Hasta antes de la expedición de la Ley Orgánica de Protección de Datos personales, el país era uno de los pocos que no contaba con una ley dedicada específicamente a la protección de datos, estando la regulación dispersa en varios cuerpos normativas, entre ellos, la LOTAIP, el COIP, la Ley Orgánica del Sistema Nacional de Registros Públicos, el COA, el COMF, la LOGJCC e incluso la Constitución. Con el progreso de la tecnología, las legislaciones reconocen la necesidad de estándares más altos y modernos de protección. En el caso ecuatoriano, la Ley está inspirada en mayor medida, por la normativa europea de protección de datos. La LOPDP define a un dato personal como: “Dato que identifica o hace identificable a una persona natural, directa o indirectamente”.

Los principios consagrados en la Ley son:

  1. Juridicidad, es decir, el apego a toda la normativa aplicable a la protección de datos. Esto implica, además, la identificación de bases jurídicas para el tratamiento de datos, dependiendo de su propósito y de la relación con el titular. La Ley prevé categorías especiales de datos para cuyo tratamiento son necesarias condiciones adicionales. La juridicidad también exige un tratamiento que contemple y cumpla el ordenamiento jurídico en general, como el Derecho Penal o la Propiedad Intelectual.
  2. Lealtad: si bien un tratamiento puede ser lícito, eso no implica necesariamente que sea leal. Un tratamiento leal responde a circunstancias, medios y fines que el titular razonablemente esperaría; y que no desemboque en efectos perjudiciales para él. Por tanto, debe incluir la identificación de todas las repercusiones del tratamiento en los derechos e intereses de las personas interesadas, de los titulares, grupal o colectivamente; a fin de determinar si una posible repercusión estaría o no justificada.

Como corolario de este principio, el responsable debe asegurar el ejercicio de los derechos del titular sobre sus datos. Estos incluyen:

  • Rectificación y actualización: exigir al responsable la rectificación o actualización de sus datos personales, presentando los justificativos que demuestren que los datos son inexactos o incompletos.
  • Eliminación, exigir al responsable la eliminación de sus datos personales cuando el tratamiento no cumpla con los principios establecidos en la Ley, cuando se haya cumplido la finalidad del tratamiento o recolección de datos, cuando haya vencido el plazo de conservación de datos, cuando el tratamiento afecte derechos fundamentales, cuando revoque el consentimiento otorgado o cuando no se lo haya otorgado para fines específicos; o cuando exista obligación legal.
  • Oposición, oponerse o negarse al tratamiento bajo ciertos parámetros.
  • Portabilidad, obtener una copia digital de sus datos personales de cualquier forma que el titular considere conveniente.

Sin embargo, estos derechos no proceden cuando los datos son necesarios para el cumplimiento de una obligación legal o contractual; cuando los datos son necesarios para el cumplimiento de una orden judicial, resolución o mandato motivado de autoridad pública competente, cuando los datos son necesarios para la formulación, ejercicio o defensa de reclamos o recursos, cuando se pueda causar perjuicio a derechos o afectación a intereses legítimos o cuando se pueda obstaculizar actuaciones judiciales o administrativas en curso.

