El 26 de mayo de 2021 entró en vigor la Ley Orgánica de Protección de Datos Personales (en adelante, la “LOPDP”) con su publicación en el Registro Oficial Suplemento 459. Sin embargo, el régimen sancionatorio comenzó a aplicarse desde el 26 de mayo de 2023, según establece la Disposición Transitoria Primera: “(las…) disposiciones relacionadas con las medidas correctivas y el régimen sancionatorio entrarán en vigencia en dos años contados a partir de la publicación de esta Ley en el Registro Oficial.”.

En el transcurso de este tiempo quien tiene a su cargo el tratamiento de datos personales debió adecuar sus actividades a los preceptos establecidos en la LOPDP, que tienen como propósito proteger los derechos y libertades fundamentales de los titulares de los datos y, en particular, su derecho a la protección de los datos personales.

El proceso de adaptación al nuevo tratamiento de la información depende del tipo de empresa (entidad pública, multinacional, pyme, autónomos, entre otros) y, sobre todo, de los tipos de datos que traten (datos de salud, crediticios, de niñas, niños o adolescentes).

Las principales obligaciones de las empresas se resumen a continuación:

1. Ámbito de aplicación de la LOPDP:

  • La ley es aplicable a cualquier tratamiento de datos personales, ya sea en formato físico o digital, incluyendo su automatización y cualquier uso adicional que se realice.
  • Tanto las personas jurídicas como naturales, públicas o privadas deben cumplir las obligaciones que impone la LOPDP.

2. Sujetos intervinientes en la protección de datos:

  • El Responsable es la persona, natural o jurídica, que decide sobre la finalidad y el tratamiento que se le va a dar a los datos personales recopilados.
  • El Encargado es quien presta un servicio al responsable que conlleva el tratamiento de datos personales a nombre y por cuenta de éste.
  • El titular de los datos personales es la persona natural cuyos datos son objeto de tratamiento como: nombre, apellido, número de cédula, datos de salud, religión, datos crediticios, género, etnia, huella dactilar, entre otros.

3. Nuevas obligaciones:

La LOPDP obliga a incluir nuevas advertencias, por ejemplo: la base legal para el tratamiento de los datos o los períodos de retención de estos. Además, de lo siguiente:

  • Consentimiento: este debe ser una manifestación libre, especifica, informada e inequívoca. Esto implica que el responsable de los datos debe estar en capacidad de probar que tuvo el consentimiento del titular.
  • Relación entre responsables y encargados: describe el tipo de contrato que deben celebrar el responsable de los datos con el encargado de los datos. En él se especifican las obligaciones de ambas partes ante la prestación del servicio acordado.
  • Análisis de riesgo: quienes traten datos deberán realizar análisis de riesgos sobre el tratamiento de datos, antes de poner en marcha su uso, para minimizar el impacto que pueda acarrear a los titulares.
  • Derechos: dota a los titulares de una serie de derechos para garantizar la protección de datos, como: acceso, rectificación y actualización, eliminación, oposición, portabilidad, limitación, a no ser objeto de una decisión basada únicamente en valoraciones automatizadas, entre otros.
  • Delegado de Protección de Datos Personales: quienes traten datos personales dependiendo del volumen, categoría y tratamiento de datos, deberán designar un Delegado de Protección de Datos Personales que será el que realice un control permanente y sistematizado de los datos personales.

4. Autoridad de Control:

La LOPDP prevé la creación de la Superintendencia de Protección de Datos Personales, que tendrá a su cargo la correcta aplicación de la ley.

5. Medidas Correctivas:

La Autoridad dictará medidas correctivas con la finalidad de evitar que se siga cometiendo la infracción. Estas medidas podrían ser:

  • Cese del tratamiento.
  • Eliminación de los datos.
  • Imposición de medidas técnicas, jurídicas, organizativas o administrativas.

6. Medidas Sancionatorias:

Dependiendo de la gravedad de la infracción, se sanciona en función del volumen del negocio:

  • Infracciones leves: la sanción puede ir desde 0.1% al 0.7%.
  • Infracciones graves: la sanción puede ir desde 0.7% al 1%.

Hasta el momento no se ha emitido el reglamento a la LOPDP, ni se ha nombrado a la Autoridad de Control. Sin embargo, como el régimen sancionatorio ya se encuentran en vigencia, quienes utilizan datos personales deben implementar políticas de tratamiento y medidas de protección de datos para evitar sanciones.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.