Autor: Abg. Dario Echeverría Muñoz, Msc – LL.M.

Introducción

La era digital ha traído consigo desafíos significativos en cuanto a la protección de datos personales. Ecuador, reconociendo la importancia de este tema, promulgó la Ley Orgánica de Protección de Datos Personales en el Suplemento del Registro Oficial No. 459 el 26 de mayo de 2021. Esta legislación no solo establece un marco legal para el tratamiento de datos personales, sino que también introduce la figura del Delegado de Protección de Datos (DPD o DPO, por sus siglas en inglés para Data Protection Officer) como un elemento esencial en este nuevo panorama.

En un mundo donde la digitalización avanza a pasos agigantados, la gestión y protección de la información personal se ha convertido en una prioridad para garantizar la privacidad y derechos de los individuos. La implementación de esta ley en Ecuador refleja un esfuerzo concertado para alinear las prácticas nacionales con estándares internacionales, asegurando que tanto entidades públicas como privadas manejen los datos personales con la debida diligencia y responsabilidad. Es un reconocimiento de que, en la era de la información, la privacidad es un bien preciado que debe ser salvaguardado con rigor y seriedad.

Protección de datos, un derecho fundamental

La protección de datos personales trasciende la categoría de un simple derecho autónomo; se entrelaza profundamente con derechos fundamentales como la privacidad y la dignidad humana. La Constitución ecuatoriana, en su artículo 66, numeral 19 prescribe:

Artículo 66: Se reconoce y garantizará a las personas:

19. El derecho a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos o información requerirán la autorización del titular o el mandato de la ley.

Adicionalmente, la Carta Suprema también resalta derechos estrechamente relacionados con la protección de datos, como el derecho a la inviolabilidad de la vida privada, del domicilio y de las comunicaciones:

21. El derecho a la intimidad personal y familiar.
22. El derecho a la inviolabilidad y al secreto de la correspondencia física y virtual; ésta no podrá ser retenida, abierta ni examinada, excepto en los casos previstos en la ley, previa intervención judicial y con la obligación de guardar el secreto de los asuntos ajenos al hecho que motive su examen. Este derecho protege cualquier otro tipo o forma de comunicación.

En una era donde la información es esencial, garantizar su integridad y confidencialidad es crucial para salvaguardar la autonomía y libertad individual. Estas garantías, junto con la protección de datos personales, configuran la tutela efectiva frente a posibles vulneraciones en el ámbito digital.

La Declaración Universal de Derechos Humanos, en su artículo 12 señala:

Artículo 12: Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques.

Este derecho es fundamental porque puede influir en decisiones que afectan la vida diaria, como la aprobación de créditos o el acceso a servicios médicos. A nivel global, al estar vinculado con otros derechos humanos, la protección de datos personales está debidamente resguardada.

En un mundo digitalizado, se generan y comparten datos constantemente. Cada acción deja una huella digital que, si no se maneja adecuadamente, puede resultar en violaciones de privacidad o manipulación. Las leyes que protegen los datos personales establecen barreras contra su uso indebido, asegurando que las personas controlen y confíen en la seguridad de su información.

Desde 2021, en Ecuador, rige la Ley Orgánica de Protección de Datos Personales cuyo artículo 1 prescribe:

Art. 1.- Objeto y finalidad.- El objeto y finalidad de la presente Ley es garantizar el ejercicio del derecho a la protección de datos personales, que incluye el acceso y decisión sobre información y datos de este carácter, así como su correspondiente protección. Para dicho efecto regula, prevé y desarrolla principios, derechos, obligaciones y mecanismos de tutela.

A través de esta normativa, se busca asegurar que cada ciudadano tenga control y decisión sobre su información personal, estableciendo al mismo tiempo principios, derechos, obligaciones y mecanismos de tutela que refuerzan la seguridad y privacidad de los datos en el país.

El DPO: origen y relevancia internacional

La figura del DPO tiene sus orígenes en la Directiva del Parlamento Europeo y del Consejo de 1995, que abordó la protección de las personas físicas en relación con el tratamiento de datos personales y su libre circulación. Sin embargo, la Directiva no estableció una obligatoriedad para su implantación, dejando a discreción de los Estados miembros su incorporación en la legislación interna.

Con el paso de los años, y gracias a una enmienda propuesta por el Parlamento Europeo, el papel del DPO anteriormente denominado «encargado de la protección de datos», se consolidó en la Directiva comunitaria, permitiendo que, bajo ciertas circunstancias, se pudieran evitar notificaciones a la Autoridad de Control si se designaba a este encargado.

