PROTECCION DE DATOS

La Superintendencia de Protección de Datos Personales (SPDP) ha expedido la Resolución N° SPDP-SPD-2025-0028-R. Este reglamento establece el marco de actuación para el Delegado de Protección de Datos Personales (DPO) en Ecuador. El objetivo es asegurar el cumplimiento de la Ley Orgánica de Protección de Datos Personales (LOPDP). A partir de ahora, la designación de un DPO ya no es una opción para muchas organizaciones, sino un requisito obligatorio que debe cumplir con estrictas condiciones de independencia y registro. Conozca los puntos esenciales de esta normativa y evite riesgos legales por incumplimiento. Aspectos claves del reglamento 1. Designación y Registro del Delegado: Designación: El delegado debe ser designado por el responsable o el encargado del tratamiento de datos, ya sea una persona natural, una persona jurídica de derecho privado (a través de su representante legal), o una persona jurídica de derecho público (a través de su máxima autoridad). Contenido del Nombramiento: El nombramiento debe incluir información detallada como la fecha, los datos de la organización, el nombre del delegado, las funciones a cumplir, la aceptación del cargo y documentos que acrediten la personería jurídica del representante legal. Plazo de Registro: Si el nombramiento se formalizó con firmas electrónicas, debe ser inscrito en el portal web de la SPDP en un plazo de 15 días posteriores a la designación. Si se usaron firmas manuscritas, la presentación debe ser presencial. El registro extemporáneo se considerará un incumplimiento de una medida de seguridad jurídica. Acceso Público: La SPDP mantendrá una lista de delegados accesible en su portal web, que contendrá información como el nombre y la dirección del responsable o encargado, y el correo electrónico y la dirección del delegado. Es importante destacar que la inscripción no valida automáticamente la idoneidad del delegado 2. Casos de designación obligatoria Sector Público: Las entidades del sector público están obligadas a designar un delegado de protección de datos, salvo casos excepcionales que la SPDP pueda autorizar mediante resolución motivada. Sector Privado (Casos Especiales): El reglamento especifica que, además de los casos ya previstos en la LOPDP, la designación de un delegado es obligatoria para organizaciones que se dediquen de forma habitual a actividades como: Instituciones educativas de cualquier nivel, especialmente si tratan datos de menores de edad. Entidades financieras, aseguradoras y del sector farmacéutico. Empresas de publicidad, prospección comercial o investigación de mercados que elaboren perfiles de titulares. Actores del sistema de salud (a excepción de profesionales que ejerzan su profesión de manera particular). Empresas de seguridad privada, así como urbanizaciones y conjuntos residenciales que traten datos para control de accesos. Organizaciones deportivas, gremios profesionales, empresas de telecomunicaciones y de videovigilancia. Concesionarias de servicios públicos y alianzas público-privadas. 3. Independencia y funciones del delegado Independencia: Se resalta la necesidad de que el delegado mantenga total independencia e imparcialidad en sus funciones. Se prohíbe que reciba instrucciones sobre el ejercicio de sus funciones o sufra represalias por su actuación. Funciones Adicionales: Además de sus funciones habituales, el delegado deberá asesorar y supervisar sobre el análisis de riesgos, la evaluación de impacto, la atención de solicitudes de titulares de datos, la gestión de vulneraciones de seguridad, el control de la eficacia de las medidas de seguridad y el cumplimiento normativo en general. Prohibiciones: El delegado tiene prohibido ejercer funciones que son exclusivas del responsable del tratamiento, tomar decisiones sobre la finalidad o los medios del tratamiento de datos, o representar a la organización ante la SPDP. Conflictos de Interés: El delegado no puede ejercer, de forma simultánea, cargos como oficial de seguridad de la información u oficial de cumplimiento, para evitar conflictos de interés. Debe declarar cualquier conflicto de interés real, potencial o aparente antes de aceptar el cargo. 4. Garantía de independencia y sanciones Protección del Delegado: El delegado puede denunciar ante la SPDP cualquier situación que menoscabe su independencia o que constituya una represalia. Mecanismos de Control: Los responsables o encargados del tratamiento deben garantizar la independencia del delegado implementando mecanismos de control que evalúen su contacto directo con el más alto nivel ejecutivo, la disponibilidad de recursos y los informes que determinen el nivel de cumplimiento normativo. Sanciones: Si se determina que el responsable o encargado no garantizó la independencia del delegado o lo sancionó injustificadamente, se aplicarán las penalizaciones correspondientes del régimen sancionatorio de la LOPDP Disposiciones transitorias Plazos: Las entidades del sector público que nombraron a personal jerárquico superior como delegados tienen un plazo de dos meses para designar a personas que cumplan con los requisitos. El registro de delegados para el sector privado se podrá realizar de forma física, electrónica o digital desde el 1 de noviembre y hasta el 31 de diciembre de 2025. El incumplimiento de este plazo se considerará una falta de seguridad jurídica. Los requisitos de formación obligatoria para el delegado (Programa Profesionalizante) entrarán en vigencia a partir del 1 de enero de 2029. Para obtener más información y una asesoría completa sobre la implementación de este reglamento en su organización, no dude en contactar a nuestro equipo de especialistas. El presente Acuerdo Ministerial entró en vigencia a partir de su suscripción el 30 de julio o de 2025, sin perjuicio de su publicación en el Registro Oficial. En caso de requerir información adicional, por favor contactarse con el correo electrónico administracion@moncayoberrazueta.com o al WhatsApp número (+593) 0994019505.

