancias:

• La recolección o tratamiento de datos personales se realice en cualquier parte del territorio nacional del Ecuador.
• El responsable de la recolección o tratamiento de datos personales se encuentre domiciliado en cualquier parte del territorio nacional de Ecuador.
• La recolección o tratamiento de los datos personales de los titulares de los datos sea realizado por un responsable o encargado del tratamiento que no esté físicamente establecido dentro de Ecuador, permitido que dichas actividades de tratamiento de datos estén relacionadas con el ofrecimiento de bienes y servicios a dichos titulares, se cobre o no por dichos bienes o servicios, o con el control del comportamiento de los titulares de los datos dentro de Ecuador.
• El responsable o encargado del tratamiento no está físicamente establecido en Ecuador pero, sin embargo, está “sujeto a la legislación nacional en virtud de un contrato o de las normas vigentes de Derecho internacional público”.

¿Cuáles son los requisitos de los responsables y encargados del tratamiento en virtud de la Ley de Protección de Datos Personales?

Al igual que el Reglamento General de Protección de Datos de la Unión Europea o GDPR, la Ley de Protección de Datos Personales de Ecuador establece una variedad de principios que los controladores y procesadores de datos dentro del país deben cumplir al realizar actividades de procesamiento de datos. Entre estos principios se incluyen los siguientes

• Licitud- Todos los datos personales que se recopilen y procesen deben estar en estricto cumplimiento con los derechos, obligaciones y principios establecidos por la Constitución de la República del Ecuador de 2008, otros instrumentos internacionales y cualquier otra norma o regulación aplicable dentro del Ecuador.
• Equidad– El tratamiento y recolección de datos personales debe realizarse de manera equitativa, de tal forma que se deje claro a los titulares de los datos que sus datos personales serán recolectados, utilizados, tratados o consultados, así como las finalidades de dichas acciones.
• Transparencia– La recogida y el tratamiento de datos personales deben realizarse de forma transparente, “de modo que toda información o comunicación relativa a este tratamiento sea fácilmente accesible y fácil de entender y utilice un lenguaje sencillo y claro”.
• Finalidad– Los fines de la recogida y tratamiento de datos personales deben ser determinados, explícitos y legítimos. Estos fines deben comunicarse a los interesados, y está prohibida cualquier recogida o tratamiento de datos personales que se realice al margen de dichos fines.
• Pertinencia y minimización de los datos personales– Los datos personales deben ser pertinentes, así como limitarse a lo necesario para cumplir los fines previstos para el tratamiento.
• Proporcionalidad del tratamiento- El tratamiento de los datos personales debe ser pertinente, necesario, oportuno y no excesivo en relación con los fines para los que se recabaron.
• Confidencialidad– La recogida y el tratamiento de datos personales deben realizarse sobre la base de la confidencialidad y el secreto, y no deben ser tratados ni comunicados posteriormente por ningún motivo distinto de los fines para los que fueron recogidos y tratados.
• Calidad y exactitud- Todos los datos personales que se recojan y traten deben ser completos, exactos, precisos, claros y verificables, así como debidamente actualizados, en su caso, de forma que se altere la veracidad de los mismos.
• Conservación– Los datos personales no podrán conservarse más tiempo del necesario para cumplir los fines para los que fueron recogidos y tratados.
• Seguridad de los datos personales- Los responsables y encargados del tratamiento son responsables de garantizar que los datos personales que obren en su poder permanezcan seguros mediante la aplicación de medidas de seguridad adecuadas.
• Protección y responsabilidad probada- Las personas físicas que los responsables o encargados del tratamiento elijan como responsables de la seguridad de los datos personales deberán probar que han implantado mecanismos de seguridad con el fin de proteger los datos personales.
• Aplicación favorable al titular-“En caso de duda sobre el alcance de las disposiciones del ordenamiento jurídico o de las disposiciones contractuales aplicables a la protección de datos personales, los funcionarios judiciales y administrativos deberán interpretarlas y aplicarlas en el sentido más favorable al titular de dichos datos”.
• Independencia del control– “Para el efectivo ejercicio del derecho a la protección de datos personales, y en cumplimiento de las obligaciones del Estado de proteger sus derechos, la Superintendencia ejercerá un control independiente, imparcial y autónomo, así como realizará las respectivas acciones de prevención, investigación y sanción”.

¿Cuáles son los derechos de los ciudadanos ecuatorianos bajo la Ley de Protección de Datos Personales?

En virtud de la Ley de Protección de Datos Personales, los ciudadanos ecuatorianos tienen los siguientes derechos:

• Derecho a ser informado.
• Derecho de acceso.
• Derecho de rectificación.
• Derecho de supresión.
• Derecho de oposición o exclusión voluntaria.
• Derecho a la portabilidad de los datos.
• Derecho a no ser sometido a decisiones automatizadas.
• Derecho de consulta.
• Derecho a la educación digital.

En cuanto a las sanciones que pueden imponerse a los responsables y encargados del tratamiento que incumplan la ley, la Ley de Protección de Datos Personales es aplicada por la Superintendencia de Protección de Datos o la Superintendencia para abreviar. Aunque aún está pendiente el nombramiento de una persona para este cargo, entre las sanciones previstas por la ley figuran las siguientes:

• Una “multa de 1 a 10 Salarios Mínimos Legales ($400 a $4000) para funcionarios o servidores públicos”.
• Una “multa de entre el 0,1% y el 0,7% calculada sobre su facturación correspondiente al ejercicio fiscal inmediatamente anterior a la imposición de la multa, para los miembros de entidades de empresas privadas o públicas”.
• Una “multa económica de 10 a 20 Salarios Mínimos Legales ($4000 a $8000) para los funcionarios o empleados públicos”.
• Una “multa de entre el 0,7% y el 1% calculada sobre su facturación correspondiente al ejercicio fiscal inmediatamente anterior a la imposición de la multa, para miembros de entidades de derecho privado o empresas públicas”.

Dado que muchos países de América del Sur han promulgado una amplia legislación relacionada con la protección de datos en la intimidad, como la Ley General de Protección de Datos o LGPD de Brasil y la Ley de Protección de Datos Personales de Argentina, la Ley de Protección de Datos Personales de Ecuador es la última en sumarse a esta tendencia. Además, la Ley de Protección de Datos Personales proporciona a los ciudadanos ecuatorianos muchas otras leyes de protección de la privacidad de datos en todo el mundo, como el derecho a la educación digital. De esta forma, Ecuador se ha desmarcado realmente del pacto, ya que actualmente existen pocas leyes con la amplitud y profundidad de la Ley de Protección de Datos Personales.