Quito, Ecuador.
Las empresas privadas, instituciones públicas y organizaciones que operan en el país se enfrentan a severas sanciones económicas y administrativas si no cumplen con la Ley Orgánica de Protección de Datos Personales (LOPDP), normativa que se encuentra plenamente vigente y bajo control de la Autoridad de Protección de Datos Personales.
La ley establece obligaciones claras para quienes recolectan, almacenan, utilizan o transfieren datos personales de ciudadanos ecuatorianos, incluyendo la implementación de medidas técnicas, jurídicas y organizativas para garantizar la seguridad de la información.
Multas y sanciones por incumplimiento
El régimen sancionatorio contempla multas proporcionales al nivel de facturación anual de las organizaciones:
- Infracciones leves: entre el 0,1 % y el 0,7 % de la facturación anual.
- Infracciones graves: entre el 0,7 % y el 1 % de la facturación anual.
- Funcionarios públicos: multas individuales que pueden ir de 1 a 20 salarios básicos unificados, sin perjuicio de responsabilidades administrativas o penales.
Además de las multas, la autoridad puede ordenar:
- La suspensión temporal del tratamiento de datos.
- La eliminación de bases de datos obtenidas de forma ilegal.
- La adopción obligatoria de medidas correctivas inmediatas.
Responsable de Protección de Datos: una obligación clave
La LOPDP exige que las organizaciones designen un Responsable o Delegado de Protección de Datos Personales, figura encargada de garantizar el cumplimiento de la ley dentro de la entidad.
Perfil recomendado
El responsable debe contar con:
- Conocimientos en protección de datos, derecho digital o ciberseguridad.
- Capacidad para evaluar riesgos y supervisar procesos internos.
- Independencia funcional y acceso directo a los niveles directivos.
Su función principal es actuar como enlace entre la institución, los titulares de los datos y la Autoridad de Protección de Datos Personales.
¿Quiénes quedan fuera de esta obligación?
La ley contempla excepciones específicas, entre ellas:
- El uso de datos con fines personales o domésticos.
- El tratamiento de datos para actividades periodísticas, artísticas o literarias.
- Casos relacionados con seguridad nacional, defensa, prevención del delito o salud pública, conforme a la ley.
No obstante, estas exenciones no eliminan la obligación de respetar los derechos constitucionales a la privacidad y a la protección de la información personal.
Modelo tipo de Política de Protección de Datos Personales
Con el fin de cumplir la normativa, las empresas e instituciones deben contar con una Política de Protección de Datos, cuyo contenido mínimo puede estructurarse de la siguiente manera:
POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES
1. Finalidad
Garantizar el tratamiento lícito, seguro y transparente de los datos personales conforme a la Ley Orgánica de Protección de Datos Personales del Ecuador.
2. Principios
La organización se rige por los principios de legalidad, confidencialidad, minimización de datos, seguridad, proporcionalidad y responsabilidad.
3. Tratamiento de datos
Los datos personales serán recolectados únicamente para fines legítimos, específicos y previamente informados al titular.
4. Derechos de los titulares
Se garantiza el ejercicio de los derechos de acceso, rectificación, eliminación, oposición y portabilidad de los datos.
5. Medidas de seguridad
La institución implementará medidas técnicas y organizativas para evitar accesos no autorizados, pérdida o alteración de la información.
6. Responsable de Protección de Datos
Se designa un Responsable de Protección de Datos encargado de supervisar el cumplimiento de esta política y atender consultas o reclamos.
7. Actualización
La política será revisada y actualizada periódicamente conforme a cambios normativos o tecnológicos.
Advertencia para el sector público y privado
Especialistas en derecho digital advierten que no contar con políticas internas, no capacitar al personal o manejar datos sin consentimiento expreso puede derivar en sanciones económicas significativas y en un grave daño reputacional para las organizaciones.
La protección de datos personales ya no es una opción, sino una obligación legal que impacta directamente en la confianza ciudadana y en la sostenibilidad institucional.
