Los avances tecnológicos, la aparición de nuevos modelos de negocio y la incontrolable captura de datos a través de diversos medios, junto con la concientización del valor personalísimo de su contenido en el ejercicio de los derechos y libertades del ser humano, motivaron a la Unión Europea a emitir el Reglamento General de Protección de Datos (RGPD) vigente desde el año 2016 y de obligatorio cumplimiento desde mayo de 2018. Este Reglamento introduce conceptos y derechos para la protección de datos personales que incluso se extienden por fuera del territorio europeo, una de las principales características de esta clase de normativas; siendo el ser humano, titular de los datos personales, el eje central de la norma. Desde entonces, existe una marcada tendencia mundial a reconocer y proteger los derechos de los titulares de datos personales alrededor del mundo con estándares similares a los propuestos por el régimen comunitario europeo.
Ecuador, uno de los pocos países sin una ley especializada sobre protección de datos personales en América Latina,[1] luego de un periodo considerable de tiempo entre la presentación del proyecto de ley, su tramitación y posterior aprobación (20 meses aproximadamente), el 26 de mayo de 2021 publicó la Ley Orgánica de Protección de Datos Personales (LOPDP) en el Registro Oficial No. 459, vigente a partir de dicha fecha, con la salvedad de que lo relacionado al régimen sancionatorio y correctivo entrará en vigor luego de dos (2) años contados a partir de su publicación. Este plazo deberá utilizarse para que los sujetos obligados bajo esta Ley adapten sus prácticas a los principios establecidos en la norma y permitan el adecuado ejercicio de los derechos de los titulares de datos personales.
La LOPDP tiene por objeto garantizar el ejercicio del derecho a la protección de datos personales, entendiéndose por dato personal, aquella información (datos) que identifica o hace identificable a una persona natural (titular del dato personal) en forma directa o indirecta, independiente del tipo de soporte que lo contenga (físico o digital).[2] Esta definición es de suma importancia porque delimita los derechos y obligaciones bajo la Ley a única y exclusivamente datos de tipo personal. Cualquier otro, como por ejemplo, aquellos datos relacionados con una persona jurídica, sus estados financieros, el know-how de la empresa, los correos electrónicos institucionales, entre otros; no son susceptibles de protección bajo la LOPDP, lo que no obsta para que cierta información empresarial pueda ser protegida a través de otro tipo de regulación vigente.
Siguiendo los pasos del RGPD, los conceptos, principios y derechos determinados en la LOPDP nuevamente toman como eje central al titular de los datos personales, regulando la relación entre éste y los demás actores que intervienen en el proceso de tratamiento de sus datos personales,[3] con aplicación extraterritorial y elevadas multas en caso de incumplimiento. Esto implica que los datos personales de residentes del Ecuador, se protegen a través de esta norma aún en casos en que el tratamiento de sus datos se realice fuera del país, siempre que el tratamiento se relacione con la oferta de productos y servicios en el Ecuador; y por tanto, el régimen sancionatorio de la LOPDP aplica a quienes incumplan la normativa ecuatoriana, con independencia del lugar en el cual se hubiese realizado el incumplimiento.
Es fundamental entonces, conocer el objeto y alcance de aplicación de la LOPDP, a fin de prepararse de la manera más adecuada para demostrar el cumplimiento de la norma y asegurar el ejercicio de derechos a los titulares de los datos personales, evitando sanciones y multas a futuro.
Si bien la LOPDP sugiere aplicar medidas técnicas, organizativas y jurídicas que aseguren el respeto a los derechos de los titulares de datos personales y su adecuado tratamiento, es importante identificar en primera instancia, el impacto que tiene la ley sobre el negocio y en función de las actividades propias del mismo, determinar una hoja de ruta para su cumplimento; en otras palabras, reconocer cuáles serían las medidas técnicas, organizativas, jurídicas y de cualquier otra índole que permitirán demostrar el cumplimiento de la norma para el caso específico de tratamiento de datos personales analizado. Implementar soluciones universales sin un análisis individual, pone en riesgo al negocio volviéndolo vulnerable a posibles sanciones e incluso su desaparición.
Conforme crece la necesidad de los Estados en regular el tratamiento de datos personales y la privacidad, la población en general también va creando conciencia y prestando mayor atención a la información que divulga, las políticas de privacidad de quienes reciben su información y las actividades o tratamiento que le darán a la misma. Es así que la protección de datos personales se ha convertido en un nuevo estándar de calidad con impacto directo en la reputación y valor de un negocio, indispensable para su supervivencia.
[1] Nota: El Ecuador mantenía dispersas una serie de normas relacionadas con la protección de datos personales, incluyendo su reconocimiento como derecho constitucional, en la Constitución de la República del año 2008.
[2] Artículo 4, Ley Orgánica de Protección de Datos Personales, 2021.
[3] Definiciones Art. 4, LOPDP:
Responsable del tratamiento de datos personales: Persona natural o jurídica, pública o privada, que decide sobre la finalidad y propósito del tratamiento de datos personales.
Encargado del tratamiento de datos personales: Persona natural o jurídica, pública o privada, que trata los datos personales por cuenta y nombre de un responsable de tratamiento de datos personales.
Destinatario: Persona natural o jurídica que recibe o ha sido comunicada con datos personales.