El reciente Decreto Ejecutivo No. 904, que establece el Reglamento General de la Ley Orgánica de Protección de Datos Personales (LOPDP), introduce varios cambios importantes. A continuación, destacamos los aspectos clave que deben conocer los responsables y encargados del tratamiento de datos personales de una empresa.
Ámbito de Aplicación y Definiciones Importantes
Aplicación Internacional: El Reglamento se aplica a responsables y encargados fuera de Ecuador, quienes deben designar un representante en el país.
Datos de Salud: Se detalla la definición de datos de salud, incluyendo una amplia gama de información relacionada con el estado físico y mental.
Persona Identificable y Tratamiento a Gran Escala: Se aclaran conceptos como persona identificable y el tratamiento a gran escala de datos personales.
Por ejemplo, tratándose de un hospital, aunque operando en Ecuador, atiende a pacientes internacionales. Por tanto, ha designado un representante local para garantizar el cumplimiento del Reglamento en todos los casos. Los datos de salud, incluyendo información sobre el estado físico y mental de los pacientes, se manejan con especial cuidado y detalle, siguiendo las definiciones ampliadas del Reglamento.
Consentimiento y Tratamiento Legítimo
Obtención del Consentimiento: Se establecen directrices claras para obtener el consentimiento, incluyendo la necesidad de consentimiento inequívoco y la demostración del mismo ante la autoridad competente.
Revocación del Consentimiento: La revocación no afecta la legalidad del tratamiento realizado hasta ese momento.
Por ejemplo, en cada etapa del tratamiento médico, se obtiene el consentimiento inequívoco de los pacientes o sus representantes legales, explicando claramente el uso y el procesamiento de sus datos personales. En caso de revocación del consentimiento, el hospital revisa y ajusta el tratamiento de los datos según lo permitido por la ley.
Conservación y Eliminación de Datos
Plazos de Conservación: Los datos no deben exceder el tiempo necesario para cumplir sus finalidades.
Procedimiento para Eliminación de Datos: Se deben establecer procedimientos para la conservación, revisión periódica y eliminación de datos personales.
Por ejemplo, el hospital establece plazos específicos para la retención de datos médicos, basados en las necesidades clínicas y legales. Una vez superado este plazo, los datos se eliminan o anonimizan de manera segura.
Ejercicio de Derechos de los Titulares
Procedimiento Detallado: Se especifica el contenido y el proceso para atender las solicitudes de ejercicio de derechos de los titulares de datos.
Por ejemplo, se ha implementado un proceso claro y detallado para que los pacientes ejerzan sus derechos respecto a sus datos personales, incluyendo el acceso, la rectificación y la eliminación de datos.
Tratamientos Específicos
Se abordan temas como el tratamiento de datos sensibles de menores y las decisiones basadas en valoraciones automatizadas.
Por ejemplo, se aplica un cuidado especial en el tratamiento de datos personales de menores, garantizando que el consentimiento de los representantes legales se obtiene y se gestiona apropiadamente.
Transferencia de Datos a Terceros
Se regula la transferencia de datos personales a terceros, estableciendo condiciones y requisitos específicos.
Por ejemplo, antes de transferir datos a terceros (laboratorios o especialistas), el hospital asegura que se cumplan todas las condiciones y requisitos establecidos por el Reglamento, incluyendo el consentimiento explícito del paciente.
Vulneraciones a la Seguridad y Evaluación de Impacto
Se detallan las medidas a tomar en caso de vulneraciones a la seguridad de los datos y se establecen criterios para la evaluación de impacto.
Responsable del Tratamiento y Registro de Actividades
Se definen las obligaciones del responsable del tratamiento, incluyendo el registro de actividades de tratamiento y los criterios para su implementación.
Por ejemplo, el hospital lleva un registro detallado de todas las actividades de tratamiento de datos, garantizando que se cumplan las obligaciones del responsable del tratamiento según el Reglamento.
Delegado de Protección de Datos
Se establecen los requisitos y responsabilidades del Delegado de Protección de Datos.
Por ejemplo, se ha designado un Delegado de Protección de Datos para supervisar el cumplimiento, proporcionar asesoramiento y actuar como punto de contacto con las autoridades.
Responsabilidad Proactiva, Autorregulación y Certificación
Se recalca la importancia de la responsabilidad proactiva y se detallan aspectos de la autorregulación y certificación.
Por ejemplo, el hospital adopta un enfoque proactivo para garantizar la protección de datos, incluyendo auditorías regulares y la implementación de medidas técnicas y organizativas avanzadas.
Transferencias Internacionales de Datos
Se definen los criterios para la transferencia internacional de datos personales.
Por ejemplo, en caso de transferencias internacionales de datos, el hospital cumple con los criterios establecidos para garantizar la protección adecuada de los datos personales.
Autoridad de Protección de Datos
Se puntualizan las funciones y responsabilidades de la Autoridad de Protección de Datos.
Régimen Sancionatorio
Se establecen las directrices para el procedimiento administrativo sancionatorio.
Este resumen aborda los elementos más importantes del nuevo Reglamento. Para más información o asesoría especializada, contáctenos en info@lmzabogados.com
Comments