Decreto Ejecutivo No. 904 – Reglamento General de la Ley Orgánica de Protección de Datos Personales (RLOPDP)

por | Nov 29, 2023 | Artículos de interés | 0 Comentarios

Decreto Ejecutivo No. 904

Reglamento General de la Ley Orgánica de Protección de Datos Personales (RLOPDP)

CAPÍTULO I

  1. Objeto: Desarrollar la normativa para la aplicación de la Ley Orgánica de Protección de Datos Personales y la protección de los derechos y libertades fundamentales de los titulares de datos personales.
  2. Ámbito: Se aplica en todas las personas naturales, jurídicas, nacionales y extranjeras del sector público y privado, que realicen tratamiento de datos personales, en el contexto de que sus actividades como responsable o encargado de tratamiento de datos personales tenga lugar en el territorio ecuatoriano o no.
    Aplica al tratamiento de datos personales por parte de personales naturales y jurídicas, que actúen como responsables y encargados del tratamiento de datos personales de titulares no residentes en Ecuador, cuando sus actividades de tratamiento sean realizadas en territorio nacional.
  3. Asimismo, aplicará a los responsables y encargados del tratamiento de datos personales no establecidos en territorio ecuatoriano a quienes le resulte aplicable la legislación nacional en virtud de un contrato o de las regulaciones vigentes del derecho internacional público. Estos deberán asignar a un apoderado especial de acuerdo con el artículo 3 de este reglamento.
  4. De la recogida del consentimiento: El responsable d ellos datos personales deberá obtener el consentimiento del titular de conformidad con lo establecido en la Ley Orgánica de Protección de Datos Personales; el responsable deberá informar previa y detalladamente los tipos de tratamientos, finalidades, el tiempo de conservación, las medidas de protección a adoptarse, las consecuencias de su entrega, entre otros.
  5. De la revocatoria del consentimiento: El titular tendrá el derecho a retirar su consentimiento en cualquier momento. La revocatoria del consentimiento no afectará la licitud del tratamiento de datos llevados a cabo hasta el momento de la revocatoria. El responsable deberá contar con un procedimiento sencillo para el titular poder revocar su consentimiento.

CAPITULO II

5. Los plazos de conservación de los datos personales no deberán exceder aquellos que sean estrictamente necesarios para el cumplimiento de las finalidades que justificaron el tratamiento. La Autoridad de Protección de datos regulará los plazos de conservación atendiendo las disposiciones aplicables a la materia.

6. Una vez cumplida las finalidades del tratamiento y cuando no exista disposición legal o reglamentaria o no incurra la necesidad de mantener los datos en virtud del interés legítimo del responsable o por cumplimiento de una obligación legal que establezca lo contrario, el responsable deberá proceder a la eliminación, bloqueo y anonimización de los datos en su posesión. Por lo que el fichero del registro deberá contener obligatoriamente el plazo de conservación de los datos, que deberá observar necesariamente la materia, naturaleza del dato, su tratamiento y finalidad.

7. Eliminación de datos: Finalizado el plazo de conservación de los datos, el responsable del tratamiento de datos deberá proceder a la eliminación segura de los mismos.

CAPITULO III

8. Los medios para el ejercicio de los derechos establecidos en la Ley, el responsable habilitará, preferentemente, herramientas o canales informáticos simplificados de fácil acceso para el titular, con la finalidad de receptar y atender oportunamente las solicitudes o peticiones formuladas que garanticen una interacción segura, fiable y rápida entre el responsable y el titular, sin perjuicio de que también puedan ser presentadas por medios físicos.

9. Sobre los reclamos el titular de datos personales que encuentre motivos para creer que se han vulnerado sus derechos con la respuesta que el responsable ha dado a su solicitud, o que no haya recibido respuesta en el plazo establecido, podrá acudir a la autoridad de Protección de Datos a presentar su reclamo, el cual se sustanciará conforme al procedimiento previsto en el Código Orgánico Administrativo y en la normativa complementaria que, para el efecto, emita la Autoridad de Protección de Datos.

ASUNTOS RELEVANTES

10. La transferencia o comunicación de los datos personales a un tercero o encargado requerirá el consentimiento del titular, a menos que, previo a realizar las mismas, se han disociado los datos, se han utilizado mecanismos orientados en la privacidad e intimidad de los titulares de los datos personales, de manera que no se pueda identificar qué persona se refieren.

11. La transferencia o comunicación de datos personales a terceros se podrá realizar siempre que concurran los siguientes supuestos:
– Para el cumplimiento de fines directamente relacionados con las funciones legítimas del responsable y del tercero destinatario, en cuyo caso el destinatario se obliga a cumplir con la normativa de protección de datos.
– Cuando se cuente con el consentimiento previo del titular, el cual puede ser revocado en cualquier momento.

12. La responsabilidad de realizar una evaluación de impacto relacionado con el manejo de los “Datos Personales” recae en el responsable de dicha información. Esta evaluación tiene como objetivo identificar y mitigar posibles riesgos asociados con el tratamiento de datos personales. En situaciones específicas, la evaluación de impacto se vuelve obligatoria y debe completarse antes de iniciar el tratamiento de datos.

13. El registro de actividades del tratamiento debe ser llevado a cabo por el responsable del tratamiento de datos personales cuando se cumplan lo siguientes escenarios: cuente con más de cien empleados, realizar el tratamiento podría representar un riesgo de derechos y libertades de los titulares, el tratamiento resulte no ser ocasional y este involucre categorías especiales de datos personales.

14. Sobre el Delegado de Protección de Datos (DPO): este deberá ejercer sus responsabilidades con plena autonomía respecto al responsable y encargado del tratamiento, este puede estar bajo un contrato de relación de dependencia u honorarios profesionales por servicios. Para poder ser un DPO, este deberá contar al menos con: tener derechos políticos, acreditar experiencia laboral al menos de 5 años, tener título de tercer nivel en Derecho, sistemas de la información, comunicación o tecnología.

Esta normativa entró en vigencia desde la publicación en el Registro Oficial

Para conocer mayores detalles sobre este reglamento podrá revisar el Registro Oficial que se detalla en la fuente.

Fuente: Registro Oficial N° 435 https://www.registroficial.gob.ec/index.php/registro-oficial-web/publicaciones/suplementos/item/19664-cuarto-suplemento-al-registro-oficial-no-435

Si deseas tener más asesoría referente al tema te invitamos a contactarnos dando clic aquí.

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

diecinueve − ocho =