Cuatro ajustes básicos tendrán que hacer las instituciones públicas y privadas para adaptar sus procesos a la Ley de Protección de Datos Personales
BOLETÍN OFICIAL 266
01 de junio de 2021
Quito, Ecuador.- El coordinador de Gestión, Seguimiento de la Dirección Nacional de Registro de Datos Públicos (Dinardap), Christian Espinosa, mantuvo un diálogo con Melissa Rodríguez, representante de digitalawyer.ec. Ambos profesionales se refirieron a aquellos ajustes que deberán hacer las entidades privadas y públicas ante la implementación de la Ley de Protección de Datos Personales, en el Ecuador.
¿Cómo cumplir con la nueva Ley de Protección de Datos Personales?, apropósito de ello, el funcionario señaló que este tema debió haberse conversado hace década, como en Europa, donde fue discutido hace más de 20 años. En Ecuador, la nueva norma ha hecho que nos convirtamos “en un Ferrari: pasamos de cero a 100”.
Con esta analogía el funcionario explica que país pasó de no tener Ley a tener una que contempla los estándares más altos y complejos, puesto que tiene elementos del Reglamento Europeo de Protección de Datos Personales.
Pese a esta complejidad, la norma es la más útil para el ecosistema digital ecuatoriano, no solo porque se empieza a construir este entorno digital desde la visión del derecho de las personas, sino que le da la oportunidad al sector empresarial a trabajar con datos de calidad, algo que les permitirá tomar decisiones oportunas y acertadas en su actividad comercial y que además le brinda un importante espacio a la innovación, puntualizó el Coordinador.
De acuerdo con Espinosa, el primer ajuste que las empresas deben considerar es el tipo de tratamiento del dato. “Lo que las empresas van a encontrar en la Ley de protección de Datos Personales son las diferentes exigencias en función al tipo de tratamiento de datos que procesan”. No es lo mismo el nivel de tratamiento de datos de una empresa o compañía grande que de unas pymes, explicó.
“(…) si tu tratamiento es más pequeño, las medidas serán menores, pero a medida que vaya creciendo el tratamiento de datos, las medidas que vayan a implementar las empresas serán de mayor eficacia y de mayor esfuerzo”, indicó.
Cabe señalar, que esto se da en función del análisis de riesgos que plantea este tipo de normativas y además se debe pensar que, al ser una normativa no prohibitiva, las Pymes harán lo que esté dentro del alcance de su capacidad.
El segundo ajuste que las empresas privadas y entidades públicas deberán considerar en sus procesos internos tiene que ver con el Consentimiento. Este implica, que se entienda cómo funciona. “En Europa, cuando entró en vigencia el Reglamento de Protección de Datos Personales, la ciudadanía empezó a recibir correos masivos de las empresas administradoras de datos. Estas le solicitaban su consentimiento para hacer tratamiento de los datos que ya estaban almacenados y que eran usados en servicios contratados/brindados, además de otros que fueron entregados para otros servicios que no fueron utilizados”.
La referencia explica cómo funcionará el principio de consentimiento en el país, además que este consentimiento tiene que hacerse previamente al tratamiento del dato, señaló Christian Espinosa, quien manifestó que este es uno de los elementos fundamentales en el tratamiento de los datos, para lo cual se deben cumplir algunos lineamientos, entre ellos, que el ciudadano sea informado sobre qué tipo de dato se va a tratar, para qué y por cuánto tiempo.
El tercer ajuste planteado en el diálogo refiere al tiempo de adaptación de los procesos internos a la nueva Ley de Protección de Datos Personales.
Al respecto el funcionario de la Dinardap explicó que antes de la entrada en vigencia del régimen sancionatorio, las empresas tendrán dos años para adecuar los procesos e identificar los flujos de datos. En función de esto, la empresa empezará a diseñar la captación de base de legitimación, las medidas de seguridad y el trato con la persona que hace el tratamiento.
Dentro de este proceso, acotó que el campo de la protección de datos personales es un área bastante especializada, por lo que se debe trabajar por alguien que tenga el conocimiento y la experticia tanto en Informática como en Derecho.
Esto porque cada tratamiento de datos debe ser analizado de acuerdo con la naturaleza de la empresa o entidad pública, pues como se mencionó en un principio no es lo mismo el tratamiento de datos en una Pymes que de una empresa grande.
En este escenario, manifestó que siempre hay que entender que una empresa grande va a tener ciertas necesidades de perfiles profesionales especializados como es un delegado de protección de datos personales, quien podría ser parte de una contratación interna como externa.
Al respecto, el Coordinador manifestó que la Ley de Protección de Datos Personales impulsa, además, el desarrollo de otras profesiones más especializadas lo que genera un espacio más amplio de la cultura del entorno digital.
Finalmente, el cuarto ajuste tiene que ver con autoridad de control. Esto señaló el funcionario es uno de los temas más complejos que tiene la ley, pues, aunque la Ley no establece un tiempo exacto de constitución, este no puede pasarse del tiempo de adaptación que tienen las empresas para adaptarse a la nueva normativa.
El planteamiento de que esta sea Superintendencia de Protección de Datos Personales es porque está debe tener la capacidad de controlar y supervisar a los privados y públicos, al tiempo que tendrá a su cargo la responsabilidad de desarrollar e impulsar una cultura de protección de datos y de economía de datos. /DCS