Sobre la Ley de Protección de Datos Personales (LOPDP)

En el Registro Oficial No. 459 Suplemento se promulgó la Ley Orgánica de Protección de Datos Personales, con fecha 26 de mayo de 2021. La ley tiene por objeto garantizar el ejercicio del derecho a la protección de datos personales, que incluye el acceso y decisión sobre información y datos de este carácter, así como su correspondiente protección. 

¿Sobre qué datos se aplica la Ley de Protección de Datos Personales?

Esta norma define al término dato personal como un dato que identifica o hace identificable a una persona natural, directa o indirectamente. La Ley se aplica al tratamiento de datos personales contenidos en cualquier tipo de soporte, automatizados o no, así como a toda modalidad de uso posterior. Según el artículo 2, la ley no se aplica a:
 

1. Personas naturales que utilicen estos datos en la realización de actividades familiares o domésticas;
2. Personas fallecidas, sin perjuicio de lo establecido en el artículo 28 de la citada Ley;
3. Datos anonimizados, en tanto no sea posible identificar a su titular. Tan pronto los datos dejen de estar disociados o de ser anónimos, su tratamiento estará sujeto al cumplimiento de las obligaciones de esta Ley;
4. Actividades periodísticas y otros contenidos editoriales;
5. Datos personales cuyo tratamiento se encuentre regulado en normativa especializada de igual o mayor jerarquía en materia de gestión de riesgos por desastres naturales; y, seguridad y defensa del Estado;
6. Datos o bases de datos establecidos para la prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, llevado a cabo por los organismos estatales competentes en cumplimiento de sus funciones legales. 
7. Datos que identifican o hacen identificable a personas jurídicas.

Sobre las medidas que deberán implementar las empresas y entidades públicas

Tanto empresas como entidades públicas deberán tomar varias acciones para la implementación de un sistema de protección de datos, con el fin de garantizar el cumplimiento de los derechos de los titulares de datos personales. Según el artículo 47, entre las obligaciones del responsable y encargado del tratamiento de datos personales se encuentran:
 

1. Tratar datos personales en estricto apego a los principios y derechos desarrollados en la Ley;
2. Aplicar e implementar requisitos y herramientas administrativas, técnicas, físicas, organizativas y jurídicas apropiadas, a fin de garantizar y demostrar que el tratamiento de datos personales se ha realizado conforme a lo previsto en la Ley;
3. Aplicar e implementar procesos de verificación, evaluación, valoración periódica de la eficiencia, eficacia y efectividad de los requisitos y herramientas administrativas, Técnicas, físicas, organizativas y jurídicas implementadas;
4. Implementar políticas de protección de datos personales afines al tratamiento de datos personales en cada caso en particular;
5. Utilizar metodologías de análisis y gestión de riesgos adaptadas a las particularidades del tratamiento y de las partes involucradas;
6. Realizar evaluaciones de adecuación al nivel de seguridad previas al tratamiento de datos personales;
7. Tomar medidas tecnológicas, físicas, administrativas, organizativas y jurídicas necesarias para prevenir, impedir, reducir, mitigar y controlar los riesgos y las vulneraciones identificadas;
8. Notificar a la Autoridad de Protección de Datos Personales y al titular de los datos acerca de violaciones a las seguridades implementadas para el tratamiento de datos personales conforme a lo establecido en el procedimiento previsto para el efecto;
9. Implementar la protección de datos personales desde el diseño y por defecto;
10. Suscribir contratos de confidencialidad y manejo adecuado de datos personales con el encargado y el personal a cargo del tratamiento de datos personales o que tenga conocimiento de los datos personales;
11. Registrar y mantener actualizado el Registro Nacional de Protección de Datos Personales;
12. Designar al Delegado de Protección de Datos Personales, en los casos que corresponda;
13. Permitir y contribuir a la realización de auditorías o inspecciones, por parte de un auditor acreditado por la Autoridad de Protección de Datos Personales.

¿Desde qué fecha se podrá aplicar sanciones administrativas por infracciones a la Ley de Protección de Datos Personales?

La primera disposición transitoria de esta norma establece que las disposiciones relacionadas con las medidas correctivas y el régimen sancionatorio entrarán en vigencia en dos años contados a partir de la publicación de esta Ley (26 de mayo de 2021). Por lo tanto, el 26 de mayo de 2023 vence el plazo para que las empresas cumplan con las obligaciones establecidas en esta norma. A partir de esta fecha, las empresas podrán recibir sanciones administrativas por infracciones a la Ley de Protección de Datos Personales.

¿Qué autoridad canalizará los derechos previstos en esta ley?

Según el artículo 6, el ejercicio de los derechos previstos en esta Ley se canalizará a través del responsable del tratamiento, Autoridad de Protección de Datos Personales o jueces competentes. Hasta marzo de 2023, se encuentra pendiente la designación de la Autoridad de Protección Datos Personales, aunque ya se ha conformado la veeduría ciudadana responsable de vigilar el cumplimiento del reglamento de la selección de la autoridad. El Ejecutivo debe enviar una terna al Consejo de Participación Ciudadana y Control Social para la elección de la autoridad.

El Reglamento a la Ley u otra norma secundaria no podrán limitar al ejercicio de los derechos. Hasta el presente, la Ley tampoco cuenta con un reglamento general.

¿Qué dice la Constitución de la República sobre la protección de datos personales?

El artículo 66 numeral 19 de la Constitución de la República reconoce y garantiza a las personas: 

"19. El derecho a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos personales requerirán la autorización del titular o el mandato de ley".
 

Mientras que el artículo 92 de la Constitución de la República prescribe que: 

“Toda persona, por sus propios derechos o como representante legitimado para el efecto, tendrá derecho a conocer de la existencia y acceder a los documentos, datos genéticos, bancos o archivos de datos personales e informes que sobre sí misma, o sobre sus bienes, consten en entidades públicas o privadas, en soporte material o electrónico. Asimismo tendrá derecho a conocer el uso que se haga de ellos, su finalidad, el origen y destino de información personal y el tiempo de vigencia del archivo o banco de datos. Las personas responsables de los bancos o archivos de datos personales podrán difundir la información archivada con autorización de su titular o de la ley. La persona titular de los datos podrá solicitar al responsable el acceso sin costo al archivo, así como la actualización de los datos, su rectificación, eliminación o anulación. En el caso de datos sensibles, cuyo archivo deberá estar autorizado por la ley o por la persona titular, se exigirá la adopción de las medidas de seguridad necesarias. Si no se atendiera su solicitud, ésta podrá acudir a la jueza o juez. La persona afectada podrá demandar por los perjuicios ocasionados”.