  1. Transparencia: Esto se refiere a que la información o comunicación relativa al tratamiento de datos debe ser fácilmente accesible y fácil de entender. La transparencia está ligada a la lealtad, pues el titular, al conocer en un principio de las finalidades y condiciones del tratamiento, podrá dar un consentimiento informado. Precisamente, si este consentimiento es la base legitimadora del tratamiento de datos, conforme al art. 8 LOPDP, debe ser libre, específico, inequívoco e informado.
  2. Finalidad: El tratamiento debe responder a una finalidad, estas finalidades del tratamiento deben ser determinadas, explícitas, legítimas y comunicadas al titular y no podrán tratarse sus datos personales para fines distintos de aquellos para los que fueron recopilados los datos en principio. La determinación de finalidades conduce a decisiones informadas por parte de los titulares, y su confianza en el tratamiento de sus datos.
  3. Pertinencia y minimización de datos personales: este principio requiere la identificación de la mínima cantidad de datos personales para satisfacer las finalidades determinadas, a fin de que el tratamiento involucre únicamente esa cantidad de datos. Lógicamente, este principio está estrechamente relacionado con el principio de finalidad, pues depende que esta finalidad esté bien establecida por el responsable. Este es uno de los orígenes, precisamente, del derecho de eliminación que tiene el titular en caso de que los datos no sean tratados de acuerdo a las finalidades para las que se otorgó el consentimiento.
  4. Confidencialidad: el encargado debe proteger los datos contra accesos no autorizados, y asimismo, implementar las medidas técnicas y organizacionales que garanticen la confidencialidad de los datos. Es obligación del encargado notificar al responsable de cualquier vulneración a más tardar dos días desde que hubiera tenido conocimiento de la misma, y es obligación del responsable notificar la vulneración a la Autoridad de Protección de Datos Personales y la Agencia de Regulación y Control de las Telecomunicaciones, a más tardar cinco días desde que hubiera tenido conocimiento de ella, a menos que sea improbable que la vulneración constituya un riesgo para los derechos y las libertades de las personas físicas. De exceder este término, se debe indicar los motivos de la dilación. Asimismo, si la vulneración implica un riesgo para los derechos del titular, el responsable debe notificar a este de la vulneración en el término de tres días desde que se hubiera tenido conocimiento de la vulneración, no se deberá notificar de la vulneración al titular cuando se hubieran adoptado medidas de protección efectivas de los datos afectado, o medidas que impidan el riesgo para los derechos y libertades del titular, siempre y cuando estas excepciones sean calificadas por la Autoridad de protección de datos.
  5. Calidad y exactitud: el responsable debe procurar tomar las medidas necesarias para eliminar o rectificar datos incorrectos. La exactitud de los datos garantiza una correcta representación del titular, al momento de hacer perfiles automáticos, o de usar inteligencia artificial.
  6. Conservación: que se podría decir, parte del principio de la finalidad, puesto que una vez que ésta haya sido cumplida, el tratamiento debe cesar.
  7. Aplicación favorable al titular: la ley impone que, en caso de duda sobre el alcance de sus disposiciones, éstas se interpretarán en el sentido más favorable al titular.
  8. Independencia del control: la ley instituye una Autoridad de Protección de datos personales, que se encarga de supervisar la aplicación de la Ley (art. 4 def. 1a), a fin de proteger los derechos de los titulares. Esta Autoridad, por mandato de la Ley, debe ser independiente. La garantía de su independencia es esencial en relación con el cumplimiento de la Ley, puesto que la Autoridad debe vigilar también la protección de datos por parte de las entidades públicas.
  9. Responsabilidad proactiva y demostrada: Conforme al art. 37 LOPD, los encargados y responsables del tratamiento de datos pueden acogerse a estándares internacionales para una adecuada gestión de riesgos enfocada a la protección de derechos y libertades, así como para la implementación y manejo de sistemas de seguridad de la información o a códigos de conducta reconocidos y autorizados por la Autoridad de Protección de Datos Personales. Esto forma parte de un principio esencial de la Protección de Datos que es la responsabilidad proactiva, es decir, tanto demostrar implementar mecanismos de protección de datos, el cumplimiento de la normativa técnica y el uso de “estándares, mejores prácticas, esquemas de auto y corregulación, códigos de protección, sistemas de certificación, sellos de protección de datos personales o cualquier otro mecanismo que se determine adecuado”.

Los efectos adversos del incumplimiento de la normativa de protección de datos pueden ser sentidos en los titulares y en las empresas, responsables y encargados de tratamiento de datos, de manera física, material o no material. Esto incluye pérdida de control sobre datos personales, limitación de derechos, discriminación, suplantación de identidad, fraude, pérdidas financieras, daños a la reputación, y quebrantamiento del secreto profesional.

 

Artículo escrito por: Ab. Mateo Caldas

FUENTES

Ley Orgánica de Protección de Datos Personales, Quinto Suplemento del Registro Oficial No. 459, 26 de Mayo 2021.

Reglamento (UE) 2016/679 Del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Recuperado de https://www.boe.es/doue/2016/119/L00001-00088.pdf

Organización de los Estados Americanos (2021) Principios Actualizados sobre la Privacidad y la Protección de Datos Personales. Recuperado de https://www.oas.org/es/sla/cji/docs/Publicacion_Proteccion_Datos_Personales_Principios_Actualizados_2021.pdf

Enríquez Álvarez, L. (2018). Paradigmas de la protección de datos personales en Ecuador. Análisis del proyecto de Ley Orgánica de Protección a los Derechos a la Intimidad y Privacidad sobre los Datos Personales. Foro: Revista De Derecho, 1(27), 43–61. Recuperado de https://revistas.uasb.edu.ec/index.php/foro/article/view/500