Ley Orgánica de Protección de Datos Personales
República del Ecuador — Marco Legal para la Protección de la Privacidad
Contenido de esta página
Introducción y Objeto de la Ley
Arts. 1-4, LOPDPObjeto de la Ley
La Ley Orgánica de Protección de Datos Personales (LOPDP) tiene por objeto garantizar y proteger el ejercicio del derecho a la protección de datos de carácter personal de las personas naturales, su derecho a la privacidad, así como el acceso a la información que sobre las mismas conste en bases de datos públicas o privadas.
Esta ley establece los principios, derechos y obligaciones que rigen el tratamiento de datos personales en el Ecuador, creando un marco jurídico moderno alineado con los estándares internacionales, incluyendo el Reglamento General de Protección de Datos (GDPR) de la Unión Europea.
Ámbito de Aplicación
La LOPDP se aplica al tratamiento de datos personales:
Excepciones
No se encuentra dentro del ámbito de aplicación de esta ley:
- Las bases de datos o archivos mantenidos por personas naturales en el ejercicio de actividades exclusivamente personales o domésticas.
- Los tratamientos de datos con fines de seguridad nacional, defensa nacional y seguridad pública, regulados por la ley de la materia.
- La información de agencias de información crediticia (burós de crédito) en lo relacionado con la prestación de servicios de informe comercial, financiero o de riesgos.
Principios Rectores del Tratamiento
Art. 4, LOPDP — Los pilares fundamentalesTodo tratamiento de datos personales debe respetar los siguientes principios rectores. Su incumplimiento puede generar sanciones administrativas y civiles.
Licitud
El tratamiento de datos debe realizarse con respeto a la Constitución y la ley. No se pueden obtener datos personales por medios fraudulentos, desleales o ilícitos.
Finalidad
Los datos deben ser recogidos con fines determinados, explícitos y legítimos. No se permite el tratamiento posterior incompatible con dichos fines.
Proporcionalidad
Solo se deben tratar los datos estrictamente necesarios para la finalidad declarada. Se deben adoptar medidas para mantener los datos actualizados.
Calidad
Los datos deben ser exactos, completos, pertinentes y actualizados para la finalidad del tratamiento.
Seguridad
Se deben implementar medidas técnicas, administrativas y físicas para proteger los datos contra acceso no autorizado, pérdida, alteración o tratamiento indebido.
Confidencialidad
Toda persona que intervenga en el tratamiento de datos personales tiene obligación de guardar secreto profesional y confidencialidad respecto a la información.
Derechos ARCO+ del Titular
Arts. 13-23, LOPDP — Sus derechos como titular de datosLa LOPDP reconoce un conjunto de derechos fundamentales que toda persona puede ejercer respecto al tratamiento de sus datos personales. Estos derechos son irrenunciables.
Acceso
Derecho a solicitar y obtener información sobre qué datos personales están siendo tratados, la finalidad del tratamiento y los destinatarios de los datos.
Rectificación
Derecho a solicitar la corrección, actualización o complemento de datos personales que sean inexactos, incompletos o ambiguos.
Cancelación
Derecho a solicitar la eliminación de sus datos personales cuando estos ya no sean necesarios para la finalidad para la cual fueron recogidos.
Oposición
Derecho a oponerse al tratamiento de sus datos personales para fines específicos, especialmente cuando el tratamiento se basa en el interés legítimo del responsable.
Portabilidad
Derecho a recibir sus datos personales en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento.
Limitación
Derecho a solicitar la suspensión temporal del tratamiento de sus datos personales cuando se impugna la exactitud o licitud del tratamiento.
Bases Legales para el Tratamiento
Arts. 7-8, LOPDP — Cuándo es lícito tratar datos personalesEl tratamiento de datos personales es lícito únicamente cuando se cumple al menos una de las siguientes bases legales:
Consentimiento del titular
El titular otorga su consentimiento libre, específico, expreso e informado para el tratamiento de sus datos. El consentimiento puede ser revocado en cualquier momento (Art. 8).
Ejecución de un contrato
El tratamiento es necesario para la ejecución de un contrato en el que el titular es parte, o para la aplicación de medidas precontractuales a petición del titular.
Cumplimiento de obligación legal
El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.
Protección de intereses vitales
El tratamiento es necesario para proteger intereses vitales del titular o de otra persona física.
Interés legítimo
El tratamiento es necesario para la satisfacción del interés legítimo del responsable o de un tercero, siempre que no se vulneren los derechos y libertades del titular.
El Delegado de Protección de Datos (DPO)
Arts. 31-34, LOPDP — Figura clave de cumplimiento¿Qué es un DPO?
La LOPDP establece la figura del Delegado de Protección de Datos (DPO) como la persona o unidad designada por el responsable o encargado del tratamiento para supervisar y garantizar el cumplimiento de la normativa de protección de datos.
Funciones del DPO
¿Quiénes deben designar un DPO?
La designación de un DPO es obligatoria para:
- Entidades del sector público que traten datos personales
- Empresas cuyo actividad principal requiera la realización de evaluaciones de impacto
- Entidades que realicen tratamiento de datos a gran escala
- Entidades que traten datos sensibles (salud, origen étnico, creencias religiosas, datos biométricos, etc.)
Registro de Actividades de Tratamiento (RAT)
Arts. 26-27, LOPDP — Inventario obligatorio de tratamientos¿Qué es el RAT?
El Registro de Actividades de Tratamiento (RAT) es el inventario documentado que todo responsable y encargado del tratamiento debe mantener, donde se registran todas las operaciones de tratamiento de datos personales que realiza.
Contenido mínimo del RAT
Sanciones y Responsabilidades
Arts. 46-55, LOPDP — Infracciones y sancionesTipos de Infracciones
La LOPDP clasifica las infracciones en tres niveles de gravedad:
- No mantener el RAT actualizado
- No notificar brechas de seguridad dentro del plazo
- No designar DPO cuando es obligatorio
- Obstaculizar la acción de la autoridad
- Tratar datos sin base legal válida
- No atender solicitudes ARCO+ en plazo
- No implementar medidas de seguridad adecuadas
- Transferencias internacionales sin garantías
- Tratar datos sensibles sin autorización
- Obtención de datos por medios ilícitos
- Reincidencia en infracciones graves
- Tratamiento de datos de menores sin consentimiento
¿Necesita asesoría en cumplimiento LOPDP?
Nuestro equipo de expertos en protección de datos puede ayudarle a cumplir con todas las obligaciones de la LOPDP de manera eficiente.