Quedan cuatro meses para que las empresas cumplan obligatoriamente con la Ley de Protección de Datos Personales

A partir del próximo 26 de mayo 2023, las compañías podrán enfrentar cuantiosas sanciones si no tiene sistemas y procedimientos para evitar el mal uso o la filtración de la información de sus clientes. 

Quedan menos de cuatro meses para que concluya el periodo de adaptación de la nueva Ley Orgánica de Protección de Datos Personales (Lopdp) de Ecuador.

Dicha ley, que entró en vigor en 2021, y que será directamente aplicable a partir del próximo 26 de mayo de 2023, pretende garantizar que los ciudadanos puedan ejercer el derecho a que su información se maneje de manera transparente y solo para los fines directamente y explícitamente acordados

En general, el objetivo de la ley es que los titulares de datos, tengan reconocidos una serie de derechos, tanto en el entorno digital, como en el entorno físico y se les dote de un mayor control sobre sus información personal.

Así, las personas podrán exigir que cualquier empresa les dé acceso a los datos personales que tengan en sus bases; a que esos datos sean eliminados de manera inmediata; o a que no se incluyan en campañas de publicidad u otros fines.

Tal y como se especifica en la normativa, un dato personal es cualquier información que identifique o haga identificable a una persona natural, tanto directa como indirectamente. Ello incluye no solo a datos personales como nombre, apellidos o correo electrónico, sino también datos que a priori no identifican directamente a una persona física, pero pueden llegar a identificarla si se vinculan con otro conjunto de datos, por ejemplo, la dirección IP.

Para que puedan adecuarse a la Ley y se garantice la protección de datos personales, las empresas y organismos públicos deberán implementar todo un sistema de protección de datos constituido por numerosos requisitos, entre los que cabe destacar:

1.- La actualización del Registro Nacional de Protección de Datos

2.- La adecuación de cláusulas informativas y de contratos. Esto con el fin de establecer claramente cómo y para qué fines se podrá utilizar la información de los clientes

3.- La realización de análisis de riesgos y evaluación de impacto

4.- La configuración de los protocolos de ejercicios de derechos de los titulares, nombramiento y funciones del Delegado de Protección de Datos

5.- La realización de los procedimientos de gestión de vulneraciones de seguridad, formación y concienciación para los empleados.

Es decir, las empresas y entidades públicas que están almacenando datos de los ciudadanos necesitan establecer un marco de actuación que determine cómo, para qué y de qué forma están guardando toda esa información, con el objetivo de que no se utilice de forma errónea e impedir, asimismo, que esos datos puedan ser filtrados.

Dos años de adaptación

En mayo de 2022, LA HORA ya publicó un análisis donde se apuntaba a que se había avanzado poco en el control de las llamadas comerciales no deseadas; pero sobre todo en la aplicación de las acciones previas para cuando entrara en vigencia total la Ley de Protección de Datos Personales.

Esa ley pasó al registro oficial el 26 de mayo de 2021; y a partir de ahí, se dio un plazo de dos años para que empresas y organismos públicos se preparara.

Ese periodo de adaptación concluye, por tanto, el próximo 26 de mayo de 2023, momento en el cual las organizaciones que no cumplan con la Ley podrán ser sancionadas, por lo que es crucial que aquellas que aún no hayan implementado las medidas oportunas lo hagan si no quieren enfrentarse a sanciones que van desde 0,1% a 0,7% del volumen del negocio en el caso de infracción leve o del 0,7% a 1% del volumen de facturación en el caso de las infracciones graves.

En su momento, Jorge Jaramillo, gerente general de Handytec, empresa ecuatoriana especializada en Big Data Analytics desde 2012, explicó que

Menos del 1% de las empresas del país, es decir, solo las más grandes y con músculo financiero e institucional para hacer cambios, está consciente de lo que hay que hacer para mejorar el manejo de los datos de los clientes. El resto, sobre todo las más pequeñas y micro, no tienen idea, aunque la ventaja es que la inversión y los procesos que necesitan son menores.

Ese porcentaje pudo haber aumentado de manera relativa en los últimos meses; pero, en el mejor de los casos, no supera el 20% de las empresas micro y pequeñas en el país. Además, hacen falta perfiles técnicos de especialista en ciberseguridad y manejo de bases de datos.

Por el lado público, una de las mayores falencias es que hasta el momento no se ha designado a un Superintendente de Protección de Datos.

¿Qué hacer para adaptarse?

Francisco Maestre, director de Consultoría y Tecnología de Opinno Ecuador, explicó que la normativa, que entró en vigor desde el 26 de mayo de 2021, es en muchos puntos un “calco” de la que opera desde hace años en la Unión Europea.

“Ecuador está sustituyendo una ley desfasada que databa de 1999. El periodo de transición de dos años es necesario porque las empresas deben hacer inversiones tecnológicas y cambios profundos en sus estrategias de marketing”, dijo

Por este motivo, es aconsejable contratar un servicio de consultoría especializado en cubrir tanto las cuestiones relativas al cumplimiento de los requisitos legales, como la parte técnica y de seguridad de la información, con el conocimiento multidisciplinar adecuado.

Existen empresas en el mercado como GlobalSuite Solutions, que tiene consultores con experiencia en la aplicación de  diferentes leyes de protección de datos en Europa, Brasil, Colombia, México, Chile, entre otros.

El proceso tanto de adaptación como de aplicación necesita conocimiento técnicos para hacer posible, por ejemplo, el concepto de que la última palabra es la que vale.

Es decir, aunque los clientes hayan dado el consentimiento de utilización de su información personal, en cualquier momento pueden pedir que se elimine sus registros y no les contacten para fines comerciales.

Tanto el consentimiento como el pedido de borrar la información deben ser procesos igual de claros y sin trabas.

En España, cuando se aplicó una Ley parecida a la que se intenta aplicar en Ecuador, las empresas tuvieron que volver a pedir autorización a sus clientes, esto redujo hasta el 70% de las bases de datos.  (JS)

DATO.- En promedio, un ecuatoriano puede ser contactado hasta seis veces al día por una misma empresa para venderle un producto o servicio.

NOTAS RELACIONADAS

Los ciberdelitos como estafas en línea y promociones falsas se disparan hasta en un 35% en diciembre – Diario La Hora

¿Cuáles serán las profesiones más demandadas para 2023? – Diario La Hora

La ciberseguridad, uno de los problemas de la vida en internet – Diario La Hora