Implement

Get personalized financial advice to help reach your financial goals. Get personalized financial.
Book A Session

Nomenclatura según la ley
Protección de datos personales ecuador (LOPD)

Antes de cualquier implementación, hay que entender que son los datos (tipos) y aspectos claves de la Ley:

Aspectos claves de la ley

El entendimiento profundo de la ley implica conocer como mínimo algunos aspectos claves desde donde implementar la Ley dentro de una entidad.

Estos son algunos aspectos que consideramos deben conocer si o si los responsables en la privacidad de datos de una empresa:

1. Los principios fundamentales

Principios fundamentales de la ley, como: transparencia, finalidad, minimización de datos, exactitud, limitación del plazo de conservación e integridad y confidencialidad.

2. Los derechos de los titulares

Entender los derechos de los titulares de datos, incluyendo el derecho de acceso, rectificación, cancelación y oposición (derechos ARCO), así como el derecho a la portabilidad y a no ser objeto de decisiones automatizadas.

3. El consentimiento informado

Es importante comprender la importancia del consentimiento informado y cómo debe obtenerse de manera clara y voluntaria para el tratamiento de datos personales.

4. La seguridad de datos

Conocer las medidas de seguridad necesarias para proteger los datos personales contra accesos no autorizados, pérdida o destrucción. En este sentido, sobre todo si se maneja datos sensibles.

5. Las notificaciones de brechas

Comprender la obligación de notificar a las autoridades y a los titulares sobre cualquier violación de seguridad que pueda afectar sus derechos y libertades.

6. El papel del Delegado de Protección de Datos (DPD)

En caso de ser necesario, entender el papel y las responsabilidades del Delegado de Protección de Datos y cuándo es obligatorio designarlo.

7. Sobre las fugas de datos

Conocer los procedimientos y medidas a seguir en caso de una fuga de datos, incluyendo la necesidad de realizar investigaciones internas y colaborar con las autoridades pertinentes.

8. El cumplimiento y sanciones 

Hay que estar al tanto de las sanciones y medidas correctivas que pueden aplicarse en caso de incumplimiento de la ley, tanto multas como otras acciones correctivas.

9. Las transferencias internacionales de datos

Si se va a trabajar con empresas internacionales, hay que comprender las restricciones y requisitos para realizar transferencias internacionales de datos personales.

10. La capacitación al personal

Fomentar una cultura organizacional de protección de datos, promoviendo la conciencia y la capacitación del personal en la importancia de la privacidad.

Descargar la Ley Vigente

Que són los datos

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Donec sed finibus nisi, sed dictum eros.

Tipos de datos

Quisque aliquet velit sit amet sem interdum faucibus. In feugiat aliquet mollis etiam tincidunt ligula.

Responsables de su tratamiento

Luctus lectus non quisque turpis bibendum posuere. Morbi tortor nibh, fringilla sed pretium sit amet.

Diagnóstico situacional para el cumplimiento de la ley

Protección de Datos Personales Ecuador

La fase 1 para la implementación de la Ley es el diagnóstico situacional. Con este vamos a definir en que porcentaje una entidad tiene implementado los procesos para el cumplimiento de la ley.

Este se lo ha dividido en 4 secciones:

  1. Auditoria de los datos. Se revisa si se tiene en claro que datos se recopila, como y para qué.
  2. A continuación se realiza una revisión de medidas de seguridad de la infraestructura que alberga los datos según exige la ley.
  3. Aspectos legales: se revisa el consentimiento, contratos y políticas para asegurar la coherencia con la normativa vigente.
  4. Finalmente, se analiza la capacidad de respuesta frente a solicitudes de los titulares e intentos de acceso no autorizados.

 1. Auditoria de datos:

La auditoría de datos implica revisar y evaluar cómo se gestionan y procesan los datos en conformidad a la Ley vigente, asegurando la seguridad y transparencia en su tratamiento. Hemos definido 5 puntos para esta auditoría:

.
1.1 Qué datos recopila
User
Primero se define que tipo de datos maneja. Se puede dividir en dos:
  • Datos personales como: nombre, dirección, teléfono, email, etc.
  • Datos sensibles como: detalles sobre salud, orientación sexual, creencias religiosas, origen étnico, entre otros. Requieren una protección especial.

Ver Art. 000

1.2 Cómo usan estos datos

El uso de los datos se refiere a la forma en que la información personal recopilada será empleada por la entidad que la ha recolectado.

Este aspecto implica especificar si la entidad recolectora tiene claros los propósitos y actividades para los cuales recoge los datos, verificando si están alineados el consentimiento informado y la normativa.

1.3 Cómo se recopilan y guardan los datos

Se examina cómo se recopilan los datos:

  • Verificando si se obtiene el consentimiento informado previo a la recopilación.
  • Si se recogen únicamente los datos esenciales para un propósito específico.
  • Y si se comunica de manera clara y comprensible tanto el consentimiento como la finalidad de la recopilación.