A pesar de la mención y reconocimiento en la Directiva de 1995, existían asimetrías en su aplicación entre los Estados miembros. Esta situación cambió con la aprobación del Reglamento General de Protección de Datos (RGPD) en 2016, que derogó la Directiva de 1995, fortaleciendo y definiendo con precisión el papel del DPO, estableciendo un marco coherente para su aplicación en todo el Espacio Económico Europeo.

El RGPD fue promulgado por la Unión Europea con el objetivo principal de armonizar las leyes de protección de datos en todos los Estados miembros y proteger la privacidad de sus ciudadanos, su art. 5.1.a) establece:

Artículo 5: Principios relativos al tratamiento

1. Los datos personales serán:
2. a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»)

Aunque el RGPD entró en vigor en 2016, su aplicación efectiva comenzó en 2018, brindando a los Estados miembros el tiempo necesario para adaptar sus estructuras y regulaciones, asegurando una implementación coherente y uniforme de esta normativa en toda la Unión Europea, consolidando así la figura del DPO y estableciendo un estándar elevado en la protección de datos personales.

El DPO no solo es una figura administrativa; está intrínsecamente ligado al principio de responsabilidad proactiva que implica no solo adherirse a la normativa, sino también demostrar que se han adoptado todas las medidas necesarias para garantizar su cumplimiento. Entre estas medidas se encuentran el análisis de riesgos, el registro de actividades de tratamiento y la notificación de violaciones de seguridad, por mencionar algunas.

Esta función es crucial para garantizar la protección de los datos, de acuerdo con lo prescrito en el Art. 37 del RGPD:

Artículo 37: Designación del delegado de protección de datos

1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

1. a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

10. b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
11. c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

A nivel global, la relevancia del DPO ha trascendido las fronteras europeas. Diversas jurisdicciones alrededor del mundo han reconocido la necesidad de esta figura y han adaptado sus legislaciones para incorporarla, siendo un testimonio de su importancia en la era digital, que refleja un compromiso internacional para garantizar la protección y el tratamiento adecuado de los datos personales en un mundo interconectado.

Basándose en este estándar europeo, Ecuador incorporó recientemente la figura del DPO en su legislación, evidenciando así la influencia y el alcance global del RGPD en la formulación de políticas de protección de datos.

Designación, rol y funciones del DPO en Ecuador

La Ley Orgánica de Protección de Datos Personales del Ecuador establece con claridad los contextos en los que es mandatorio designar un DPO, subrayando la necesidad de una supervisión especializada en contextos que involucran grandes volúmenes de datos y actividades de los sectores público y privado. No obstante, independientemente de su naturaleza o tamaño, las entidades se ven fortalecidas por su presencia y orientación, siendo una figura que trasciende el rol de mero supervisor, convirtiéndose en un nexo vital entre las organizaciones y la autoridad de protección de datos personales, asegurando una alineación coherente con las disposiciones legales.

Por otro lado, el ámbito de aplicación material de la ley es extenso, abarcando casi todos los aspectos relacionados con datos personales. Sin embargo, hay excepciones específicas, como las actividades familiares o domésticas y cierta información de servidores públicos. Estas excepciones buscan un equilibrio entre la protección de la privacidad y la transparencia y acceso a la información en determinados contextos. Es crucial que las organizaciones estén plenamente informadas de estas particularidades para manejar adecuadamente la información personal.

En el marco de la Ley Orgánica de Protección de Datos Personales en Ecuador, la figura del DPO adquiere una relevancia significativa. Su rol es esencial para garantizar que las organizaciones, manejen adecuadamente la información personal de los ciudadanos.

A continuación, se detallan sus principales funciones y responsabilidades que la ley le asigna:

Funciones del DPO

• Asesoramiento: Brindar orientación al responsable, su personal y al encargado del tratamiento de datos sobre las disposiciones de la Ley, el reglamento y otras regulaciones emitidas por la Autoridad de Protección de Datos Personales.
• Supervisión: Monitorear el acatamiento de las disposiciones legales y directrices relacionadas con la protección de datos.
• Evaluación: Proporcionar asesoría en análisis de riesgo, evaluación de impacto, medidas de seguridad, y supervisar su correcta implementación.
• Cooperación: Colaborar activamente con la Autoridad de Protección de Datos Personales y servir como punto de contacto para cuestiones relacionadas con el tratamiento de datos personales.
• Otras Funciones: Cumplir con cualquier otra tarea que la Autoridad de Protección de Datos Personales determine, especialmente en relación con categorías especiales de datos personales.

