Con la entrada en vigencia de la Ley orgánica de Protección de Datos Personales (En adelante, LOPDP), el Ecuador comienza un camino extenso y complejo para la implementación de un sistema de protección de datos personales.

El desafío de tener un nivel adecuado de protección es sumamente relevante tanto para el país como para el sector corporativo: están en juego la garantía de derechos fundamentales y, también, la dinamización de relaciones económicos con bloques económicos como la Unión Europea, que son sumamente exigentes en lo relativo a las garantías de protección a la hora de efectuar transferencias internacionales de datos personales.

El marco normativo aplicable a la protección de datos personales se traduce en una amplia serie de obligaciones para las empresas, con la posibilidad de incurrir en infracciones con su consecuente sanción, si se incumplen. Si bien el régimen de medidas correctivas y sancionatorio (materia administrativa) entrará en vigencia luego de dos años (en 2023), los derechos son ya exigibles.

Las empresas tienen frente a sí un esquema de obligaciones sumamente complejo que es imposible implementar de la noche a la mañana. Por ello, es necesario empezar ahora mismo el cambio: ¿Cómo empezamos? ¿Qué es necesario tener en cuenta para dar los primeros pasos? En la presente entrada de blog se desarrollarán 3 claves para implementar un marco de protección en su empresa.

  1. VER MÁS ALLÁ DE LAS SANCIONES

Junto a las sanciones existe  una amplia variedad de incentivos, tanto negativos como positivos, para iniciar lo más pronto posible con la implementación de un marco de protección de datos personales en su empresa. Es importante llevar esta conversación “más allá” de simplemente hablar sobre las sanciones. La protección de datos personales puede convertirse en una ventaja competitiva y un elemento diferenciador de la marca corporativa.

La importancia de la protección de datos personales es mucho más que una “carga regulatoria adicional”. Incluso por un momento puede dejarse de lado el muy importante vínculo que tiene de este tema con los derechos fundamentales y tratar un asunto también relevante: ¿Cómo contribuir a alcanzar un nivel adecuado de protección de datos personales en el país?

Como país, tener un nivel adecuado de protección de datos personales es sumamente importante para dinamizar las relaciones económicas con otros países, especialmente con aquellos pertenecientes a la Unión Europea. El caso de este bloque económico es destacable.

En el año 2016 el Ecuador suscribió el Protocolo de Adhesión al Acuerdo Comercial Multipartes con la Unión Europea. El propósito de este acuerdo es “buscar mejores condiciones para el intercambio de bienes y servicios entre los países miembros de la UE y el Estado ecuatoriano; este acuerdo, sin embargo, se ha visto afectado dado que para el intercambio de bienes o servicios, en la mayoría de los casos, se requiere que exista el flujo transfronterizo de datos personales”. Esto está explícitamente señalado en la exposición de motivos de la LOPDP.

Tener un nivel adecuado de protección de datos personales requiere mucho más que la aprobación de una ley especializada: es una cuestión sistémica. Para que el Ecuador sea considerado un país con un nivel de protección adecuado no solo debe contar con una ley sino también con, entre otras cosas:

  • Una autoridad de control con completa y real independencia e imparcialidad.
  • Un sistema de protección con un nivel adecuado de cumplimiento. Lo que implica, entre otras cosas, la existencia de sanciones efectivas y también de responsabilidad proactiva por parte de responsables y encargados del tratamiento.
  • Mecanismos efectivos para hacer ejercer derechos y presentar requerimientos o reclamaciones.

En ese contexto, el rol de las empresas en construir un sistema con un nivel óptimo de protección, va más allá de la adopción de las medidas básicas y obligatorias:

  1. Hay que procurar tener responsabilidad proactiva, ir más allá de los mínimos. E incluso promover una cultura externa, en la sociedad, que tenga conciencia de la relevancia de la protección de datos personales.
  2. Es necesario también una participación activa en la implementación del sistema, planteando observaciones y aportes a las normativas que se preparan sobre la materia e incluso respecto de las políticas públicas. Con ello además puede prevenirse que las autoridades emitan normas o políticas públicas que afecten indebidamente a sector específicos; o, al menos, mitigar su efecto negativo.

