Registro Oficial Suplemento 459 de 26-may.-2021
Ley 0
Registro Oficial Suplemento 459 de 26-may.-2021
Estado: Vigente
ASAMBLEA NACIONAL
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES
PRESIDENCIA DE LA REPÚBLICA DEL ECUADOR
Oficio No. T. 680-SGJ-21-0263
Quito, 21 de mayo de 2021
Señor Ingeniero
Hugo Del Pozo Barrezueta
DIRECTOR DEL REGISTRO OFICIAL
En su despacho
De mi consideración:
Con oficio número PAN-CLC-2021-0384 de 11 de mayo de 2021, el señor Ingeniero César Litardo
Caicedo, Presidente de la Asamblea Nacional, remitió el proyecto de LEY ORGÁNICA DE
PROTECCIÓN DE DATOS PERSONALES.
Dicho proyecto de ley ha sido sancionado por el señor Presidente de la República, el día de hoy, por
lo que, conforme a lo dispuesto en los artículos 137 de la Constitución de la República y 63 de la Ley
Orgánica de la Función Legislativa, se la remito a usted en original y en copia certificada, junto con el
certificado de discusión, para su correspondiente publicación en el Registro Oficial.
Adicionalmente, agradeceré a usted que, una vez realizada la respectiva publicación, se sirva remitir
el ejemplar original a la Asamblea Nacional para los fines pertinentes.
Atentamente,
Dra. Johana Pesántez Benítez
SECRETARIA GENERAL JURÍDICA
C.C.: señora Abogada Guadalupe Llori Abarca, PRESIDENTA DE LA ASAMBLEA NACIONAL
Adjunto lo indicado
CERTIFICACIÓN
En mi calidad de Secretario General de la Asamblea Nacional, me permito CERTIFICAR que los días
09 y 11 de febrero 2021, la Asamblea Nacional discutió en primer debate el "PROYECTO LEY
ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES" y, en segundo debate el día 10 de mayo
de 2021, siendo en esta última fecha finalmente aprobado.
Quito, 11 de mayo de 2021.
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES - Página 1
Dr. Javier Rubio Duque
Secretario General.
EL PLENO
Que, el artículo 1 de la Constitución de la República dispone que el "Estado ecuatoriano es un
Estado constitucional de derechos y justicia, social, democrático (...)";
Que, el artículo 3 en sus numerales 1, 5 y 8 de la Carta Magna determinan que son deberes
primordiales del Estado "1. Garantizar sin discriminación alguna el efectivo goce de los derechos
establecidos en la Constitución y en los instrumentos internacionales, en particular la educación, la
salud, la alimentación, la seguridad social y el agua para sus habitantes. 5. Planificar el desarrollo
nacional, erradicar la pobreza, promover el desarrollo sustentable y la redistribución equitativa de los
recursos y la riqueza, para acceder al buen vivir. 8. Garantizar a sus habitantes el derecho a una
cultura de paz, a la seguridad integral y a vivir en una sociedad democrática y libre de corrupción.";
Que, el numeral 1 del artículo 11 de la Norma Suprema establece que "Los derechos se podrán
ejercer, promover y exigir de forma individual o colectiva, ante las autoridades competentes; estas
autoridades garantizarán su cumplimiento.";
Que, el numeral 2 del artículo 11 de la Norma Suprema prescribe que "Todas las personas son
iguales y gozarán de los mismos derechos y oportunidades";
Que, el numeral 3 del artículo 11 de la Constitución de la República preceptúa que "Los derechos y
garantías establecidas en la Constitución y en los instrumentos internacionales de derechos
humanos serán de directa e inmediata aplicación por y ante cualquier servidora o servidor público,
administrativo o judicial, de oficio o a petición de parte";
Que, el numeral 8 del artículo 11 de la Norma Suprema dispone que: "El contenido de los derechos y
garantías establecidos en la Constitución y en los instrumentos internacionales de derechos
humanos, no excluirá los demás derechos derivados de la dignidad de las personas, comunidades,
pueblos y nacionalidades, que sean necesarios para su pleno desenvolvimiento. Será
inconstitucional cualquier acción u omisión de carácter regresivo que disminuya, menoscabe o anule
injustificadamente el ejercicio de los derechos";
Que, el artículo 16 numerales 1 y 2 de la Carta Magna determina que "Todas las personas, en forma
individual o colectiva, tienen derecho a: 1. Una comunicación libre, intercultural, incluyente, diversa y
participativa, en todos los ámbitos de la interacción social, por cualquier medio y forma, en su propia
lengua y con sus propios símbolos; 2. El acceso universal a las tecnologías de información y
comunicación";
Que, el artículo 17 numeral 2 de la Norma Suprema preceptúa que "El Estado fomentará pluralidad y
la diversidad en la comunicación, y al efecto: 2. Facilitará la creación y el fortalecimiento de medios
de comunicación públicos, privados y comunitarios, así como el acceso universal a las tecnologías
de la información y comunicación en especial para las personas y colectividades que carezcan de
dicho acceso o lo tengan de forma limitada";
Que, el artículo 26 de la Constitución de la República reconoce que "La educación es un derecho de
las personas a lo largo de su vida y un deber inexcusable el Estado. Constituye un área prioritaria de
la política pública y de la inversión estatal, garantía de la igualdad e inclusión social y condición
indispensable para el buen vivir. Las personas, las familias y la sociedad tienen el derecho y la
responsabilidad de participar en el proceso educativo";
Que, el artículo 35 de la Carta Magna establece que "Las personas adultas mayores, niñas, niños y