Responsabilidades y Consideraciones Especiales

• Participación: Asegurar que el DPO esté adecuadamente involucrado en todas las cuestiones relacionadas con la protección de datos personales.
• Acceso y Recursos: Proporcionar al DPO acceso a los datos y los recursos necesarios para desempeñar sus funciones de manera efectiva.
• Capacitación: Facilitar la formación y actualización continua del DPO en materia de protección de datos, conforme a las directrices de la Autoridad de Protección de Datos Personales.
• Protección Laboral: Garantizar que el DPO no sea destituido o sancionado por ejercer adecuadamente sus funciones.
• Relación Directa: El DPO debe mantener una relación directa con el nivel ejecutivo más alto del responsable y con el encargado del tratamiento de datos.
• Contacto con Titulares: Permitir que los titulares de datos personales se comuniquen con el DPO para ejercer sus derechos.
• Confidencialidad: El DPO debe mantener la confidencialidad en el desempeño de sus funciones, y puede desempeñar otras tareas asignadas por el responsable o encargado, siempre que no haya conflicto con sus responsabilidades principales.

La designación y el rol del DPO reflejan el compromiso del Ecuador con la protección de datos personales, alineándose con estándares internacionales y garantizando que las organizaciones traten los datos personales con el cuidado y la seriedad que merecen.

Nivel jerárquico, perfil y competencias del DPO en Ecuador

El papel del DPO en una organización es esencial para garantizar la adhesión a las normativas de protección de datos. La Ley Orgánica de Protección de Datos Personales de Ecuador, aunque no especifica que este deba formar parte de la alta dirección, sí enfatiza la necesidad de que mantenga una relación directa con el nivel ejecutivo jerárquicamente superior. Esta posición estratégica no solo le permite influir en decisiones relacionadas con la gestión de datos, sino también mantener informados a los líderes organizacionales sobre el estado de cumplimiento y posibles riesgos en materia de protección de datos.

El DPO debe ser un profesional con un conocimiento profundo de las leyes y normativas de protección de datos, incluyendo la Ley Orgánica de Protección de Datos Personales de Ecuador y de tener un campo de aplicación extraterritorial, se hace fundamental que conozca las regulaciones de otros países como el RGPD de la Unión Europea. Este conocimiento legal es primordial para garantizar que la organización cumpla con todas las regulaciones pertinentes y evitar posibles sanciones.

Además de su base legal, es esencial que el DPO posea una comprensión sólida de la estructura, cultura y procesos de la organización, familiarizarse con las tecnologías utilizadas, medidas de seguridad de la información implementadas y cómo estas recopilan, almacenan y utilizan los datos dentro de la entidad. Este conocimiento técnico y organizacional le permitirá identificar posibles vulnerabilidades para recomendar mejoras y así fortalecer la seguridad de los datos.

El DPO también debe ser un promotor activo de una cultura de protección de datos dentro de la organización. Esto implica educar y capacitar a los empleados sobre su importancia, asegurándose de que comprendan y cumplan con las políticas y procedimientos establecidos. Su habilidad comunicativa es esencial, ya que debe interactuar con diversas partes interesadas, tanto internas como externas, para abordar inquietudes o preguntas relacionadas con la protección de datos.

Aunque no se requiere una titulación específica en Derecho o en Informática para ser DPO, sí es esencial que el profesional cuente con conocimientos especializados en protección de datos. Además, es recomendable, pero no obligatorio que sea un especialista en gestión de procesos y riesgos, dispuesto a adaptarse y actualizarse ante un panorama tecnológico en constante evolución.

Las certificaciones como ISO 27001 y 27002, aunque no son mandatorias, pueden enriquecer significativamente su perfil. Estas certificaciones son reconocidas internacionalmente y demuestran un alto nivel de competencia en la gestión de la seguridad de la información. Su disposición para obtener y mantener estas certificaciones refleja un compromiso con la excelencia y la mejora continua en el ámbito de la protección de datos.

