Empresas se adaptan a la Ley de Protección de Datos

Banca y salud son sectores que manejan volúmenes importantes de datos personales. Estas industrias están adecuándose a la Ley de Protección de Datos Personales, que desde el 26 de mayo de 2023 podrá aplicar sanciones administrativas.

La norma, vigente desde el 26 de mayo de 2021, aplica para todas las empresas públicas y privadas, con excepción de aquellas dedicadas a actividades periodísticas o editoriales, y empresas vinculadas a la seguridad y defensa del Estado.

El presidente de la Asociación de Bancos Privados del Ecuador (Asobanca), Marco Rodríguez, explica que, desde la expedición de la Ley, el sistema financiero comenzó el proceso de adecuación de sus políticas y controles al nuevo cuerpo normativo.

"Los bancos han revisado cada uno de los contratos de productos y servicios financieros que se suscriben con sus clientes con el fin de añadir o reformar cláusulas, en atención a las nuevas disposiciones legales y en pro de los derechos de sus clientes", añade Rodríguez.

Difusión de políticas

Estos cambios normativos están siendo difundidos por las entidades financieras, a través de canales digitales. Por ejemplo, Banco Guayaquil está informando a sus clientes sobre la actualización de su política de manejo de datos por medio de su página web.

La entidad ofrece un resumen al cliente sobre esta política y, finalmente, le solicita una autorización digital para el uso de sus datos.

La Ley de Protección de Datos Personales contempla derechos para los titulares de datos crediticios, como poder conocer la condición de su historial crediticio y que las fuentes de información actualicen o eliminen información errónea, caduca o inexacta.

¿Cómo se adaptan clínicas y hospitales?

Los hospitales y clínicas privadas también están en proceso de adaptación a la ley. Al igual que en el caso de los bancos, este sector cuenta con experiencia en el manejo de datos personales.

La asesora legal del Hospital Alcívar, en Guayaquil, Alejandra García, explica que el sector cumple desde antes con normativas que hacen referencia al derecho de confidencialidad de los datos e historial clínico de los pacientes.

"Con la Ley de Protección de Datos Personales ahora se incorpora el término 'datos personales sensibles'; la norma viene a regularizar el secreto profesional de otra forma", dice García. Añade que, además, regula brechas de seguridad informáticas.

"Hemos profundizado y ampliado nuestro espectro de protección de datos", subraya García. Entre las acciones que ha implementado el Hospital Alcívar está la actualización de su reglamento general.

El reglamento incorporó la creación de un Comité de Protección de Datos, que tiene la función de velar por la protección de datos sensibles.

El establecimiento de salud también está capacitando a su personal. García está cursando un Máster en Protección de Datos en la Universidad de La Rioja; a su vez, ella ofrece conferencias sobre el tema al resto del personal.

¿Y el sector público?

En junio de 2021, luego de la publicación de la ley, la Dirección Nacional de Registros Públicos emitió la resolución 009, que regula el tratamiento de datos personales para las instituciones del sector público.

Esta guía incluye seis anexos, que abarcan temas como el levantamiento de información de datos personales, la finalidad de recolección, el plan de acción para mitigar amenazas y el modelo de acuerdo de confidencialidad.

"Hemos implementado medidas jurídicas y tecnológicas que garanticen la protección de datos personales. También hemos trabajado en ciberseguridad", subraya Angie Jijón, directora nacional de Registros Públicos.

Jijón añade que realizan controles a las entidades públicas para revisar cómo va el plan de cumplimiento e implementación de la norma. "Cada una es responsable de sus bases de datos y tiene la obligación de implementar la ley de acuerdo a su realidad".

¿Qué falta de la ley?

La Ley de Protección de Datos Personales aún no cuenta con un reglamento. Desde el sector privado están a la espera de este instrumento legal.

La asesora legal del Hospital Alcívar, Alejandra García, explica que se requiere de este reglamento para conocer cuáles son las características que debe tener el Delegado de Protección de Datos Personales, una de las exigencias de la ley.

Tampoco se ha creado la Superintendencia de Protección de Datos Personales, entidad que estará a cargo de la vigilancia y control del cumplimiento de la ley y de aplicar sanciones administrativas, en caso de ser necesario.

Por ahora, se espera que el Ejecutivo envíe la terna al Consejo de Participación Ciudadana y Control Social para la elección de la autoridad que estará al frente de la Superintendencia.