The Cyber Advocate
¿Conoces la Línea de Tiempo de la Protección de Datos en Ecuador? Descubre Aquí Todo lo que Necesitas Saber

¿Conoces la Línea de Tiempo de la Protección de Datos en Ecuador? Descubre Aquí Todo lo que Necesitas Saber

Juan Carlos Urquiza Larco's photo
Juan Carlos Urquiza Larco
·

5 min read

Link a las resoluciones: https://drive.google.com/drive/folders/1Ng7z0scjWOO18MjVD5LgpcIKfmQoM94q?usp=drive_link

Constitución de la República del Ecuador (2008)

Fundamento del derecho a la protección de datos (2008)

En el numeral 19 del artículo 66 de la Constitución de Ecuador, se reconoce el derecho a la protección de los datos de carácter personal, que incluye el acceso y la decisión sobre los mismos, así como su protección.

Publicación de la Ley Orgánica de Protección de Datos Personales (26 de mayo de 2021)

Aprobación de la Ley

Ecuador promulgó la Ley Orgánica de Protección de Datos Personales (LOPDP), inspirada en la normativa europea (GDPR). Esta ley busca garantizar el derecho de los ciudadanos a la privacidad de sus datos personales. Las empresas y entidades debían adaptarse a las exigencias de la ley en un plazo de dos años.

Principales aspectos:

  • Principios clave: Transparencia, responsabilidad proactiva, consentimiento explícito y derechos de los titulares.

  • Aplicación territorial y extraterritorial: La ley se aplica a cualquier tratamiento de datos realizado en Ecuador, así como a entidades extranjeras que ofrezcan servicios a residentes en Ecuador o monitoricen su comportamiento.

  • Período de adaptación (26 de mayo de 2021 - 25 de mayo de 2023)

Plazo de adaptación para empresas

Se otorgó un período de dos años para que todas las empresas y entidades implementaran los cambios necesarios, para cumplir con la Ley Orgánica de Protección de Datos Personales (LOPDP).

Entrada en vigor del régimen sancionatorio (26 de mayo de 2023)

Régimen sancionatorio

El 26 de mayo de 2023, el régimen sancionatorio de la LOPDP entró en vigor. Desde entonces, el incumplimiento de la normativa puede resultar en sanciones económicas entre el 0.7% y 1% del volumen de negocios anual de la empresa infractora.

Problemas iniciales

Aunque el régimen sancionatorio ya estaba vigente, la Superintendencia de Protección de Datos Personales aún no había sido constituida ni se había designado su titular, lo que generó inquietudes sobre la efectividad de la supervisión y sanción de los incumplimientos.

Envío de terna para designar al Superintendente de Protección de Datos (29 de mayo de 2023)

El Presidente de la República envió al Consejo de Participación Ciudadana y Control Social (CPCCS) una terna de candidatos para designar al primer Superintendente de Protección de Datos Personales, un paso crucial para formalizar la creación de la autoridad responsable de garantizar el cumplimiento de la ley.

Emisión del Reglamento de la LOPDP (6 de noviembre de 2023)

Desarrollo del Reglamento

El Presidente de la República emitió el Reglamento de la Ley Orgánica de Protección de Datos Personales (RLOPDP), aclarando las disposiciones como derechos de titulares, contenido de notificación de vulneraciones y obligaciones de los responsables y encargados del tratamiento.

Designación del Superintendente de Protección de Datos Personales (28 de marzo de 2024)

Nombramiento de Fabrizio Peralta Díaz

El 28 de marzo de 2024, el CPCCS designó a Fabrizio Peralta Díaz como el primer Superintendente de Protección de Datos Personales de Ecuador para el período 2024-2029. Su posesión ante la Asamblea Nacional el 23 de abril de 2024 formalizó su rol y puso en marcha la estructura de la Superintendencia.