La autoridad de protección de datos personales en Ecuador

La Ley Orgánica de Protección de Datos Personales en Ecuador proporciona un marco legal para la protección de datos y subraya la imperiosa necesidad de una entidad supervisora que garantice su adecuada implementación. Esta entidad, prevista en la Constitución de la República, se concreta en la figura de una Superintendencia, cuyo principal cometido es velar por el respeto y protección de los derechos de los ciudadanos en lo que respecta a sus datos personales.

La Superintendencia se erige como un órgano regulador y fiscalizador. Su labor se centra en supervisar y evaluar las acciones de aquellos encargados de la protección de datos personales, asegurando que las organizaciones se adhieran a las directrices y normativas legales. Además, posee la autoridad para emprender acciones administrativas sancionadoras ante posibles incumplimientos, consolidando así su rol protector de los derechos ciudadanos en materia de datos.

A pesar de la estructura legal y la clara necesidad de una Superintendencia, su designación oficial aún no se ha realizado en Ecuador. Además, la Autoridad de Protección de Datos Personales tiene la prerrogativa de establecer nuevas circunstancias para la designación de un delegado de protección de datos, proporcionando directrices claras al respecto. La consolidación pronta y efectiva de esta entidad es esencial para reforzar la confianza ciudadana en el tratamiento de su información personal.

Conclusiones

La incorporación del DPO en la legislación ecuatoriana representa un avance significativo en la protección de datos personales. Avalado por normativas internacionales, esta figura asegura que las entidades manejen la información personal con la responsabilidad y rigor necesarios en una era dominada por la digitalización, posicionándose como un defensor esencial de los derechos de las personas.

La Ley Orgánica de Protección de Datos Personales en Ecuador manifiesta su compromiso hacia la salvaguarda de la privacidad y dignidad de sus habitantes. Al estar en sintonía con normativas internacionales como el RGPD, esta ley proporciona directrices claras sobre el manejo de datos personales, subrayando su valor en el mundo digital y su conexión con otros derechos esenciales. La proyección de un DPO y la eventual creación de una Superintendencia especializada evidencian la determinación de Ecuador para enfrentar este reto moderno.

Es vital que las instituciones ecuatorianas comprendan la trascendencia de la protección de datos y se alineen con este nuevo escenario. Una pronta instauración de la Superintendencia y una formación rigurosa para los DPOs son determinantes para la aplicación cabal de la ley. En este marco, fomentar la educación y una cultura de resguardo de datos emerge como esencial para garantizar que los derechos de los ciudadanos prevalezcan en todo momento.

Autor: Abg. Dario Echeverría Muñoz, Msc – LL.M

Enlaces: https://www.linkedin.com/in/darioecmunoz/

https://linktr.ee/darioecmunoz

Referencias

Duque Vinueza, G. (13 de abril de 2023). ¿Y la Autoridad de Protección de Datos Personales? Obtenido de DerechoEcuador.com – Revista Judicial del Diario La Hora: https://derechoecuador.com/y-la-autoridad-de-proteccion-de-datos-personales/

Echeverría-Muñoz, D. (26 de julio de 2023). El Delegado de Protección de Datos (DPO): Un Actor Clave en el Cumplimiento de la Normativa de Protección de Datos. Obtenido de LinkedIn : https://www.linkedin.com/pulse/el-delegado-de-protecci%C3%B3n-datos-dpo-un-actor-clave-en-dar%C3%ADo/

Ecuador. (20 de Octubre de 2008). Constitución de la República(No. 449), Suplemento. Quito, Ecuador: Registro Oficial. Obtenido de https://vlex.ec/vid/constitucion-republica-ecuador-631446215

Ecuador. (26 de mayo de 2021). Ley Orgánica de Protección de Datos Personales( No. 459), Suplemento. Quito: Registro Oficial. Obtenido de https://derechoecuador.com/wp-content/uploads/2022/01/LEY-ORGA%CC%81NICA-DE-PROTECCIO%CC%81N-DE-DATOS-PERSONALES.pdf

García Falconí, J. (7 de febrero de 2011). La protección de datos personales. Obtenido de DerechoEcuador.com – Revista Judicial del Diario La Hora: https://derechoecuador.com/la-proteccion-de-datos-personales/

Organización de las Naciones Unidas (ONU). (10 de diciembre de 1948). Declaración Universal de los Derechos Humanos. Obtenido de https://www.un.org/es/about-us/universal-declaration-of-human-rights

Parlamento Europeo y Consejo de la Unión Europea. (27 de abril de 2016). Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos. Obtenido de Unión Europea: https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:32016R0679