La Superintendencia de Protección de Datos Personales ha expedido la Norma General de Transferencias o Comunicaciones Nacionales e Internacionales de Datos Personales, que regula los procedimientos y requisitos técnicos y jurídicos necesarios para garantizar el ejercicio de los derechos de protección de datos en el flujo de información.
A continuación, se detallan las obligaciones fundamentales de la nueva normativa y su impacto en la gestión de riesgos organizacionales. Todo Responsable y Encargado debe observar estrictamente lo siguiente:
- Toda transferencia nacional debe contar con una finalidad lícita, una base de legitimación conforme a la LOPDP y, por regla general, el consentimiento informado del titular.
- El receptor de los datos asume la calidad de Responsable del Tratamiento, quedando obligado a respetar las finalidades principales y a no efectuar transferencias posteriores sin una nueva base de legitimación.
La resolución estructura un sistema jerárquico para legitimar el flujo transfronterizo de datos, priorizando los siguientes mecanismos:
- La SPDP podrá declarar que un país, organización o territorio ofrece un nivel de protección equiparable al ecuatoriano. Dicha resolución tendrá una vigencia máxima de cuatro años, sujeta a revisión anual.
- Por mandato comunitario, las transferencias hacia países miembros de la Comunidad Andina (Colombia, Perú y Bolivia) se reconocen automáticamente como flujos con nivel adecuado, sin requerir evaluación adicional.
El Responsable debe implementar garantías que aseguren la protección de los derechos de los titulares. La norma reconoce como garantías adecuadas, las siguientes:
- Las cláusulas contractuales tipo adoptadas o reconocidas por la SPDP, por organismos internacionales de los que el Ecuador fuere parte, o por autoridades de protección de datos de los países con los que la SPDP hubiere suscrito acuerdos de cooperación;
- Las normas corporativas vinculantes por grupos empresariales, filiales o joint ventures, aprobadas por la SPDP de conformidad con el procedimiento aplicable;
- Los códigos de conducta con carácter vinculante, que contaren con la aprobación de la SPDP; y,
- Los mecanismos de certificación emitidos por entidades acreditadas, que incluyan compromisos jurídicamente exigibles y que aseguren el cumplimiento permanente de los estándares de la LOPDP y el RGLOPDP
Cuando los responsables y encargados de tratamiento realizaren transferencias bajo el régimen especial Intra-CAN, deberán adoptar y acreditar la adopción de medidas documentales que demuestren el cumplimiento de las obligaciones de protección de datos, incluidos contratos, políticas internas, análisis de riesgos, evaluaciones de impacto y reportes de seguridad.
Los sujetos obligados disponen de un periodo de doce (12) meses para su debidamente regularización:
- Notificar a la SPDP la existencia de dichas transferencias.
- Presentar un plan de adecuación, detallando las medidas de mitigación y el mecanismo jurídico mediante el cual se ajustará la transferencia (nivel adecuado, garantías o excepción).
Durante este plazo la autoridad no impondrá sanciones por incumplimiento de la obligación de regularización, condicionado a que el Responsable haya efectuado la notificación inicial y presentado el respectivo plan de adecuación.
Dada las nuevas disposiciones y procedimientos de esta normativa, es fundamental realizar una revisión exhaustiva de sus flujos de datos actuales. Si desea obtener más información sobre esta disposición o requiere asistencia para la estructuración de su plan de adecuación, no dude en contactarnos a comunicacionpbp@pbplaw.com
Consejo Editorial