adolescentes, mujeres embarazadas, personas con discapacidad, personas privadas de libertad y
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES - Página 2
quienes adolezcan de enfermedades catastróficas o de alta complejidad, recibirán atención prioritaria
y especializada en los ámbitos públicos y privado. La misma atención prioritaria recibirán las
personas en situación de riesgo, las víctimas de violencia doméstica y sexual, maltrato infantil,
desastres naturales o antropogénicos. El Estado prestará especial protección a las personas en
condición de doble vulnerabilidad ";
Que, el artículo 44 de la Norma Suprema dispone que "El Estado, la sociedad, y la familia
promoverán de forma prioritaria el desarrollo integral de los niñas, niños y adolescentes, y
asegurarán el ejercicio pleno de sus derechos, se atenderá al principio de su interés superior y sus
derechos prevalecerán sobre los de las demás personas. Las niñas, niños y adolescentes tendrán
derecho a su desarrollo integral, entendido como proceso de crecimiento, maduración y despliegue
de su intelecto y de sus capacidades, potencialidades y aspiraciones, en un entorno familiar, escolar,
social y comunitario de efectividad y seguridad. Este entorno permitirá la satisfacción de sus
necesidades sociales, afectivo-emocionales y culturales, con el apoyo de políticas intersectoriales
nacionales y locales.";
Que, el artículo 66 numeral 19 de la Constitución de la República reconoce y garantiza a las
personas: "19. El derecho a la protección de datos carácter personal, que incluye el acceso y la
decisión sobre información y datos de este carácter, así como su correspondiente protección. La
recolección, archivo, procesamiento, distribución o difusión de estos datos personales requerirán la
autorización del titular o el mandato de ley";
Que, el numeral 6 del artículo 76 de la Carta Magna determina que "En todo proceso que se
determinen derechos y obligaciones de cualquier orden, se asegurará el derecho al debido proceso
que incluirá las siguientes garantías básicas: 6. La ley establecerá la debida proporcionalidad entre
las infracciones y las sanciones penales, administrativas o de otra naturaleza.";
Que, el artículo 92 de la Norma Suprema prescribe que: "Toda persona, por sus propios derechos o
como representante legitimado para el efecto, tendrá derecho a conocer de la existencia y acceder a
los documentos, datos genéticos, bancos o archivos de datos personales e informes que sobre sí
misma, o sobre sus bienes, consten en entidades públicas o privadas, en soporte material o
electrónico. Asimismo tendrá derecho a conocer el uso que se haga de ellos, su finalidad, el origen y
destino de información personal y el tiempo de vigencia del archivo o banco de datos. Las personas
responsables de los bancos o archivos de datos personales podrán difundir la información archivada
con autorización de su titular o de la ley. La persona titular de los datos podrá solicitar al responsable
el acceso sin costo al archivo, así como la actualización de los datos, su rectificación, eliminación o
anulación. En el caso de datos sensibles, cuyo archivo deberá estar autorizado por la ley o por la
persona titular, se exigirá la adopción de las medidas de seguridad necesarias. Si no se atendiera su
solicitud, ésta podrá acudir a la jueza o juez. La persona afectada podrá demandar por los perjuicios
ocasionados";
Que, el artículo 227 de la Constitución de la República establece que: "La administración pública
constituye un servicio a la colectividad que se rige por los principios de eficacia, eficiencia, calidad,
jerarquía, desconcentración, descentralización, coordinación, participación, planificación,
transparencia y evaluación.";
Que, el artículo 277 de la Constitución de la República determina que: "Para la consecución del buen
vivir, serán deberes generales del Estado: 1. Garantizar los derechos de las personas, las
colectividades y la naturaleza; 2. Dirigir, planificar y regular el proceso de desarrollo; 3. Generar y
ejecutar las políticas públicas y controlar y sancionar su incumplimiento; 4. Producir bienes, crear y
mantener infraestructura y proveer servicios públicos; 5. Impulsar el desarrollo de las actividades
económicas mediante un orden jurídico e instituciones políticas que las promuevan, fomenten y
defiendan mediante el cumplimiento de la Constitución y la ley; 6. Promover e impulsar la ciencia, la
tecnología, las artes, los saberes ancestrales y en general las actividades de la iniciativa creativa,
comunitaria, asociativa, cooperativa y privada.";
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES - Página 3
Que, el artículo 417 de la Norma Suprema dispone que "Los tratados internacionales ratificados por
el Ecuador se sujetarán a lo establecido en la Constitución. En el caso de los tratados y otros
instrumentos internacionales de derechos humanos se aplicarán los principios pro ser humano, de no
restricción de derechos, de aplicabilidad directa y de cláusula abierta establecida en la Constitución";
Que, el numeral 3 del artículo 423 de la Constitución de la República prevé que "La integración en
especial con los países de Latinoamérica y el Caribe será un objetivo estratégico del Estado. En
todas las instancias y procesos de integración, el Estado ecuatoriano se comprometerá a 3
