Protección de datos
04 / 02 / 2022
BLOG

Protección de datos

La Ley Orgánica de Protección de Datos Personales - LOPD fue promulgada el 26 de mayo del 2021 con el objetivo de plantear nuevos principios, derechos y obligaciones, así como también la creación de una nueva autoridad quien impondrá importantes multas, tanto para las organizaciones privadas como para las públicas.
Es importante que las empresas tomen en consideración todas estas nuevas disposiciones con el objetivo de implementar medidas y políticas internas que eviten contingencias posteriores referentes a la falta de protección de datos personales y a la carencia del consentimiento de sus titulares respecto de los mismos. En consecuencia, las empresas deberán hacer un análisis en relación al proceso de sus negocios, realizar un levantamiento de información y datos de los cuales están a cargo para de esta manera definir un plan de implementación.
La protección de datos personales es una de las ramas jurídicas más importantes de la actualidad. El Reglamento General de Protección de datos (RGPD) Europeo entró en aplicación en mayo del 2018 y ha cambiado el Internet. El Reglamento cuenta con un alcance extraterritorial lo cual obliga a instituciones públicas y privadas de todo el mundo a cumplir sus disposiciones. La mayoría de países latinoamericanos se encuentran en procesos de reforma de sus leyes de protección de datos para estar acorde al RGPD.
En este contexto, el Ecuador acaba de aprobar su Ley Orgánica de Protección de Datos el 10 de mayo de 2021, con muchas disposiciones similares al RGPD. Si bien hay dos años de transición para la aplicación de la ley, las instituciones públicas y privadas deben prepararse para la conformidad, entendiendo que no es sólo un asunto jurídico, sino sobre todo de gestión. La protección de datos se fundamenta en la gestión de riesgos para la protección de derechos y libertades. Esto ha cambiado de forma sustancial los procesos de seguridad de la información.
De la citada ley cabe destacar la clara influencia de la ya existente normativa europea, así como un inequívoco espíritu garantista respecto a los titulares, en tanto aboga por la protección de los derechos personales como un derecho del ciudadano y no de las empresas y reconoce entre sus principios básicos la aplicación favorable al titular de los datos en caso de duda.
En relación al ámbito de aplicación territorial de la ley, es preciso indicar que deberá atenerse a su cumplimiento, todo aquel tratamiento de datos personales que se realice en cualquier parte del territorio nacional porque el responsable o encargado se encuentre domiciliado en Ecuador.
No obstante lo anterior, hay que señalar que tras el segundo debate de la Asamblea Nacional, se introdujo como novedad la extraterritorialidad. Ello quiere decir que “será de aplicación la ley cuando se realice tratamiento de datos personales de titulares que residan en el Ecuador por parte de un responsable o encargado no establecido en el Ecuador, cuando las actividades del tratamiento estén relacionadas con:
  1. La oferta de bienes o servicios a dichos titulares, independientemente de si a estos se les requiere su pago, o,
  2. Del control de su comportamiento, en la medida en que este tenga lugar en el Ecuador
Asimismo, este nuevo marco normativo trae consigo una serie de principios que se deberán imperar en todo tratamiento de datos personales que se aprecie: juridicidad, lealtad y transparencia, legitimidad, finalidad, pertinencia y minimización de los datos personales, así como la proporcionalidad del tratamiento, consentimiento, confidencialidad, calidad, conservación y seguridad de los mismos, cuya redacción fue mejorada en el ya citado segundo debate.
La protección de datos personales surge como un mecanismo para proteger el derecho a la vida privada a partir de finales de los años 1970 en países europeos como Francia y Alemania.
La Unión Europea se convirtió en el ejemplo a seguir en el área a partir de la directiva 95/46/CE. Sin embargo, por problemas de homogenización entre los países miembros y falta de mecanismos que aseguren su cumplimiento, se crea el Reglamento General de Protección de Datos, mismo que entre en aplicación a partir del 25 de mayo del 2018.
Este reglamento transforma no sólo la protección de datos personales a nivel global, sino también trae cambios drásticos la industria de la seguridad de la información, por cuanto está basado en la gestión de riesgos. Su alcance es extraterritorial y toda institución pública y privada con un flujo automatizado de datos, debe actuar en conformidad. Otras regiones del mundo como países latinoamericanos e incluso ciertos Estados de los Estados Unidos, han optado por seguir el camino trazado por dicho Reglamento.
En la actualidad casi todas las

leyes de protección de datos

del mundo (incluidas las latinoamericanas) se encuentran en proceso de reforma para conformarse a la normativa de la Unión Europea.
Análisis de riesgos de seguridad de la información
Para una adecuada adaptación a esta ley en el contexto empresarial,

TEUNO

recomienda la consultoría para el cumplimiento de la LOPDP. Resulta muy favorable poner en práctica una serie de soluciones en virtud de cada etapa y fase a partir de un protocolo como el siguiente:
Etapa I. Análisis y evaluación de la organización
Fase 1
1. Conocimiento del cliente y su modelo de negocio.
Tiempo: 1 a 2 semanas
Fase 2.
1. Levantamiento y clasificación de activos.
Tiempo: 4 semanas
Entregable. Inventario de activos de datos personales
2. Análisis de madurez de seguridad de información.
Tiempo: 4 semanas
Entregable. Informe de madurez en base a CIS 20
Fase 3.
1. Due Diligence Legal.
Tiempo: 4 semanas
Entregable. Informe de cumplimiento en base a documentación del cliente
Etapa II. Evaluación y definición de tratamiento de riesgos de la organización - Opcional
Fase 4.
1. Análisis de riesgos legales con respecto al tratamiento de datos personales
Tiempo: 4 semanas
Entregable. Informe de identificación de riesgos con respecto al tratamiento específico de datos personales
2. Análisis de riesgos de

seguridad de la información

Tiempo: 4 semanas
Entregable. Informe de riesgos de seguridad de la información
Etapa III. Definición y priorización de iniciativas - Opcional y personalizable
  • Plan director de seguridad de la información
  • Revisión y ajustes de documentación legal: contratos, acuerdos, políticas
  • Implementación de
    soluciones de seguridad informática

Si este contenido te pareció útil, ¡Compártelo!

Tenemos más temas de interés para tu empresa.
Soluciones tecnológicas con-plataforma-cisco Webex
12 / 05 / 2022
BLOG
La plataforma Cisco Webex para colaboración segura en nube híbrida
Cisco Webex es una plataforma de colaboración segura en la nube que permite mejorar el trabajo en equipo de cada colaborador. Conoce más en nuestro blog.
Funcionalidades de 3CX es soluciones de software
11 / 05 / 2022
BLOG
Conoce todas las ventajas de un software PBX como 3CX
El PBX está estancado en el tiempo y las soluciones de software son las que pueden modernizarlo. Aquí entra 3CX.
Avaya IP Office potencia comunicaciones en las empresas
10 / 05 / 2022
BLOG
Avaya IP Office - Un resumen de sus capacidades clave
Avaya IP Office ayuda a las empresas a impulsar una mayor productividad y agilizar la colaboración a través de una sola aplicación para todos los...
Políticas
¿Tienes alguna pregunta? ¡Hablemos!