Saltar al contenido principal

Protección de datos personales ecuador

Ley Orgánica de Protección de Datos Personales del Ecuador

Portada » Blog Calidad y Excelencia » Ley Orgánica de Protección de Datos Personales del Ecuador

Protección de Datos Personales del Ecuador

El 26 de mayo del 2021 se publicó la Nueva Ley Orgánica de Protección de Datos Personales del Ecuador la cual entrará en vigencia en 2 años lo cual permitirá la adaptación de los procesos de las empresas a lo exigido por la normativa.

El objetivo central de la norma mejorar la seguridad de la información en cuanto a los datos personales de las organizaciones,  salvaguardar la base de datos que manejan las empresas con referente a sus clientes (datos que permita identificarlos de alguna manera) y regular la confidencialidad de los datos personales y que eviten que estos datos se usen con otros fines.

El alcance de la norma es para toda empresa pública o privada que tenga acceso al tratamiento de los datos en el Ecuador, que provengan de la oferta de bienes o servicios, datos personales que provengan de contratos o regulaciones vigentes del derecho internacional.

Principios de la Ley Orgánica de Protección de Datos Personales del Ecuador

La Ley cuenta con 13 Principios:

  1. Juridicidad
  2. Lealtad
  3. Transparencia
  4. Finalidad (explícitas, legítimas y comunicadas la titular)
  5. Pertenencia y minimización
  6. Proporcionalidad
  7. Confidencialidad
  8. Calidad y exactitud
  9. Conservación (durante un tiempo no mayor al necesario)
  10. Seguridad
  11. Responsabilidad proactiva y demostrada
  12. Aplicación favorable al titular (Interpretación de la norma)
  13. Independencia del control (Autonomía e independencia del ente regulador)

Los cuales son las bases de las medidas para evitar una manipulación inadecuada de los datos personales en los diferentes criterios mencionados.

Nuevos derechos presentes en la nueva ley

Presenta también nuevos derechos entre los cuales tenemos los siguientes:

  1. Derecho a la información
  2. Derecho de acceso
  3. Derecho de rectificación y actuación
  4. Derecho de eliminación
  5. Derecho de oposición
  6. Derecho a la portabilidad
  7. Derecho a la suspensión del tratamiento
  8. Derecho a la suspensión del tratamiento (limitación de uso)
  9. Derecho a no ser objeto de una decisión basada única o parcialmente en valoraciones automatizadas.
  10. Derecho de consulta en el registro nacional de protección de datos personales
  11. Derecho a la educación digital

Responsabilidades con la nueva Ley de Protección de Datos

La Ley distribuye el nivel de responsabilidades para la implementación de la normativa asignando un responsable del tratamiento de datos quien aplicará las medidas aplicadas para el manejo de datos, un delegado de Protección de Datos (DPD), un responsable de tratamiento de datos y un encargado de tratamiento de datos.

Para la gestión e implementación de la norma define como DPO a la persona encargada de informar a la entidad responsable o al encargado de tratamiento sobre las obligaciones legales en materia de protección de datos, así como velar por el cumplimiento normativo y cooperar con la autoridad y actuar como punto de contacto entre la entidad y el responsable del tratamiento de datos

El responsable del tratamiento de datos es la entidad que debe aplicar e implementar los requisitos y herramientas administrativas para la implementación de la normativa, tanto el responsable como el encargado del tratamiento tienen las mismas obligaciones entre las principales tenemos las siguientes:

  • Implementar las políticas de protección de datos en cada caso particular
  • Utilizar metodologías de análisis y gestión de riesgos, tomar medidas para prevenir, impedir, reducir, mitigar y controlar los riesgos y las vulneraciones identificadas.
  • Realizar evaluaciones de adecuación al nivel de seguridad previas al tratamiento de datos personales.
  • Suscribir contratos de confidencialidad y manejo adecuado de datos personales
  • Designar al delegado de protección de datos.

Descargue el e-book fundamentos de gestión de Seguridad de la Información

Medidas de seguridad a implementar

La ley propone que las organizaciones deben implementar medidas de seguridad para asegurar un nivel adecuado de protección de datos personales considerando los siguientes aspectos:

  • Anonimización, integridad, confidencialidad, resiliencia técnica, física, administrativa y jurídica.
  • Implementar un proceso de verificación, evaluación y valoración continua y permanente de la eficiencia y la efectividad de medidas de carácter técnico.

Si ocurriera una vulneración de datos la entidad responsable del tratamiento de datos personales deberá notificar al titular cuando conlleve un riesgo a sus derechos fundamentales y libertades individuales, dentro del término de 3 días contados a partir de la fecha en la que tuvo conocimiento del riesgo, así como también deberá notificar a la autoridad de protección de datos personales y la agencia de regulación y control de telecomunicaciones en los 5 días posteriores a la comprobación de la vulneración.

 

Sanciones y multas con la nueva Ley de Protección de Datos Personales del Ecuador

Como complemento la Ley de protección de datos personales también incluye sanciones y multas para los servidores públicos, responsables y encargados del tratamiento de los datos por el no cumplimiento de la misma, los cuales oscilan desde 1 a 20 salarios unificados para multas graves para servidores públicos y para los responsables o encargados en caso de multas graves del 0.7% al 1% calculada sobre el volumen de negocios correspondiente al ejercicio económico inmediatamente anterior.

Entre las principales causas de sanciones graves tenemos las siguientes:

  • Por no implementar medidas administrativas para el tratamiento de los datos.
  • No mantener actualizado el registro Nacional de Datos personales
  • Utilizar información o datos personales para otros fines
  • No utilizar metodologías para análisis y gestión de riesgos de vulneración de datos personales.
  • No designar un DPO o responsable de tratamiento.
  • No notificar a la autoridad responsable sobre las vulneraciones de seguridad.
  • No suscribir contratos con el encargado.

Software ISO 27001

El Software ISOTools Excellence ISO 27001 para Riesgos y Seguridad de la Información, está capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización.

El Software se encuentra compuesto por diferentes aplicaciones que, al unificarlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.

Este además de ayudar a una organización a certificar la ISO 27001 es una herramienta clave en la gestión de la seguridad de la información, de cara a cumplir los requisitos establecidos por el Reglamento General de Protección de Datos.

Fundamentos de gestión de Seguridad de la Información

¿Desea saber más?

Entradas relacionadas

Mapa De Riesgos
Mapa de Riesgos de Seguridad de la Información. Cómo elaborarlo y qué tener en cuenta.

Los mapa de riesgos Con el objetivo de cada día ser mas eficientes en los diferentes procesos y…

Ver más
Cumplimiento ESG
Gestión eficaz de riesgos para el cumplimiento ESG

Cumplimiento ESG El cumplimiento de los criterios ESG o ASG (Environmental, Social and Governance) necesita también del pensamiento…

Ver más
Certificado ISO 45001 2018
Certificado ISO 45001:2018. 10 pasos para conseguirlo

Certificado ISO 45001 2018 El certificado ISO 45001:2018 busca mantener y mejorar el sistema de gestión de seguridad…

Ver más