Fortalecer la armonización de las legislaciones nacionales con énfasis en los derechos (...), de
acuerdo con los principios de progresividad y no regresividad.";
Que, el artículo 424 de la Carta Magna prescribe que "La Constitución es la norma suprema y
prevalece sobre cualquier otra del ordenamiento jurídico. Las normas y los actos del poder público
deberán mantener conformidad con las disposiciones constitucionales, en caso contrario carecerán
de eficacia jurídica. La Constitución y los tratados internacionales de derechos humanos ratificados
por el Estado que reconozcan derechos más favorables a los contenidos en la Constitución,
prevalecerán sobre cualquier otra norma jurídica o acto del poder público.";
Que, la Resolución 45/95 de 14 de diciembre de 1990 de la Organización de las Naciones Unidas
adopta principios rectores para la reglamentación de los ficheros computarizados de datos
personales, garantías mínimas que deberán preverse en legislaciones nacionales para efectivizar
este derecho;
Que, uno de los ejes de la Estrategia acordada en el año 2016 de la red Iberoamericana de Datos
Personales 2020 consiste en "Impulsar y contribuir al fortalecimiento y adecuación de los procesos
regulatorios en la región, mediante la elaboración de directrices que sirvan de parámetros para
futuras regulaciones o para revisión de las existentes en materia de protección de datos personales";
Que, el 20 de junio de 2017 se aprobaron los Estándares de Protección de Datos Personales para
los Estados Iberoamericanos;
Que, el Comité Jurídico Interamericano de la Organización de Estados Americanos adoptó la
propuesta de declaración de principios de privacidad y protección de datos personales en las
Américas;
Que, la Organización de Estados Americanos el 27 de marzo de 2015 desarrolló el Proyecto de Ley
Modelo sobre Protección de datos Personales;
Que, la protección de datos personales forma parte de los ejes estratégicos para la construcción de
la sociedad de la información y el conocimiento en el Ecuador conforme el Libro Blanco de la
Sociedad de la Información y del Conocimiento 2018;
Que, la Acción Estratégica clave del enfoque para Gobierno de protección de datos personales del
Eje 6 del Plan Nacional de la Sociedad de la Información y del Conocimiento 2018-2021, es
"Promulgar una ley orgánica de protección de datos personales para garantizar el derecho
constitucional.";
Que, el principio de Legalidad de la Carta Iberoamericana de Gobierno Electrónico del año 2007
establece que "(...) el uso de comunicaciones electrónicas promovidas por la Administración Pública
deberá tener observancia de las normas en materia de protección de datos personales", con el
objetivo de precautelar el derecho que tienen los ciudadanos a relacionarse electrónicamente con el
Estado;
Que, la Estrategia 3 del Programa de Gobierno Abierto del Plan Nacional de Gobierno Electrónico
apunta a "Impulsar la protección de la información y datos personales"; y,
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES - Página 4
En uso de la atribución que le confiere el número 6 del artículo 120 de la Constitución de la
República, expide la siguiente:
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES
ÁMBITO DE APLICACIÓN INTEGRAL
a la protección de datos personales, que incluye el acceso y decisión sobre información y datos de
este carácter, así como su correspondiente protección, Para dicho efecto regula, prevé y desarrolla
principios, derechos, obligaciones y mecanismos de tutela.
contenidos en cualquier tipo de soporte, automatizados o no, así como a toda modalidad de uso
posterior. La ley no será aplicable a:
domésticas;
estar disociados o de ser anónimos, su tratamiento estará sujeto al cumplimiento de las obligaciones
de esta ley, especialmente la de contar con una base de licitud para continuar tratando los datos de
manera no anonimizada o disociada;
mayor jerarquía en materia de gestión de riesgos por desastres naturales; y, seguridad y defensa del
Estado, en cualquiera de estos casos deberá darse cumplimiento a los estándares internacionales en
la materia de derechos humanos y a los principios de esta ley, y como mínimo a los criterios de
legalidad, proporcionalidad y necesidad;
de infracciones penales o de ejecución de sanciones penales, llevado a cabo por los organismos
estatales competentes en cumplimiento de sus funciones legales. En cualquiera de estos casos
deberá darse cumplimiento a los estándares internacionales en la materia de derechos humanos y a
los principios de esta ley, y como mínimo a los criterios de legalidad, proporcionalidad y necesidad; y
Son accesibles al público y susceptibles de tratamiento los datos personales referentes al contacto
de profesionales y los datos de comerciantes, representantes y socios y accionistas de personas
jurídicas y servidores públicos, siempre y cuando se refieran al ejercicio de su profesión, oficio, giro
de negocio, competencias, facultades, atribuciones o cargo y se trate de nombres y apellidos,
funciones o puestos desempeñados, dirección postal o electrónica, y, número de teléfono
profesional. En el caso de los servidores públicos, además serán de acceso público y susceptibles
de tratamiento de datos, el histórico y vigente de la declaración patrimonial y de su remuneración.