Que debes saber sobre el nuevo procedimiento para la atención de consultas ante la Superintendencia de Protección de Datos Personales (en adelante SPDP). El pasado 24 de octubre de 2024 la SPDP aprobó mediante Resolución Nº SPDP-SPDP-2024-0012-R cuya vigencia rige desde la misma fecha la implementación del nuevo reglamento para la atención de consultas tendientes a dar mayor claridad y transparencia en la aplicación de la Ley Orgánica de Protección de Datos Personales (en adelante LOPDP). ¿Quién puede realizar la consulta? El titular de los datos personales. Los responsables y encargados del tratamiento de datos. El/los apoderados especiales debidamente registrados ante la SPDP. El encargado extranjero no domiciliado en el territorio ecuatoriano. El delegado de protección de datos personales. En aplicación del art. 6 del nuevo reglamento, quienes demuestren estar dentro de dicha definición.  ¿Qué aspectos te recomendamos tener en cuenta al realizar tu consulta? Debes proporcionar una dirección de correo electrónico para recibir respuesta. Correo electrónico. Debes incluir una opinión jurídica debidamente fundamentada frente al tema consultado. Opinión jurídica. Debes centrar la consulta en cuestiones relacionadas con disposiciones jurídicas, evitando consultar supuestos fácticos “casos concretos”. Alcance.  ¿Qué plazo tiene la autoridad para atender la consulta? 30 días plazo para dar respuesta, este plazo se extenderá en caso de requerirse al consultante replanteo o acreditación de personería. El consultante tiene 5 días para subsanar el requerimiento de la SPDP. 10 días plazo es el tiempo otorgado a personas jurídicas públicas o privadas para dar respuesta a una solicitud de un criterio jurídico. ¿Las consultas son o no vinculantes? Definitivamente NO son vinculantes aquellos análisis o consultas que emita la SPDP, en este sentido, podemos afirmar lo siguiente: Las consultas constituyen únicamente una opinión referencial sobre las disposiciones jurídicas. Ante la consulta realizada, la SPDP puede ejercer sus funciones de supervisión, control, evaluación y sanción. La consulta no constituye un acto administrativo. La consulta no tiene valor probatorio para quien presenta la consulta en procedimientos judiciales o administrativos. No se podrán aplicar para convalidar programas de tratamientos de datos personales existentes o por iniciarse. ¿Otros asuntos de importancia en el nuevo procedimiento? Las consultas que la SPDP considere prioritarias podrán ser atendidas fuera el orden cronológico en el que hayan sido recibidas. No se atenderán consultas relacionadas con procesos judiciales pendientes o ya resueltos. Aquellas consultas relacionadas con asuntos aun no reguladas específicamente por la SPDP no serán atendidas.

Priorizar la educación y la concientización como formulas para evitar la sanción. Siendo la prevención uno de los pilares fundamentales. Considera que la creación de una intendencia técnica debe estar conformada por tres instancias a cargo de: 1. Registro y Protección de Datos. 2.Planeación y Política. 3.Vigilacia y Sanción. Sugiere que una reforma a la actual norma seria necesaria para modificar que el techo de la infracción leve no sea el piso de la infracción grave. Destaca el principio de proporcionalidad entre la infracción y la sanción. Destacó la relevancia de la existencia de la Asociación Ecuatoriana de Protección de Datos y el apoyo que esta debe recibir. Señaló la importancia de la cooperación internacional. RECUERDA El tratamiento de datos personales debe ser legítimo, lícito y consentido. Esta Ley regula, prevé y desarrolla principios,derechos, obligaciones y mecanismos de tutela. La Autoridad podrá imponer sanciones administrativas, en el caso deverificarse el cometimiento de una infracción leve o grave. Las sanciones pueden ir de 1 a 20 salarios basicos unificados, y multa de entre el 0.1% y el 1% calculada sobre su volumen de negocio correspondiente al ejercicio económico inmediatamente anterior