Incorporación de Ecuador a la Red Iberoamericana de Protección de Datos (5 de mayo de 2024)

Admisión de Ecuador en la RIPD

El 5 de mayo de 2024, la Superintendencia de Protección de Datos Personales genero que Ecuador fuera admitido como miembro pleno de la Red Iberoamericana de Protección de Datos (RIPD). Esta incorporación permitirá a Ecuador acceder a formación técnica, intercambio de experiencias y cooperación con otros países miembros.

Primera resolución de la Superintendencia (19 de agosto de 2024)

Resolución No. SPDP-SPDP-2024-0001-R

La Superintendencia emitió su primera gran resolución enfocada en la reestructuración interna de la organización. Entre los principales cambios destacan la creación de tres intendencias clave: Intendencia General de Innovación Tecnológica y Seguridad de Datos Personales, Intendencia General de Regulación de Protección de Datos Personales e tendencia General de Control y Sanción

Nuevas obligaciones para entidades extranjeras (10 de septiembre de 2024)

Resolución No. SPDP-SPDP-2024-002-R

Esta resolución introduce nuevas obligaciones para las empresas extranjeras que traten datos de ciudadanos ecuatorianos, como la obligación de designar un apoderado especial en Ecuador.

Sanciones

El incumplimiento puede resultar en sanciones administrativas que van desde advertencias hasta multas, dependiendo de la gravedad de la infracción.

Directrices del Plan Estratégico Institucional 2024-2028 (3 de octubre de 2024)

Resolución SPDP-SPFP-0005-R

Se establecen las directrices del Plan Estratégico Institucional 2024-2028, que busca reforzar el marco normativo y los mecanismos de control en la protección de datos.

Aspectos clave:

  • Implementar un sistema de monitoreo y certificación para validar el cumplimiento normativo.

  • Crear un marco regulatorio que integre los avances tecnológicos recientes.

Delegación de Competencias (3 de octubre de 2024)

Resolución SPDP-SPFP-0007-R

Se formaliza la delegación de competencias del Superintendente de Protección de Datos Personales a varias autoridades institucionales.

Aspectos clave:

  • Supervisión y control de las actividades de los responsables de tratamiento de datos.

  • Creación de normativas estándar para la protección de datos.

  • Implementación de sistemas de monitoreo para asegurar el cumplimiento legal.

Reglamento de consultas a la Superintendencia (24 de octubre de 2024)

Resolución No. SPDP-SPDP-2024-0012-R

Este reglamento establece el procedimiento para que titulares de datos, responsables de tratamiento y otros interesados formulen consultas a la Superintendencia de Protección de Datos Personales (SPDP). Las consultas no son vinculantes y no constituyen autorización para el tratamiento de datos ni eximen de futuras sanciones.

Reglamento para el trámite de denuncias y solicitudes (25 de octubre de 2024)

Resolución No. SPDP-SPDP-2024-0013-R

La Superintendencia emitió el reglamento para la presentación y tramitación de denuncias y solicitudes de titulares de datos, permitiendo a ciudadanos afectados denunciar o solicitar correcciones sobre el tratamiento de sus datos personales. Incluye principios de celeridad y transparencia en la atención de estas demandas.

Aprobación del Plan Regulatorio Institucional (PRI) (30 de octubre de 2024)

Resolución No. SPDP-SPDP-2024-0018-R

Este reglamento define los lineamientos y procedimientos para crear el Plan Regulatorio Institucional, un mecanismo anual que establece las acciones regulatorias a ejecutar por la SPDP.

Aprobación de la Política de Privacidad y Protección de Datos Personales de la Superintendencia de Protección de Datos Personales (SPDP)

Resolución No. SPDP-SPDP-2024-0019-R

Este documento establece los lineamientos, principios y procedimientos para el tratamiento de datos personales gestionados por la Superintendencia de Protección de Datos Personales (SPDP). Define las obligaciones y responsabilidades institucionales como responsable del tratamiento, garantizando el ejercicio de los derechos de los titulares, tales como acceso, rectificación, cancelación y oposición, en cumplimiento con la Ley Orgánica de Protección de Datos Personales (LOPDP) y su Reglamento General.