Desde el pasado 26 de mayo del 2023 entraron en vigencia las sanciones establecidas en la Ley Orgánica De Protección de Datos Personales. La normativa contempla, al menos, nueve derechos, que los ciudadanos deben exigir a las empresas y organizaciones públicas o privadas que los cumplan.
Para entender esta ley, primero, las personas deben estar conscientes de que los datos personales son de su propiedad. Es decir, cada uno es dueño o titular de su información y nadie puede utilizarla sin un consentimiento expreso.
Para Diego Bassante, líder de Asuntos Gubernamentales y Regulatorios de IBM América Latina, actualmente, las personas entregan información personal sin establecer límites. “El problema es que no nos preguntamos dos veces si realmente queremos entregar esos datos o si son necesarios para el propósito original”.
Además, agregó que el principal filtro en la protección de datos debe ser cada persona. Cada uno debe pedir información a las empresas sobre: cuál será el propósito de la recolección de los datos. Es decir, para qué será usada esa información. Así mismo, se debe evaluar cuáles permisos otorgar, especialmente elegir si quiere o no ser contactada, dijo.
Derechos establecidos
- Derecho a la información. Cada persona tiene derecho a ser informado sobre los fines de tratamiento de datos; tiempo de conservación de los mismos; origen de la obtención de los datos; identidad y contacto del responsable de datos personales en una empresa; las consecuencias de la entrega de datos o negativa a ello, entre otros.
- Derecho de acceso. El titular tiene derecho a conocer y a obtener, gratuitamente, todos sus datos personales y a la información detallada. Esto, sin necesidad de presentar justificación alguna.
- Derecho de rectificación y actualización. Las personas tienen derecho a la rectificación y actualización de sus datos personales inexactos o incompletos.
- Derecho de eliminación. Cada persona tiene derecho a que el responsable del tratamiento suprima sus datos personales. Puede solicitarlo cuando no se cumpla con los principios establecidos en la ley; cuando los datos personales hayan cumplido con la finalidad para la cual fueron recogidos, entre otros.
- Derecho de oposición. El titular tiene el derecho a oponerse o negarse al tratamiento de sus datos personales. Esto, mientras no se afecten derechos y libertades fundamentales de terceros.
- Derecho de portabilidad. El titular tiene el derecho a recibir sus datos personales en un formato compatible, actualizado, estructurado, interoperable y de lectura mecánica, preservando sus características; para transmitirlos a otros responsables.
- Derecho a la suspensión del tratamiento. El titular tiene derecho a obtener la suspensión del tratamiento de sus datos. Esto, cuando el responsable ya no necesite los datos para los fines que fueron otorgados o cuando el tratamiento sea ilícito.
- Derecho a no ser objeto de una decisión basada únicamente en valoraciones automatizadas. Este derecho incluye la elaboración de perfiles, que produzcan efectos jurídicos en él o que atenten contra sus derechos y libertades fundamentales, entre otros.
- Derecho de consulta. Las personas tienen derecho a la consulta pública y gratuita ante el Registro Nacional de Protección de Datos Personales.
Ente de control de datos personales
Esta Ley establece la creación de la Superintendencia de Protección de Datos y la designación de una autoridad de control para que se garantice el correcto ejercicio de los derechos de datos personales. Así como la elaboración de un Reglamento de la normativa.
Sin embargo, hasta ahora esto no ha sucedido. Las personas que vean algunos de sus derechos vulnerados pueden denunciarlo ante la misma empresa para que quede registrada la infracción y, posteriormete, cuando esté designada la autoridad de control reciba en proceso adecuado, señaló Lorena Naranjo, directora de la Maestría en Derecho Digital e Innovación de la UDLA.
¿Qué deben hacer las empresas?
Recuerde que esta normativa fue publicada en el Registro Oficial en mayo del 2021. Las empresas y organizaciones privadas y públicas tuvieron dos años para actualizar sus procesos para cumplir con lo que esta establece. Sin embargo, muchas no lo han hecho hasta ahora.
Por ello, PWC Ecuador recomienda a las empresas u organizaciones que se asesoren y comiencen a activar una estrategia de protección de datos lo antes posible.
Entre los principales aspectos que las empresas deben tomar en cuenta son:
- Definir un responsable. Que puede ser el delegado de protección de datos personales y que se haga cargo del proceso de implementación del mismo.
- Estructurar un esquema documental. Este debe incluir elaboración de avisos de privacidad que sean publicados en los diferentes canales de la empresa u organización. Además, la elaboración de políticas a nivel interno de protección de datos.
- Establecer un proceso gobierno de datos. Estos deben regularizar los procesos de captura de datos, a través de: consentimientos y otros mecanismos. Además, es fundamental contar con un inventario de tratamiento de datos personales.
- Implementar un proceso para atención de las solicitudes. Este debe incluir el procesamiento efectivos de los derechos del titular, como acceso, rectificación, etc.
- Fortalecer la seguridad de los datos personales. Implementar controles de seguridad en aplicaciones, registros físicos, etc. Además, se deberá trabajar en implementar el concepto de protección de datos por diseño y por defecto.
- Gestión de incidentes de privacidad. La ley establece que se debe notificar al ente de control la vulneración de datos, para ello, se debe implementar procesos que identifique, analice, responda y notifique los incidentes sobre datos personales.
- Trabajar con proveedores en la adecuación, contratos y esquemas de monitoreo posterior. Asimismo, fortalecer el proceso de compras para identificar a proveedores que cumplan con la norma vigente.
- Concientización y entrenamiento. Todos los empleados, proveedores de servicios y actores claves deben conocer sobre el tratamiento de datos personales.
Más noticias
Visita nuestros portales: