Datos Personales

Ecuador: norma general para el tratamiento de datos personales en actividades familiares o domésticas

Esta normativa tiene como objeto regular los procedimientos y requisitos técnicos y jurídicos para garantizar el ejercicio de los derechos de protección de datos en el flujo de información, tanto dentro como fuera del territorio ecuatoriano.

Por Pedro Córdova Balda, María Paula Arellano y Gianpiero Bacigalupo, Robalino

La Superintendencia de Protección de Datos Personales de Ecuador ha aprobado la Norma General de Transferencias o Comunicaciones Nacionales e Internacionales de Datos Personales. Esta normativa tiene como objeto regular los procedimientos y requisitos técnicos y jurídicos para garantizar el ejercicio de los derechos de protección de datos en el flujo de información, tanto dentro como fuera del territorio ecuatoriano.

Nota: esta norma es de cumplimiento obligatorio para responsables del tratamiento, así como para encargados que realicen transferencias a nombre de un responsable.

Conceptos clave

-Transferencia o comunicación nacional. Entrega de datos personales a un tercero dentro del territorio nacional, donde el destinatario asume la calidad de responsable del tratamiento.

-Flujo transfronterizo de datos. Transferencia o comunicación internacional realizada a un destinatario situado en un país distinto al de origen, independientemente del soporte o medio utilizado.

-Garantías adecuadas. Medidas implementadas (como cláusulas contractuales o certificaciones) cuando el país de destino no cuenta con un nivel adecuado de protección reconocido.

Condiciones para la transferencia de datos

Para que una transferencia (nacional o internacional) sea lícita, debe cumplir con:

1. Finalidad. Debe ser lícita, legítima y determinada.

2. Legitimación. Contar con una base legal según la LOPDP.

3. Consentimiento. Debe ser previo, libre, específico, informado e inequívoco, salvo excepciones legales.

4. Seguridad. Implementación de mecanismos seguros, como el cifrado, para preservar la integridad y confidencialidad.

Mecanismos para Transferencias Internacionales

-Declaratoria de Nivel Adecuado. La Superintendencia puede declarar que un país u organismo ofrece un nivel de protección equivalente al ecuatoriano. Estas resoluciones tienen una vigencia máxima de 4 años y revisión anual.

-Garantías Adecuadas: Cláusulas Contractuales Tipo. La SPDP reconoce como propias las cláusulas modelo de la Red Iberoamericana de Protección de Datos (RIPD).

-Garantías Adecuadas: Normas Corporativas Vinculantes. Para transferencias dentro de un mismo grupo empresarial.

-Garantías Adecuada: Códigos de Conducta y Certificaciones. Instrumentos que acreditan el cumplimiento de estándares de protección.

Obligaciones del Responsable y Destinatario

-Documentación. Se debe mantener por al menos 3 años la documentación que acredite la legalidad de la transferencia (contratos, evaluaciones de impacto, etc.).

-Notificación de derechos. Si un titular ejerce derechos de rectificación o supresión, el responsable debe notificar al destinatario para que este también los aplique.

-Responsabilidad del destinatario. El receptor de los datos debe respetar las finalidades originales y abstenerse de realizar transferencias ulteriores sin legitimación.

Disposiciones Transitorias (Regularización)

Las organizaciones que realizaban transferencias antes de esta norma tienen 12 meses para regularizarlas mediante la notificación a la SPDP y la presentación de un plan de adecuación.

Importante: el incumplimiento de los procesos de regularización o la realización de transferencias sin las garantías debidas estará sujeto a las sanciones previstas en la Ley.

Los archivos