Reglamento General de la Ley Orgánica de Protección de Datos Personales, mediante el Decreto Ejecutivo No. 904.
El presidente Guillermo Lasso expidió el Reglamento General de la Ley Orgánica de Protección de Datos Personales, mediante el Decreto Ejecutivo No. 904. El Reglamento contiene 14 capítulos, 90 artículos, 1 disposición general, 1 disposición transitoria y 1 disposición final. El presente Reglamento complementa la Ley Orgánica de Protección de Datos Personales emitida el 26 de mayo 2021, cuyo régimen sancionador entró en vigencia el 26 de mayo 2023.
Como hemos venido anticipando, el Reglamento establece lineamientos específicos que proporcionan viabilidad para la definición de las acciones a tomar por parte de las entidades que procesan datos personales.
En este Boletín, ponemos a consideración los elementos más relevantes del Reglamento:
- Plazo de Conservación
Los plazos de conservación de datos personales no deberán exceder aquellos que sean estrictamente necesarios para el cumplimiento de las finalidades del tratamiento.
La Autoridad de Protección de Datos regulará los plazos de conservación atendiendo a las disposiciones aplicables a la materia que se trate.
- Registro de Ficheros
Los Responsables de Datos Personales deberán registrar los ficheros de bases de datos, conteniendo obligatoriamente: el plazo de conservación, naturaleza del dato, su tratamiento y finalidad.
- Registro de actividades de tratamiento
El responsable del Tratamiento que cuente con cien o más trabajadores, llevará un registro de actividades que deberá contener:
- Nombre y datos de contacto del responsable y, en su caso, del responsable que actúa conjuntamente con el responsable. Así como el nombre y los datos de contacto del delegado de protección de datos;
- Fines del tratamiento;
- Categorías de destinatarios a los que se han comunicado o se comunican los datos personales;
- Identificar los titulares y las categorías de datos personales de los titulares;
- En su caso, el uso de perfiles;
- En su caso, definir las transferencias de datos personales a organismos de un tercer país o a una organización internacional;
- Descripción de las bases legitimadoras que facultan el tratamiento;
- Los plazos de retención previstos para la supresión o la revisión de la necesidad de conservar las diferentes categorías de datos personales; y,
- Una descripción general de las medidas técnicas, jurídicas, administrativas y organizativas.
El registro se llevará por escrito o electrónicamente. Los responsables pondrán a disposición de la Autoridad de Protección de Datos Personales los registros cuando esta lo solicite.
- Delegado de protección de datos
Aquellas compañías que se encuentren dentro de los parámetros de gran escala de datos, deberán contar con un Delegado de Protección de Datos Personales de manera obligatoria. El artículo 4 del Reglamento, establece que a gran escala tratan los tratamientos de las siguientes actividades: aquellas entidades que forman parte del Sistema Nacional de Salud, incluyendo hospitales; el transporte público; cualquier entidad que preste un servicio de geolocalización en tiempo real; las entidades que conforman el sistema nacional de seguros, entre ellos agentes, prestadores, corredores, instituciones financieras; actividades de publicidad comportamental por motores de búsqueda; prestadores de telecomunicaciones de internet y telefonía.
Los grupos empresariales podrán designar a un único delegado de protección de datos personales, en la medida en que pueda ejecutar sus actividades y sin que esto genere conflicto de interés.
Los requisitos para ser un delegado son:
- Estar en goce de los derechos políticos;
- Ser mayor de edad;
- Tener título de tercer nivel en Derecho, sistemas de Información, de Comunicación, o de Tecnologías; y
- Acreditar experiencia profesional de por lo menos cinco años;
Impedimento para ser delegado:
Quienes formen parte de los órganos de administración y control del responsable y encargado;
Los socios o accionistas del responsable y encargado;
Los cónyuges de los administradores, directores o comisarios de la compañía, en caso de haberlos, del responsable y encargado, o sus parientes hasta el cuarto grado de consanguinidad o segundo de afinidad; y,
Quienes tengan conflictos de intereses con el responsable y encargado, para lo cual la Autoridad de Protección de Datos Personales emitirá la normativa correspondiente en la que se establecerán los supuestos que darán lugar a dicho conflicto de intereses.