internacionales ratificados por el Estado ecuatoriano que versen sobre esta materia, se aplicará la
presente Ley cuando:
cualquier parte del territorio nacional;
responsable o encargado no establecido en el Ecuador, cuando las actividades del tratamiento estén
relacionadas con: 1) La oferta de bienes o servicios a dichos titulares, independientemente de si a
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES - Página 5
estos se les requiere su pago, o, 2) del control de su comportamiento, en la medida en que este
tenga lugar en el Ecuador; y,
nacional, le resulte aplicable la legislación nacional en virtud de un contrato o de las regulaciones
vigentes del derecho internacional público.
las siguientes definiciones:
Autoridad de Protección de Datos Personales: Autoridad pública independiente encargada de
supervisar la aplicación de la presente ley, reglamento y resoluciones que ella dicte, con el fin de
proteger los derechos y libertades fundamentales de las personas naturales, en cuanto al tratamiento
de sus datos personales.
Anonimización: La aplicación de medidas dirigidas a impedir la identificación o reidentificación de una
persona natural, sin esfuerzos desproporcionados.
Base de datos o fichero: Conjunto estructurado de datos cualquiera que fuera la forma, modalidad de
creación, almacenamiento, organización, tipo de soporte, tratamiento, procesamiento, localización o
acceso, centralizado, descentralizado o repartido de forma funcional o geográfica.
Consentimiento: Manifestación de la voluntad libre, específica, informada e inequívoca, por el que el
titular de los datos personales autoriza al responsable del tratamiento de los datos personales a
tratar los mismos.
Dato biométrico: Dato personal único, relativo a las características físicas o fisiológicas, o conductas
de una persona natural que permita o confirme la identificación única de dicha persona, como
imágenes faciales o datos dactiloscópicos, entre otros.
Dato genético: Dato personal único relacionado a características genéticas heredadas o adquiridas
de una persona natural que proporcionan información única sobre la fisiología o salud de un
individuo.
Dato personal: Dato que identifica o hace identificable a una persona natural, directa o
indirectamente.
Datos personales crediticios: Datos que integran el comportamiento económico de personas
naturales, para analizar su capacidad financiera.
Datos relativos a: etnia, identidad de género, identidad cultural, religión, ideología, filiación política,
pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos,
datos relativos a las personas apátridas y refugiados que requieren protección internacional, y
aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar
contra los derechos y libertades fundamentales.
Datos relativos a la salud: datos personales relativos a la salud física o mental de una persona,
incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de
salud.
Datos sensibles: Datos relativos a: etnia, identidad de género, identidad cultural, religión, ideología,
filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos,
datos genéticos y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o
puedan atentar contra los derechos y libertades fundamentales.
Delegado de protección de datos: Persona natural encargada de informar al responsable o al
encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así
como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la Autoridad de
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES - Página 6
Protección de Datos Personales, sirviendo como punto de contacto entre esta y la entidad
responsable del tratamiento de datos.
Destinatario: Persona natural o jurídica que ha sido comunicada con datos personales.
Elaboración de perfiles: Todo tratamiento de datos personales que permite evaluar, analizar o
predecir aspectos de una persona natural para determinar comportamientos o estándares relativos a:
rendimiento profesional, situación económica, salud, preferencias personales, intereses, Habilidad,
ubicación, movimiento físico de una persona, entre otros.
Encargado del tratamiento de datos personales: Persona natural o jurídica, pública o privada,
autoridad pública, u otro organismo que solo o conjuntamente con otros trate datos personales a
nombre y por cuenta de un responsable de tratamiento de datos personales.
Entidad Certificadora: Entidad reconocida por la Autoridad de Protección de Datos Personales, que
podrá, de manera no exclusiva, proporcionar certificaciones en materia de protección de datos
personales.
Fuente accesible al público: Bases de datos que pueden ser consultadas por cualquier persona, cuyo
acceso es público, incondicional y generalizado.
Responsable de tratamiento de datos personales: persona natural o jurídica, pública o privada,
autoridad pública, u otro organismo, que solo o conjuntamente con otros decide sobre la finalidad y el
tratamiento de datos personales.
Sellos de protección de datos personales: Acreditación que otorga la entidad certificadora al
responsable o al encargado del tratamiento de datos personales, de haber implementado mejores
prácticas en sus procesos, con el objetivo de promover la confianza del titular, de conformidad con la
normativa técnica emitida por la Autoridad de Protección de Datos Personales.