Además, se determina:

  • La ubicación de almacenamiento de los datos (equipos locales, en la nube o a través de terceras empresas).
  • Si los datos están cifrados y las medidas de seguridad implementadas.
  • Se analiza quiénes tienen acceso, si están conectados a redes y si forman parte de servicios de terceros relacionados con el propósito.
1.4 Tiempo de almacenamiento de los datos

Se analiza el periodo de retención de los datos, si se retienen el tiempo necesario para cumplir con el propósito de su recopilación.

1.5 Como se eliminan estos datos

En esta parte se analiza si la eliminación de datos se da de forma permanente, asegurando que no queden rastros en sistemas, bases de datos u otros medios.

Este proceso debe cumplir con las regulaciones de protección de datos y garantizar la completa conformidad con las normativas de privacidad.

2. Revisión de medidas de seguridad

La revisión de medidas de seguridad implica evaluar y analizar distintos aspectos para garantizar la protección de los datos.

Incluye el análisis de equipos y programas, redes, fortaleza de contraseñas y prácticas del personal.

.
2.1 Análisis de equipos y programas

El análisis de equipos es un proceso esencial para evaluar la integridad y seguridad de los dispositivos utilizados en el manejo de datos.

En este análisis se examinan aspectos como:

  • La configuración de hardware y software.
  • La presencia de posibles vulnerabilidades.
  • Parches y actualizaciones de seguridad.
  • Firewalls y software antivirus.
  • Programas que pueden comprometer la integridad y seguridad del sistema.
2.2 Análisis de redes

El análisis de redes implica evaluar la infraestructura de red utilizada para el intercambio y almacenamiento de datos.

Se examina:

  • La configuración de la red en busca de posibles vulnerabilidades
  • La efectividad de las medidas de seguridad implementadas
  • La detección de posibles accesos no autorizados y la resiliencia frente a amenazas cibernéticas.

Con este proceso buscamos asegura que la red esté bien configurada, con firewalls, cifrado y otras medidas de protección para prevenir la interceptación de datos.

2.3 Análisis de contraseñas

El análisis de contraseñas seguras implica evaluar la fortaleza y robustez de las contraseñas utilizadas en un sistema.

Se examinan factores como la longitud, complejidad, uso de caracteres especiales y su resistencia ante ataques de fuerza bruta.

El objetivo es garantizar que las contraseñas sean lo suficientemente sólidas para prevenir accesos no autorizados.

2.4 Comportamiento humano

Con el comportamiento humano en la seguridad de datos nos referimos a cómo las acciones y decisiones de las personas pueden influir en la protección o vulnerabilidad de la información.

Incluye aspectos como:

  • La conciencia y capacitación del personal en prácticas de seguridad.
  • La adopción de comportamientos seguros, como la creación de contraseñas fuertes y la precaución al manejar información confidencial.
  • La comprensión de las políticas y procedimientos de seguridad establecidos.

3. Revisión de políticas y contratos

En esta sección del diagnóstico, en el contexto de la seguridad de datos, se debe analizar minuciosamente la documentación legal de una entidad para asegurar su conformidad con las leyes y regulaciones de protección de datos.

Aquí revisamos las políticas de consentimiento, contratos, acuerdos y demás políticas que tiene una entidad con sus usuarios:

.
3.1 Revisión de la políticas de consentimientos

La revisión de las políticas de consentimiento implica analizar las prácticas y procedimientos relacionados con la obtención del consentimiento.

Este proceso incluye:

  • Verificar la transparencia y claridad de las políticas de consentimiento, asegurando sea fácilmente comprensible.
  • Se evalúa si las políticas cumplen con los requisitos legales y éticos.
  • Y si se obtiene el consentimiento de manera explícita y voluntaria por parte de los usuarios.
3.2 Revisión de contratos y acuerdos con terceros

Este proceso busca garantizar que los contratos y acuerdos incluyan disposiciones específicas relacionadas con la seguridad y privacidad de los datos personales.

Se verifica que los terceros:

  • Los terceros cumplen con estándares de seguridad.
  • Que se establezcan medidas para proteger la información.
  • Y que se definan claramente las responsabilidades en términos de cumplimiento normativo.

La revisión debe verificar que todas las partes cumplan las normas de la Ley en todas las fases del tratamiento de los datos.

3.3 Revisión de políticas, términos y condiciones

Las políticas, términos y condiciones de una empresa son documentos legales y normativos que establecen las reglas y condiciones bajo las cuales la empresa y sus usuarios o clientes interactúan.

Estos documentos abordan aspectos clave, como:

  • El uso de servicios.
  • La recopilación y tratamiento de datos personales.
  • Las responsabilidades mutuas
  • Las garantías
  • Las limitaciones de responsabilidad
  • Las condiciones de servicio y otros términos contractuales.

Esto es esencial para evaluar la transparencia y garantizar la conformidad con las leyes y regulaciones aplicables.

Además, establecen las bases para resolver disputas y protegen los derechos y obligaciones tanto de la empresa como de sus usuarios.