La importancia de este segundo punto se dejó claramente ver en el proceso legislativo de aprobación de la LOPDP, donde diversos gremios empresariales plantearon varias observaciones al proyecto de ley y lograron importantes cambios al texto normativo. Un caso destacable es la disminución de la cuantía de las sanciones por infracciones.

En suma, la implementación de un marco de protección de datos personales por parte de las empresas va más allá de evitar multas. Junto con la garantía de derechos fundamentales, está en juego el reconocimiento de que el país ofrece un nivel adecuado de protección, lo cual es un presupuesto básico para dinamizar sus relaciones económicas y abrirse a un mundo cada vez más digital y globalizado.

  1. IMPLEMENTACIÓN INTELIGENTE

Si bien la inacción es el peor escenario, la implementación inadecuada es también una situación que debe evadirse. Para implementar de forma inteligente un marco de protección de datos personales es necesario tener en cuenta las distintas dimensiones de un servicio de asesoría para la protección de datos personales y las acciones que emanan de ellos.

Un servicio de asesoría para la protección de datos personales puede ocuparse tanto de resolver como contener conflictos, lo mismo que prever riesgos e incluso aportar valor a la empresa.

Las distintas dimensiones del servicio y los tipos de acciones que manan de ellos son:

  1. Añadir Valor: acciones proactivas
  2. Prevenir riesgos: acciones preventivas
  3. Contener y resolver conflictos: acciones reactivas

En la implementación de un marco de protección de datos personales se debe comenzar desde la prevención de riesgos caracterizada por las acciones de tipo preventivo. En este punto para la adecuación a la normativa aplicable es necesario abordar el desafío del “mapeo de tratamiento de datos personales” con una perspectiva centrada en procesos de negocio, con ello se puede al tiempo identificar –entre otras cosas- las áreas y servicios involucrados; el flujo que tiene la información, los objetos del proceso de negocio y los principales stakeholders.

Una vez identificados los puntos críticos se puede proceder a seleccionar los procesos que deben rediseñarse primero. Los criterios para esta selección están vinculados principalmente a la salud del proceso, su importancia estratégica y la viabilidad del cambio. El análisis requerido va más allá de solo implicaciones jurídicas.

Una vez se ha rediseñado e implementado los procesos específicos, el monitoreo debe ser continuo. Por tanto esta dimensión del servicio tiene una actividad continua.

Por otro lado, la contención y resolución de conflictos se vincula a procedimientos administrativos y judiciales vinculados a la protección de datos personales.

En lo que respecta a las acciones proactivas, ellas son propias de una dimensión del servicio que está orientada a aportar valor. Esto puede darse, entre otras maneras, del siguiente modo:

  • En el diseño de productos y servicios estructurados en función de privacidad con el acompañamiento del asesor jurídico.
  • En la anticipación del posible direccionamiento que tomará la regulación, especialmente en esta etapa temprana en la que se encuentra el país en el proceso de implementación de un sistema de protección de datos personales.

Como se ha expuesto, la asesoría para la protección de datos personales exige que se aborde la cuestión desde una perspectiva sofisticada que incluye y supera las solas consideraciones jurídicas.

  1. PLANIFICAR Y PROYECTAR UN TRABAJO CONTINUO

Basta con leer las obligaciones relativas a seguridad de datos personales para tener claro que la garantía de la protección de datos personales es un trabajo continuo para la empresa; sin embargo, no está por demás destacar la manera en que esta nueva complejidad debe navegarse.

De forma casi intuitiva se deduce que este trabajo continuo involucrará profesionales de la tecnología de la información especializados en temas de ciberseguridad y privacidad. No obstante, no siempre es completamente evidente que se debe contar con un profesional que asista en la valoración de los riesgos y brinde  acompañamiento a la empresa desde la perspectiva jurídica en la implementación y monitoreo de medidas.

A nivel interno de la empresa, en los casos que la normativa aplicable lo estipula, se debe contar de manera obligatoria con un delegado de protección de datos personales. Dicho delegado desempeñará un rol clave para la operatividad del marco de protección a nivel interno de la empresa, no en vano la LOPDP prevé que su capacitación sea una de las obligaciones de los responsables y encargados del tratamiento de datos personales.

Ahora bien, el alto grado de complejidad que implica la normativa de protección de datos personales bien puede rebasar las posibilidades del delegado, aun cuando esté en capacitación continua y se encuentre asistido por el departamento legal de la empresa (si es que se lo tiene).