Seudonimización: Tratamiento de datos personales de manera tal que ya no puedan atribuirse a un
titular sin utilizar información adicional, siempre que dicha información adicional, figure por separado
y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no
se atribuyan a una persona física identificada o identificable.
Titular: Persona natural cuyos datos son objeto de tratamiento.
Transferencia o comunicación: Manifestación, declaración, entrega, consulta, interconexión, cesión,
transmisión, difusión, divulgación o cualquier forma de revelación de datos personales realizada a
una persona distinta al titular, responsable o encargado del tratamiento de datos personales. Los
datos personales que comuniquen deben ser exactos, completos y actualizados.
Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya
sea por procedimientos técnicos de carácter automatizado, parcialmente automatizado o no
automatizado, tales como: la recogida, recopilación, obtención, registro, organización, estructuración,
conservación, custodia, adaptación, modificación, eliminación, indexación, extracción, consulta,
elaboración, utilización, posesión, aprovechamiento, distribución, cesión, comunicación o
transferencia, o cualquier otra forma de habilitación de acceso, cotejo, interconexión, limitación,
supresión, destrucción y, en general, cualquier uso de datos personales.
Vulneración de la seguridad de los datos personales: Incidente de seguridad que afecta la
confidencialidad, disponibilidad o integridad de los datos personales.
protección de datos personales, los siguientes:
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES - Página 7
se canalizará a través del responsable del tratamiento, Autoridad de Protección de Datos Personales
- jueces competentes, de conformidad con el procedimiento establecido en la presente Ley y su
respectivo Reglamento de aplicación. El Reglamento a esta Ley u otra norma secundaria no podrán
limitar al ejercicio de los derechos.
alguna de las siguientes condiciones:
finalidades especificas;
principios de la presente ley;
interés público o en el ejercicio de poderes públicos conferidos al responsable, derivados de una
competencia atribuida por una norma con rango de ley, sujeto al cumplimiento de los estándares
internacionales de derechos humanos aplicables a la materia, al cumplimiento de los principios de
esta ley y a los criterios de legalidad, proporcionalidad y necesidad;
obligaciones contractuales perseguidas por el responsable del tratamiento de datos personales,
encargado del tratamiento de datos personales o por un tercero legalmente habilitado;
integridad;
prevalezca el interés o derechos fundamentales de los titulares al amparo de lo dispuesto en esta
norma.
manifestación de la voluntad del titular para hacerlo. El consentimiento será válido, cuando la
manifestación de la voluntad sea:
transparencia,
titular.
El consentimiento podrá revocarse en cualquier momento sin que sea necesaria una justificación,
para lo cual el responsable del tratamiento de datos personales establecerá mecanismos que
garanticen celeridad, eficiencia, eficacia y gratuidad, así como un procedimiento sencillo, similar al
proceder con el cual recabó el consentimiento.
El tratamiento realizado antes de revocar el consentimiento es lícito, en virtud de que este no tiene
efectos retroactivos.
Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES - Página 8
pluralidad de finalidades será preciso que conste que dicho consentimiento se otorga para todas
ellas.
legítimo:
de la finalidad.
la protección de datos en el cual se verificará si no hay amenazas concretas a las expectativas
legítimas de los titulares y a sus derechos fundamentales.
PRINCIPIOS
los instrumentos internacionales ratificados por el Estado u otras normas jurídicas, la presente Ley se
regirá por los principios de:
principios, derechos y obligaciones establecidas en la Constitución, los instrumentos internacionales,
la presente Ley, su Reglamento y la demás normativa y jurisprudencia aplicable.
quedar claro que se están recogiendo, utilizando, consultando o tratando de otra manera, datos
personales que les conciernen, así como las formas en que dichos datos son o serán tratados.
En ningún caso los datos personales podrán ser tratados a través de medios o para fines, ilícitos o
desleales.
información o comunicación relativa a este tratamiento deberá ser fácilmente accesible y fácil de
entender y se deberá utilizar un lenguaje sencillo y claro.
Las relaciones derivadas del tratamiento de datos personales deben ser transparentes y se rigen en
función de las disposiciones contenidas en la presente Ley, su reglamento y demás normativa
atinente a la materia.
comunicadas al titular: no podrán tratarse datos personales con fines distintos para los cuales fueron
recopilados, a menos que concurra una de las causales que habiliten un nuevo tratamiento conforme
los supuestos de tratamiento legítimo señalados en esta ley.
El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos
inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial. Para
ello, habrá de considerarse el contexto en el que se recogieron los datos, la información facilitada al
titular en ese proceso y, en particular, las expectativas razonables del titular basadas en su relación
con el responsable en cuanto a su uso posterior, la naturaleza de los datos personales, las
consecuencias para los titulares del tratamiento ulterior previsto y la existencia de garantías
adecuadas tanto en la operación de tratamiento original como en la operación de tratamiento ulterior
prevista.
estar limitados a lo estrictamente necesario para el cumplimiento de la finalidad del tratamiento.
y no excesivo con relación a las finalidades para las cuales hayan sido recogidos o a la naturaleza
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES - Página 9
misma, de las categorías especiales de datos.
sigilo y secreto, es decir, no debe tratarse o comunicarse para un fin distinto para el cual fueron
recogidos, a menos que concurra una de las causales que habiliten un nuevo tratamiento conforme
los supuestos de tratamiento legítimo señalados en esta ley.
