El desarrollo exponencial de los avances tecnológicos impacta directamente a las personas a través de su manifestación digital, sus datos personales. Debido a esta evidente transformación digital que experimenta el Ecuador, la figura del Delegado de Protección de Datos (DPD) emerge como un actor fundamental para garantizar el adecuado tratamiento de la información personal de los ciudadanos. Esta nueva posición, establecida por la Ley Orgánica de Protección de Datos Personales (LOPDP) y su reglamento, representa un paso significativo hacia la protección efectiva de la privacidad y la protección de datos personales en el país.
El DPD es un profesional especializado que actúa como intermediario entre los responsables del tratamiento de datos que son las personas naturales o jurídicas, públicas o privadas con o sin finalidad de lucro que para su misión o gestión ordinaria procesan datos de sus usuarios o clientes, como por ejemplo una universidad, un hospital, un banco, una empresa de retail, una ONG o una institución pública. Asimismo, el DPD interactúa con los encargados de tratamiento, titulares de los datos y con la Autoridad de Protección de Datos Personales, (Superintendencia de Protección de Datos Personales, cuya máxima autoridad es Fabrizzio Peralta), para quien es punto de contacto.
Su principal misión es supervisar y garantizar el cumplimiento de la normativa de protección de datos dentro de las empresas, organizaciones e instituciones; para lo cual debe brindar asesoramiento y supervisión en el análisis de riesgo, evaluación de impacto, evaluación de medidas de seguridad y supervisar su aplicación.
Es decir, acompañar en la gestión de riesgos en derechos y libertades sobre los activos de información que contienen tratamiento de datos personales y en esto se distingue del análisis de riesgo en seguridad de la información, el cual se realiza sobre los activos de información y asociados para garantizar la confidencialidad, integridad y disponibilidad de la información.
Otra de las funciones del DPD es la comunicación y atención de derechos de los titulares, el manejo de incidentes en datos personales, incluido la notificación a las autoridades de protección de datos en caso de violaciones de seguridad, por ejemplo filtración de datos personales no autorizados; y, la capacitación y el desarrollo de una cultura de protección de datos.
La legislación ecuatoriana establece que la designación de un DPD es obligatoria para: a) entidades del sector público; b) organizaciones que realicen tratamiento masivo o gran escala de datos personales; c) organizaciones que procesen datos sensibles; o, d) cuando el volumen, naturaleza, alcance o finalidades del tratamiento requieran supervisión constante.
Para ser DPD se requiere ser mayor de edad; estar en goce de los derechos políticos; tener título de tercer nivel en Derecho, Sistemas de Información, Telecomunicaciones, o de Tecnologías; y, acreditar experiencia profesional de por lo menos cinco años. No podrán ser delegados de protección de datos personales: a) quienes formen parte de los órganos de administración y control del responsable y encargado de tratamiento; b) los socios o accionistas del responsable y encargado; c) los cónyuges de los administradores, directores o comisarios de la compañía, en caso de haberlos, del responsable y encargado, o sus parientes hasta el cuarto grado de consanguinidad o segundo de afinidad; y, quienes tengan conflictos de intereses con el responsable y encargado, para lo cual la Autoridad de Protección de Datos Personales.
El delegado de Protección de Datos se constituye como una figura clave en el nuevo ecosistema digital en Ecuador, su labor diaria impacta directamente en la protección de la privacidad y la protección de datos personales de los ciudadanos. Sin embargo, el Delegado de Protección de Datos Personales (DPO) suele confundirse con el Oficial de Seguridad de la Información (OSI), debido a que sus roles tienen como objetivo proteger información; sin embargo, tienen ámbitos de aplicación distintos y complementarios.
En el caso del OSI su responsabilidad es salvaguardar la confidencialidad, integridad y disponibilidad de la información; implementar y colaborar con el seguimiento de medidas de seguridad; realizar auditorías y evaluaciones de riesgo y desarrollar políticas y procedimientos de seguridad. Es decir, el OSI se centra en la seguridad de la información en general, mientras que DPO se enfoca en la protección en el tratamiento de los datos personales y debe dar seguimiento de medidas técnicas, tecnológicas, organizativas, administrativas y jurídicas por lo que su enfoque es más regulatorio y/o de cumplimiento.
Por cuanto sus roles son sustanciales no pueden recaer las delegaciones de DPD y OSI sobre la misma persona, ya que la ley requiere que no exista conflicto de interés y, por el contrario, los personales que ostenten estos roles deben trabajar juntos para asegurar una protección integral de la información.
Es importante destacar que el Delegado de Protección de Datos Personales debe actuar de manera independiente y objetiva, y debe tener los conocimientos y habilidades necesarios para cumplir con sus responsabilidades, esto es conocimientos técnicos y legales relacionados con el adecuado tratamiento de datos personales.
Sus principales desafíos son la resistencia al cambio por parte de las empresas, organizaciones e instituciones que requiere comprender la importancia del manejo adecuado de los datos personales a su cargo; recursos limitados para implementar políticas, procesos y procedimientos que mitigan riesgos sobre el tratamiento inadecuado de datos personales.
Al DPD se le debe garantizar total independencia del responsable y del encargado del tratamiento de datos personales, pues debe ser capaz de proteger al titular y garantizar el cumplimiento de la ley y de asesorar a las directivas para una toma adecuada y oportuna de decisiones sobre el adecuado tratamiento de datos personales.
La efectiva implementación de esta figura contribuirá significativamente a la protección de los derechos fundamentales de los ciudadanos en la era digital, alineando a Ecuador con los estándares internacionales en materia de protección de datos personales.