La Ley Orgánica de Protección de Datos Personales (LOPDP) fue publicada en el registro oficial en mayo del 2021 estando en vigencia desde entonces, excepto el régimen de sanciones que entrará en vigencia el 26 de mayo de 2023. Durante estos dos años las organizaciones debían desarrollar modelos de protección de datos personales considerando lo establecido en la LOPDP y la responsabilidad proactiva que promueve el uso de buenas prácticas, a fin de implementar un sistema de gestión que establezca controles robustos para minimizar riesgos de privacidad. Patricio Ramón, Risk Assurance Partner de PwC Ecuador, señala: “Muchas empresas todavía no inician los procesos de adecuación de la ley o están en sus fases iniciales. Esto, ¿A qué se debe? Los principales argumentos se refieren a la ausencia de un reglamento de la ley y un ente de control operativo; no obstante, la complejidad de esta implementación es significativa y la duración puede ser extensa, conllevando a potenciales sanciones por incumplimiento una vez que se regularicen los pendientes”. A continuación, algunos aspectos mínimos que deben tener en cuenta las empresas en relación a la protección de datos personales: Definir un responsable, que puede ser el delegado de protección de datos personales, quien se haga cargo del proceso de implementación y posterior administración. Estructurar un esquema documental que incluya la elaboración de avisos de privacidad a ser publicados en los diferentes canales, gestionar la adecuación de contratos, elaborar políticas y procedimientos a nivel interno. Establecer procesos de gobierno de datos, que regularice los procesos de captura a través de consentimientos y otros mecanismos, implemente las medidas técnicas requeridas que respondan a los principios establecidos en la ley. Es fundamental partir de un inventario de tratamientos de datos personales que sea el eje de gestión. Implementar un proceso para atención a las solicitudes de procesamiento efectivo de los derechos del titular como acceso, rectificación, oposición, portabilidad, entre otros. Este es un componente fundamental que debe estar vigente. Fortalecer la seguridad de los datos personales a través de mecanismos de seguridad en aplicaciones, registros físicos y cualquier repositorio que contenga datos personales. Se pueden usar modelos de reconocimiento internacional para implementar controles de seguridad. Gestión de incidentes de privacidad. La ley establece que se debe notificar al ente de control la vulneración de datos, para ello hay que implementar un proceso que identifique, analice, responda y notifique los incidentes sobre los datos. Trabajar con proveedores y otros terceros en la adecuación de contratos y esquemas de monitoreo posterior. Así mismo, fortalecer el proceso de compras para que la adquisición de servicios filtre a proveedores que cumplan la normativa vigente. Concientización y entrenamiento a todos los empleados, proveedores de servicios y actores claves en el tratamiento de datos personales. Existen diversos puntos de vista para abordar la aplicación de la Ley, por un lado un enfoque legal que se orienta a aspectos contractuales y obligaciones concretas establecidas; en otros casos un enfoque mucho más orientado a tecnología, donde el foco es implementar soluciones como sistemas de prevención de fuga de datos. Lo correcto y estratégico es implementar un plan integral, que responda a las necesidades de cada empresa y así generar un balance entre las diferentes iniciativas. Para las organizaciones empiezan los desafíos de administrar un modelo de protección de datos, que responda a la normativa, que minimice el riesgo de sanciones, que genere valor a la operación y permita construir confianza. Fuente: PwC