Para tal efecto, el responsable del tratamiento deberá adecuar las medidas técnicas organizativas
para cumplir con este principio.
íntegros, precisos, completos, comprobables, claros; y, de ser el caso, debidamente actualizados; de
tal forma que no se altere su veracidad. Se adoptarán todas las medidas razonables para que se
supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines
para los que se tratan.
En caso de tratamiento por parte de un encargado, la calidad y exactitud será obligación del
responsable del tratamiento de datos personales.
Siempre que el responsable del tratamiento haya adoptado todas las medidas razonables para que
se supriman o rectifiquen sin dilación, no le será imputable la inexactitud de los datos personales,
con respecto a los fines para los que se tratan, cuando los datos inexactos:
aplicables al sector de actividad al que pertenezca el responsable del tratamiento establecieran la
posibilidad de intervención de un intermediario que recoja en nombre propio los datos de los
afectados para su transmisión al responsable.
para cumplir con la finalidad de su tratamiento.
Para garantizar que los datos personales no se conserven más tiempo del necesario, el responsable
del tratamiento establecerá plazos para su supresión o revisión periódica.
La conservación ampliada de tratamiento de datos personales únicamente se realizará con fines de
archivo en interés público, fines de investigación científica, histórica o estadística, siempre y cuando
se establezcan las garantías de seguridad y protección de datos personales, oportunas y necesarias,
para salvaguardar los derechos previstos en esta norma.
personales deberán implementar todas las medidas de seguridad adecuadas y necesarias,
entendiéndose por tales las aceptadas por el estado de la técnica, sean estas organizativas, técnicas
- de cualquier otra índole, para proteger los datos personales frente a cualquier riesgo, amenaza,
vulnerabilidad, atendiendo a la naturaleza de los datos de carácter personal, al ámbito y el contexto.
deberá acreditar el haber implementado mecanismos para la protección de datos personales; es
decir, el cumplimiento de los principios, derechos y obligaciones establecidos en la presente Ley,
para lo cual, además de lo establecido en la normativa aplicable, podrá valerse de estándares,
mejores prácticas, esquemas de auto y coregulación, códigos de protección, sistemas de
certificación, sellos de protección de datos personales o cualquier otro mecanismo que se determine
adecuado a los fines, la naturaleza del dato personal o el riesgo del tratamiento.
El responsable del tratamiento de datos personales está obligado a rendir cuentas sobre el
tratamiento al titular y a la Autoridad de Protección de Datos Personales.
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES - Página 10
El responsable del tratamiento de datos personales deberá evaluar y revisar los mecanismos que
adopte para cumplir con el principio de responsabilidad de forma continua y permanente, con el
objeto de mejorar su nivel de eficacia en cuanto a la aplicación de la presente Ley.
ordenamiento jurídico o contractuales, aplicables a la protección de datos personales, los
funcionarios judiciales y administrativos las interpretarán y aplicarán en el sentido más favorable al
titular de dichos datos.
personales, y en cumplimiento de las obligaciones de protección de los derechos que tiene el
Estado, la Autoridad de Protección de Datos deberá ejercer un control independiente, imparcial y
autónomo, así como llevar a cabo las respectivas acciones de prevención, investigación y sanción.
DERECHOS
normativa especializada en materia de ejercicio de la libertad de expresión, sectores regulados por
normativa específica, gestión de riesgos, desastres naturales, seguridad nacional y defensa del
Estado; y, los datos personales que deban proporcionarse a autoridades administrativas o judiciales
en virtud de solicitudes y órdenes amparadas en competencias atribuidas en la normativa vigente,
estarán sujetos a los principios establecidos en sus propias normas y los principios establecidos en
esta Ley, en los casos que corresponda y sea de aplicación favorable. En todo caso deberá darse
cumplimiento a los estándares internacionales en la materia de derechos humanos y a los principios
de esta ley, y como mínimo a los criterios de legalidad, proporcionalidad y necesidad.
conforme los principios de lealtad y transparente por cualquier medio sobre:
dirección del domicilio legal, número de teléfono y correo electrónico;
personales, que incluirá: dirección domiciliaria, número de teléfono y correo electrónico;
pretenda realizar, incluyendo los destinatarios y sus clases, así como las finalidades que motivan la
realización de estas y las garantías de protección establecidas;
rectificación y actualización, oposición, anulación, limitación del tratamiento y a no ser objeto de una
decisión basada únicamente en valoraciones automatizadas.
Autoridad de Protección de Datos Personales, y;
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES - Página 11
En el caso que los datos se obtengan directamente del titular, la información deberá ser comunicada
de forma previa a este, es decir, en el momento mismo de la recogida del dato personal.