4. Evaluación de respuesta según la ley

Esta evaluación responde a cómo una entidad puede responder a las solicitudes de los individuos sobre sus datos personales y cómo maneja situaciones de accesos no autorizados a dicha información.

.
4.1 Respuesta a peticiones de los titulares (ARCO)

Para analizar la respuesta a las peticiones de los titulares de derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) en una entidad, se deben seguir varios pasos:

  • Evaluar los procedimientos internos de la entidad relacionados con las solicitudes ARCO.
  • Verificar si existen protocolos claros para recibir, procesar y responder a las solicitudes de los titulares.
  • Analizar el tiempo que la entidad toma para responder a las solicitudes. Debe ser acorde con los plazos establecidos por la Ley.
  • Verificar si la entidad proporciona información clara y comprensible sobre cómo los titulares pueden ejercer sus derechos ARCO.
  • Evaluar si se ofrecen formularios o canales específicos para facilitar el ejercicio de estos derechos.
  • Verificar si la entidad mantiene un registro de todas las solicitudes ARCO recibidas y las respuestas proporcionadas.
  • Evaluar si el personal está capacitado para manejar adecuadamente las solicitudes de los titulares, comprendiendo la importancia de proteger la privacidad de los datos.
4.2 Respuesta frente a accesos no autorizados

Parte de esto ya se realizó en la sección de medidas de seguridad. Aquí se analiza la reacción de una entidad frente a la fuga de datos. Se han definido algunos puntos:

  • Evaluar si la entidad tiene sistemas de monitoreo continuo para detectar actividades inusuales o accesos no autorizados a los datos.
  • Revisar las medidas de protección implementadas para los datos sensibles, como cifrado, control de acceso y otras técnicas de seguridad.
  • Analizar la rapidez con la que la entidad responde ante la detección de un acceso no autorizado. Una respuesta rápida es crucial para minimizar el impacto.
  • Evaluar la capacidad de cumplir con las obligaciones legales de notificar a las autoridades pertinentes y a los titulares afectados en caso de una violación de seguridad.
  • Evaluar la capacidad de la entidad para llevar a cabo una investigación interna para determinar la causa y el alcance de una supuesta violación de seguridad.
  • Verificar la existencia y precisión de un registro de incidentes que documente todos los accesos no autorizados detectados y las acciones tomadas.
  • Evaluar que la entidad coopere de manera efectiva con las autoridades regulatorias y de protección de datos en caso de una violación de seguridad.

Implementación de medidas para el cumplimiento de la Ley

Protección de Datos Personales Ecuador

La fase 2 trata sobre la implementación en sí de las medidas para el cumplimiento con la Ley de Protección de Datos Personales.

Para esto partimos del diagnóstico previo que hemos realizado. En tal sentido, este proceso puede variar según los resultados del diagnóstico, los tipos de datos que se recopile y el uso que se vaya a dar a los mismos. :

  1. En primer lugar, según el resultado del diagnóstico, se debe establecer de forma minuciosa qué datos se recopila, para qué, por qué tiempo, por qué medios y donde se almacenan.
  2. Como segundo punto, con base al análisis de seguridad, se deben adoptar las medidas pertinentes en los equipos y redes con el fin de prevenir la intrusión de personas no autorizadas. Esto puede ser instalar software de seguridad, cambiar equipos obsoletos, mejorar contraseñas, cifrar discos, etc.
  3. Como tercer punto, si hace falta, se ajustan los contenidos de los contratos, políticas y, sobre todo, los procesos para el consentimiento que debe aceptar los titulares.
  4. Así mismo se ajustan todos los procesos para dar respuesta a las peticiones de los titulares y posibles intrusiones de seguridad. Esto se debe realizar con base al diagnóstico previo.
  5. CAPACITACIÓN: Como quito punto proporciona formación regular a los empleados sobre las mejores prácticas de protección de datos y la importancia del cumplimiento.

Documenta resultados y el plan de acción

Finalmente, documenta todas las medidas adoptadas y crea un plan de acción a desarrollar a través del tiempo para mantener y mejorar los procesos en vista al buen cumplimiento de La Ley de Datos personales. Este plan de mejora continua debería contener (es nuestra propuesta):

  • Realizar el diagnóstico previo regularmente.
  • Realizar auditorias internas de forma periódica para verificar la seguridad de los datos.
  • Analizar de forma continua cómo fluyen los datos dentro de la organización, desde su recopilación hasta su eliminación.
  • Capacitar al personal de forma continua.
  • Educar a los usuarios sobre la importancia de la protección de datos y cómo pueden ejercer sus derechos.
  • Actualizar las prácticas en función de cambios en la legislación.

Finalmente, no olvides MANTENER REGISTROS Y DOCUMENTACIÓN ADECUADA PARA DEMOSTRAR EL CUMPLIMIENTO CON LA LEY EN CASO DE AUDITORIAS EXTERNAS.

Comunícate con nosotros para más información, para capacitaciones y la implementación.

Somos la mejor opción