Autora: Dra. Vanessa Velasquez B.
La Ley de Protección de Datos entró en vigencia desde su publicación el 26 de mayo de 2021 en el Registro Oficial 459, tiene tres objetivos principales: garantizar el ejercicio al acceso, la decisión de uso y la protección de los datos.
Sin embargo la disposición transitoria segunda de dicha ley ordenó que se tomen las medidas legales y tecnológicas para la protección de los datos personales dos años posteriores a su publicación esto es el 26 de mayo de 2023, es decir hoy todos aquellos que tengan acceso a datos personales de titulares deben estar listos para protegerlos legalmente y tecnológicamente entendiendo varias directrices que la ley prevé, ahora bien en lo que a mi materia refiere, la laboral, vamos a hacer un análisis y recomendaciones que ahora todas las compañías, emprendedores, personas naturales que tengan acceso a datos personales deberán cumplir.
En primer lugar, debemos aprender a identificar quienes son los actores de la ley de protección de datos.
1) Titular;
2) Responsable del tratamiento;
3) Encargado del tratamiento;
4) Destinatario;
5) Autoridad de Protección de Datos Personales; y,
6) Delegado de protección de datos personales.
Titular
Persona natural cuyos datos son objeto de tratamiento.
Responsable de tratamiento de datos personales
Persona natural o jurídica, pública o privada, autoridad pública, u otro organismo, que solo o conjuntamente con otros decide sobre la finalidad y el tratamiento de datos personales (Compañía/empleador)
Encargado del tratamiento de datos personales
Persona natural o jurídica, pública o privada, autoridad pública, u otro organismo que solo o conjuntamente con otros trate datos personales a nombre y por cuenta de un responsable de tratamiento de datos personales
Destinatario
Persona natural o jurídica que ha sido comunicada con datos personales.
Autoridad de Protección de Datos Personales
Superintendente de Protección de Datos
Delegado de protección de datos
Persona natural encargada de informar al responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la Autoridad de Protección de Datos Personales.
Ahora bien, dos definiciones importantes que después de conocer los actores de la ley deberán tener claro los responsables, encargados, destinatarios y delegados, para dar correcto tratamiento a los datos que lleguen a su conocimiento:
Anonimizar
Aplicación de medidas que impiden la identificación o reidentificación de una persona natural.
Seudonimización
Tratamiento de datos personales de manera tal que ya no puedan atribuirse a un titular sin utilizar información adicional, siempre que dicha información adicional, figure por separado.
Y no podrán los actores de esta ley dar correcto tratamiento sino conocen la diversidad de datos que existen por lo que creo importante establecer los tipos de datos que la ley señala existen:
Categorías especiales de datos personales
- a) Datos sensibles;
- b) Datos de niñas, niños y adolescentes:
c) Datos de salud; y,
d) Datos de personas con discapacidad y de sus sustitutos, relativos a la discapacidad.
Datos sensibles
Etnia, identidad de género, cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos y libertades fundamentales
Ahora si vamos a entrar en materia, la Ley de Protección de datos permite que el Ecuador avance hacia una nueva era a la par de la Unión Europea que de darse cumplimiento real a esta nueva normativa genere fiabilidad en el actuar del país y competitividad.
En ámbito laboral no basta con hacer pequeños cambios en la estructura de Recursos Humanos y organizacional sino es fundamental la implementación de una política de protección de datos, un protocolo de que hacer y cómo actuar en el uso de los datos y que medidas se toman para protegerlos y el procedimiento en el evento de una vulnerabilidad.
Empezamos por la fase pre contractual, recuerde que cuando realizamos una entrevista para cubrir una vacante, el aspirante ya nos otorga acceso a sus datos personales, prepárese para que él le otorgue el consentimiento el que debe cumplir con los siguientes requisitos:
Consentimiento
Se podrán tratar y comunicar datos personales cuando se cuente con la manifestación de la voluntad del titular para hacerlo,
La manifestación de voluntad debe ser:
- Libre,
- Especifica: se deberá determinar los medios y fines del tratamiento,
En caso del tratamiento de datos para una pluralidad de finalidades, será necesario que se otorgue consentimiento expreso para cada una, - Informado
- Inequívoco
Y porque resulta fundamental entender cómo debe estar redactado y aceptado el consentimiento porque es el punto de arranque respecto de lo que como titular de los datos autorizo sean accedidos, usados y protegidos, por tanto, lea bien atienda lo que dicen los términos y condiciones de tal forma que más tarde no tengo que contestar reclamos administrativos o atender sanciones y multas económicas que prevé la ley.
Continuamos haciendo el ejemplo de una contratación nueva en nuestra empresa hemos superado la fase pre contractual y el candidato es elegible, ahora empieza la relación laboral ahí debemos prestar atención nuevamente a la ley de protección de datos pues tendremos que contar con un nuevo consentimiento de uso de datos pues tenemos que tomar en cuenta que existe el denominado tiempo de conservación el mismo que opera de esta forma:
Conservación
Los datos personales serán conservados durante un tiempo no mayor al necesario para cumplir con la finalidad de su tratamiento
Derecho de oposición
El titular tiene el derecho a oponerse o negarse al tratamiento de sus datos personales
Derecho de eliminación
El titular tiene derecho a que el responsable del tratamiento suprima sus datos personales, cuando:
El tratamiento no sea necesario o pertinente para el cumplimiento de la finalidad;
Los datos personales hayan cumplido con la finalidad para la cual fueron recogidos o tratados;
Haya vencido el plazo de conservación de los datos personales; Revoque el consentimiento prestado o señale no haberlo otorgado para uno o varios fines específicos, sin necesidad de que medie justificación alguna; o,
Consideración que debe anotarse con especial precisión en el ámbito laboral pues si bien requiero contar con los datos de mi trabajador mientras la relación laboral este vigente, seguro los requeriré para posteriores posibles reclamaciones hasta por 3 años y tratándose de información relacionada con el Instituto Ecuatoriano de Seguridad Social sin prescripción así como en materia de Jubilación Patronal por tanto el tiempo de conservación que coloque en su consentimiento es de vital importancia para no generar vulnerabilidades.
El manejo del área de Recursos Humanos respecto de datos personales también deberá observar todas las líneas de supervisión que requieren usarlos, así como los departamentos que están relacionados como el de Seguridad y Salud, Trabajo Social y Médico Ocupacional, por tanto, el consentimiento deberá elaborarse siendo específico como nos exige y manda la ley.
La puesta en marcha de esta ley solo será visibilizada cuando este posesionado el Superintendente de Protección de Datos y se ejecutará el control de cumplimientos, supervisión que puede concluir con multas de hasta el 1% del volumen de su negocio, por tanto, cumpla con la ley prepare su empresa en el uso y protección de datos genere su autorregulación, actualice su normativa laboral, cree códigos de conducta, señale las obligaciones de sus encargados contractualmente y evite ser sancionado.
Dra. Vanessa Velasquez B.