Cuando los datos personales no se obtuvieren de forma directa del titular o fueren obtenidos de una
fuente accesible al público, el titular deberá ser informado dentro de los siguientes treinta (30) días o
al momento de la primera comunicación con el titular, cualquiera de las dos circunstancias que
ocurra primero. Se le deberá proporcionar información expresa, inequívoca, transparente, inteligible,
concisa, precisa y sin barreras técnicas.
La información proporcionada al titular podrá transmitirse de cualquier modo comprobable en un
lenguaje claro, sencillo y de fácil comprensión, de preferencia propendiendo a que pueda ser
accesible en la lengua de su elección.
En el caso de productos o servicios dirigidos, utilizados o que pudieran ser utilizados por niñas, niños
y adolescentes, la información a la que hace referencia el presente artículo será proporcionada a su
representante legal conforme a lo dispuesto en la presente Ley.
responsable de tratamiento acceso a todos sus datos personales y a la información detallada en el
artículo precedente, sin necesidad de presentar justificación alguna. El responsable del tratamiento
de datos personales deberá establecer métodos razonables que permitan el ejercicio de este
derecho, el cual deberá ser atendido dentro del plazo de quince (15) días.
El derecho de acceso no podrá ejercerse de forma tal que constituya abuso del derecho.
del tratamiento la rectificación y actualización de sus datos personales inexactos o incompletos.
Para tal efecto, el titular deberá presentar los justificativos del caso, cuando sea pertinente. El
responsable de tratamiento deberá atender el requerimiento en un plazo de quince (15) días y en
este mismo plazo, deberá informar al destinatario de los datos, de ser el caso, sobre la rectificación,
a fin de que lo actualice.
suprima sus datos personales, cuando:
específicos, sin necesidad de que medie justificación alguna; o,
El responsable del tratamiento de datos personales implementará métodos y técnicas orientadas a
eliminar, hacer ilegible, o dejar irreconocibles de forma definitiva y segura los datos personales. Esta
obligación la deberá cumplir en el plazo de quince (15) días de recibida la solicitud por parte del
titular y será gratuito.
datos personales, en los siguientes casos:
de información pública, de interés público o cuyo tratamiento está ordenado por la ley.
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES - Página 12
derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan,
incluida la elaboración de perfiles; en cuyo caso los datos personales dejarán de ser tratados para
dichos fines.
concurrencia de un interés legítimo, previsto en el artículo 7, y se justifique en una situación concreta
personal del titular, siempre que una ley no disponga lo contrario.
El responsable de tratamiento dejará de tratar los datos personales en estos casos, salvo que
acredite motivos legítimos e imperiosos para el tratamiento que prevalezcan sobre los intereses, los
derechos y las libertades del titular, o para la formulación, el ejercicio o la defensa de reclamaciones.
Esta solicitud deberá ser atendida dentro del plazo de quince (15) días.
sus datos personales en un formato compatible, actualizado, estructurado, común, inter-operable y
de lectura mecánica, preservando sus características; o a transmitirlos a otros responsables. La
Autoridad de Protección de Datos Personales deberá dictar la normativa para el ejercicio del derecho
a la portabilidad.
El titular podrá solicitar que el responsable del tratamiento realice la transferencia o comunicación de
sus datos personales a otro responsable del tratamiento en cuanto fuera técnicamente posible y sin
que el responsable pueda aducir impedimento de cualquier orden con el fin de ralentizar el acceso, la
transmisión o reutilización de datos por parte del titular o de otro responsable del tratamiento. Luego
de completada la transferencia de datos, el responsable que lo haga procederá a su eliminación,
salvo que el titular disponga su conservación. El responsable que ha recibido la información asumirá
las responsabilidades contempladas en esta Ley.
Para que proceda el derecho a la portabilidad de datos es necesario que se produzca al menos una
de las siguientes condiciones:
uno o varios fines específicos. La transferencia o comunicación se hará entre responsables del
tratamiento de datos personales cuando la operación sea técnicamente posible; en caso contrario los
datos deberán ser transmitidos directamente al titular.
reglamento de la presente ley; o,
del responsable o encargado del tratamiento de datos personales, o del titular en el ámbito del
derecho laboral y seguridad social.
Esta transferencia o comunicación debe ser económica y financieramente eficiente, expedita y sin
trabas.