Por ello, contar con asesores especializados, incluidos expertos de perfil jurídico, será sumamente importante. Para escoger un asesor jurídico en estos asuntos es recomendable tener en cuenta los siguientes parámetros:

  • Especialización en protección de datos personales: El conocimiento de la normativa y la especialización técnico jurídica en asunto de protección de datos personales son un requisito indispensable pero no suficiente.
  • Optimización de procesos de negocio: La adecuación de los procesos de negocio a los estándares normativos exige que el asesor jurídico tenga, cuanto menos, una formación básica en alguna o varias de las metodologías o aproximaciones para optimización de procesos de negocio.

    Esta exigencia mínima responde a la realidad de que la incorporación progresiva e inteligente de los preceptos de la LOPDP solo es posible por medio de una gestión sofisticada que ayude, entre otras cosas, a establecer cuáles son los puntos más críticos y decidir por qué procesos de negocio se comenzará el proyecto de adecuación a la normativa.

    Si bien no es de esperar que el o los abogados asuman por completo la tarea de rediseñar procesos de negocio, no es menos cierto que conocer de estos temas les permite verdaderamente agregar valor a sus clientes.

  • Gestión de proyectos: La magnitud y complejidad que puede implicar un primer proyecto para empezar “desde 0” la adecuación normativa, hace extremadamente manifiesto que se debe exigir al prestador de servicios de asesoría que establezca parámetros claros que evidencien la adopción de una adecuada gestión de proyectos.

    De otro modo, entre otras cosas, se hace difícil mantenerse dentro de los límites temporales y de presupuesto del proyecto.

  • Tecnología:En una economía predominantemente digital, es imperativo que el asesor sea capaz de tener una comprensión adecuada sobre tecnología en general y las implicaciones y desafíos de uso en la industria a la que pertenezca la empresa en cuestión.

    El parámetro de lo que debe considerarse como “nivel adecuado” no está escrito en piedra pues cada caso en concreto puede requerir un conocimiento más o menos específico y profundo. No es lo mismo desde la perspectiva de tecnología, por ejemplo, el tratamiento de datos en un retail que el tratamiento que se efectúa en una entidad financiera.

    A la par de contar con un asesor adecuado, es necesario proyectar una gestión del cambio orientada a las personas, trabajar en establecer una cultura corporativa de protección de datos personales. Esta segunda tarea es un asunto que no se construye a corto plazo pero definitivamente una vez creada dinamiza las actividades de la empresa.

Los asesores adecuados son clave para planificar y proyectar el trabajo continuo de protección de datos personales. Si a esto se le agrega una cultura corporativa adecuada, se tiene como resultado una fórmula para el éxito, después de todo, no solo hay que tener la mejor planificación y los mejores asesores, sino además ser capaces de implementar debidamente las diferentes medidas, lo cual depende casi por completo del personal de la empresa.

¿CÓMO LE PUEDE AYUDAR M. BODER & ASOCIADOS?

Nuestra área de Tecnología & Diseño de Soluciones Legales, está orientado a la asesoría corporativa en derecho digital, incluida la protección de datos personales, con enfoque en procesos de negocio. Nuestra propuesta de valor para nuestros clientes no solo es una robusta aproximación jurídica a los desafíos de la implementación de un marco de protección de datos personales sino además la incorporación de diseño legal a nuestros servicios.

 El diseño legal consiste en la aplicación del design thinking a contextos jurídicos. Con él es posible aproximarse a la resolución de problemas complejos y no lineales. Se puede aplicar a productos, procesos, servicios, organizaciones e incluso sistemas con el fin de hacerlos más usables, deleitables y centrados en el ser humano.

En M. Bodero & Asociados vamos mucho más allá de simplemente redactar documentos jurídicos, asesorar en la implementación de la normativa aplicable, brindar capacitaciones en protección de datos personales, y demás: diseñamos soluciones legales. Hacemos que nuestros servicios estén a la medida de nuestros clientes y participamos activa y eficientemente para alinear el proyecto de implementación de un marco de protección de datos personales a sus objetivos estratégicos.

Este E-book es una materialización sólida de nuestro trabajo y de cómo el Diseño Legal permite realmente transformar el Derecho y la prestación de servicios legales para hacerlos más centrados en el ser humano.