Site Search Site Search

Loading Results

Retos empresariales para garantizar derechos en materia de protección de datos personales

En un entorno mundial de constante evolución digital la protección de datos personales y seguridad de la información ha cobrado especial importancia.

En Ecuador, el 26 de mayo de 2021 entró en vigor la Ley Orgánica de Protección de Datos Personales que norma el tratamiento de datos personales realizado por empresas a fin de garantizar el derecho constitucional de protección de datos.

Los encargados y responsables del tratamiento de datos deben implementar procedimientos y herramientas administrativas, técnicas, físicas, organizativas y jurídicas para dar cumplimiento a todos los requerimientos y obligaciones.

¿Quiénes deben implementar procesos de protección de datos personales?

La Ley Orgánica de Protección de Datos Personales es aplicable a todas las personas naturales o jurídicas que realicen tratamiento de datos personales,  contenidos en cualquier tipo de soporte digital o físico.

¿Qué es un dato personal? ¿Cómo se recopila? ¿Debe cumplir alguna finalidad?

Un dato personal es toda información que pueda identificar a una persona natural, directa o indirectamente, o que la hace identificable a través de cualquier medio. Las compañías públicas o privadas podrán recopilar distintos datos personales por medios físicos o a través de canales digitales, tales como: redes sociales, correos electrónicos, páginas web, entre otros. La recopilación de los datos personales debe cumplir una finalidad específica y se requerirá aquellos datos que resulten imprescindibles para el cumplimiento del propósito para el cual el titular de los datos haya brindado su consentimiento previo, expreso, libre e informado.

¿Qué es el consentimiento en materia de protección de datos?

La Ley Orgánica de Protección de Datos Personales, de forma taxativa señala que el consentimiento es “la manifestación de la voluntad libre, específica, informada e inequívoca”, por el que los titulares autorizan el tratamiento de los datos. Por lo que, el consentimiento en materia de protección de datos se traduce en una acción que ejecuta el titular para permitir a las organizaciones el tratamiento de los  datos personales con una finalidad específica.

En particular, la normativa establece una serie de condiciones para poder considerarlo como legítimo:

  • Libre: El consentimiento emitido para el tratamiento de datos no puede haber estado atado o condicionado.
  • Específico: El titular debe estar previamente informado de la finalidad del dato para la cual está consintiendo su tratamiento. Lo anterior, pretende que cuando el tratamiento tenga varias finalidades, se recabe el consentimiento para cada una de ellas.
  • Informado: Esto implica que el titular debe saber toda la información relativa al tratamiento de sus datos personales, como: el objetivo para el que se requiere recabar el consentimiento, el plazo de conservación de la información, como se van a tratar los datos, sus derechos como titular de los datos, si estos serán sujetos a transferencias internacionales, entre otros.
  • Inequívoco: No debe existir ambigüedad sobre el motivo para el cual el titular da su consentimiento para el tratamiento de sus datos.

Todas las compañías que se encarguen del manejo de datos personales deberán verificar que el consentimiento emitido cumpla con estos requisitos y por tanto se entienda como válido.

Además, es importante mencionar que los titulares tienen la potestad de revocar su consentimiento en cualquier momento para lo cual se deberá habilitar los canales adecuados que garanticen el ejercicio de este derecho.

¿Qué derechos tiene los titulares de datos personales?

La normativa confiere una mayor autodeterminación y control a los titulares sobre sus datos personales, por lo cual, los titulares pueden ejercer dependiendo de su voluntad en cualquier momento, los siguientes derechos:

  • Información: Se refiere a la información que se debe entregar al titular respecto de la finalidad para la cual sus datos personales están siendo tratados.
  • Acceso: Es el derecho a conocer y a obtener gratuitamente a acceso a todos los datos personales que le pertenezcan al titular.
  • Rectificación: En caso de datos personales inexactos o incompletos, el titular tiene derecho a que la compañía que trata sus datos los actualice.
  • Eliminación: El usuario podrá solicitar la supresión de sus datos personales de las bases de datos cuando ya no sean necesarios o pertinentes para la finalidad para los que fueren recopilados.

¿Las organizaciones deberán implementar canales para el ejercicio de estos derechos por parte de los titulares?

Sí, todas aquellas compañías que se recaben datos personales deberán implementar mecanismos idóneos para el ejercicio de derechos por parte de sus titulares. Las solicitudes que puedan interponerse deberán ser analizadas caso por caso y atendidas respetando el plazo de quince días establecido en la legislación.

¿Qué sanciones pueden ser aplicadas en caso de que las compañías no cuenten con procesos de protección de datos personales?

La Superintendencia de Protección de Datos es la autoridad competente para imponer sanciones por incumplimientos en esta materia. El regulador por la transgresión de derechos dictará:

  • Medidas de carácter administrativo: Son medidas correctivas como el cese del tratamiento, la eliminación de los datos o la limitación temporal para el procesamiento de datos personales. 
  • Sanción económica: Multas de hasta el 1% de la facturación anual por las infracciones cometidas de acuerdo con la gradación de estas y el volumen del negocio correspondiente al ejercicio inmediatamente anterior al de la imposición de la multa.

Sin perjuicio de lo anterior, es fundamental señalar que la vulneración de estos derechos podrían dar lugar a acciones civiles de daños y perjuicios; además, existe también responsabilidad penal para aquellas personas que, sin contar con el consentimiento o autorización legal accedan, difundan o publiquen datos personales, pudiendo ser sancionadas con una pena privativa de la libertad de uno a tres años.

¿Cuáles son los beneficios de implementar un programa de protección de datos personales?

Actualmente los datos personales representan un activo para las compañías que utilizando inteligencia aplicada pueden recabar, analizar y extraer datos, lo que permite a las compañías tomar decisiones más acertadas traduciéndose en una mayor eficiencia y beneficio para la compañía.

El manejo adecuado de datos personales generará una buena reputación corporativa, traduciéndose en confianza que los stakeholders depositan en compañías que apuestan por un modelo empresarial que salvaguarda sus derechos fundamentales ocasionando un aumento en la competitividad en el mercado.

Conclusión

La adaptación a las nuevas exigencias legales en materia de protección de datos implica actualización de sistemas y sobre todo los métodos de gestión empresarial que permitan a las compañías enfrentar la nueva realidad legislativa del país.

Por lo tanto, la protección de datos representa un esfuerzo transversal en toda organización que conlleva a tomar medidas administrativas, organizacionales, legales, técnicas y físicas con el objetivo de garantizar los derechos de los titulares de los datos y cumplir con obligaciones determinadas en la base normativa.

La protección de datos representa un esfuerzo transversal en toda organización que conlleva a tomar medidas administrativas, organizacionales, legales, técnicas y físicas.

Andrea Estrella, Senior Associate de Consultoría Legal de PwC Ecuador
Contáctenos Sitios internacionales de PwC

© 2016 - 2025 PwC. All rights reserved. PwC refers to the PwC network and/or one or more of its member firms, each of which is a separate legal entity. Please see www.pwc.com/structure for further details.