No procederá este derecho cuando se trate de información inferida, derivada, creada, generada u
obtenida a partir del análisis o tratamiento efectuado por el responsable del tratamiento de datos
personales con base en los datos personales proporcionados por el titular, como es el caso de los
datos personales que hubieren sido sometidos a un proceso de personalización, recomendación,
categorización o creación de perfiles.
y portabilidad.-Excepciones a los derechos de rectificación, actualización, eliminación, oposición,
anulación y portabilidad. No proceden los derechos de rectificación, actualización, eliminación,
oposición, anulación y portabilidad, en los siguientes casos:
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES - Página 13
debidamente acreditado;
mandato motivado de autoridad pública competente;
ello sea acreditado por el responsable de la base de datos al momento de dar respuesta al titular a
su solicitud de ejercicio del derecho respectivo;
notificadas;
natural;
internacionales de derechos humanos aplicables a la materia, al cumplimiento de los principios de
esta ley y a los criterios de legalidad, proporcionalidad y necesidad;
constituya patrimonio del Estado, investigación científica, histórica o estadística.
del tratamiento la suspensión del tratamiento de los datos, cuando se cumpla alguna de las
condiciones siguientes:
tratamiento verifica la exactitud de los mismos;
en su lugar la limitación de su uso;
interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones; y,
mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.
De existir negativa por parte del responsable o encargado del tratamiento de datos personales, y el
titular recurra por dicha decisión ante la Autoridad de Protección de Datos Personales, esta
suspensión se extenderá hasta la resolución del procedimiento administrativo.
Cuando el titular impugne la exactitud de los datos personales, mientras el responsable de
tratamiento verifica la exactitud de los mismos, deberá colocarse en la base de datos, en donde
conste la información impugnada, que ésta ha sido objeto de inconformidad por parte del titular.
El responsable de tratamiento podrá tratar los datos personales, que han sido objeto del ejercicio del
presente derecho por parte del titular, únicamente, en los siguientes supuestos: para la formulación,
el ejercicio o la defensa de reclamaciones; con el objeto de proteger los derechos de otra persona
natural o jurídica o por razones de interés pública importante.
automatizadas.-El titular tiene derecho a no ser sometido a una decisión basada única o
parcialmente en valoraciones que sean producto de procesos automatizados, incluida la elaboración
de perfiles, que produzcan efectos jurídicos en él o que atenten contra sus derechos y libertades
fundamentales, para lo cual podrá:
a. Solicitar al responsable del tratamiento una explicación motivada sobre la decisión tomada por el
responsable o encargado del tratamiento de datos personales:
b. Presentar observaciones;
c. Solicitar los criterios de valoración sobre el programa automatizado; o,
d. Solicitar al responsable información sobre los tipos de datos utilizados y la fuente de la cual han
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES - Página 14
sido obtenidos los mismos;
e. Impugnar la decisión ante el responsable o encargado del tratamiento
No se aplicará este derecho cuando:
responsable o encargado del tratamiento de datos personales;
autoridad técnica competente, para lo cual se deberá establecer medidas adecuadas para
salvaguardar los derechos fundamentales y libertades del titular; o,
No se podrá exigir la renuncia a este derecho en forma adelantada a través de contratos de adhesión
masivos. A más tardar en el momento de la primera comunicación con el titular de los datos
personales, para informar una decisión basada únicamente en valoraciones automatizadas, este
derecho le será informado explícitamente por cualquier medio idóneo.
parcialmente en valoraciones automatizadas.-Además de los presupuestos establecidos en el
derecho a no ser objeto de una decisión basada única o parcialmente en valoraciones
automatizadas, no se podrán tratar datos sensibles o datos de niñas, niños y adolescentes a menos
que se cuente con la autorización expresa del titular o de su representante legal; o, cuando, dicho
tratamiento esté destinado a salvaguardar un interés público esencial, el cual se evalúe en atención
a los estándares internacionales de derechos humanos, y como mínimo satisfaga los criterios de
legalidad, proporcionalidad y necesidad, y además incluya salvaguardas específicas para proteger
los derechos fundamentales de los
interesados.
Los adolescentes, en ejercicio progresivo de sus derechos, a partir de los 15 años, podrán otorgar,
en calidad de titulares, su consentimiento explícito para el tratamiento de sus datos personales,
siempre que se les especifique con claridad sus fines.
Registro Nacional de Protección de Datos Personales, de conformidad con la presente Ley.
conocimiento, aprendizaje, preparación, estudio, formación, capacitación, enseñanza e instrucción
relacionados con el uso y manejo adecuado, sano, constructivo, seguro y responsable de las
tecnologías de la información y comunicación, en estricto apego a la dignidad e integridad humana;
los derechos fundamentales y libertades individuales con especial énfasis en la intimidad, la vida
privada, autodeterminación informativa, identidad y reputación en línea, ciudadanía digital y el
derecho a la protección de datos personales, así como promover una cultura sensibilizada en el
derecho de protección de datos personales.
El derecho a la educación digital tendrá un carácter inclusivo sobre todo en lo que respecta a las
personas con necesidades educativas especiales.
El sistema educativo nacional, incluyendo el sistema de educación superior, garantizará la educación
digital no solo a favor de los estudiantes de todos los niveles sino también de los docentes, debiendo
incluir dicha temática en su proceso de formación.
proveedores de servicios de la sociedad de la información y el conocimiento, y otros entes
relacionados, dentro del ámbito de sus relaciones, están obligados a proveer información y
capacitación relacionadas con el uso y tratamiento responsable, adecuado y seguro de datos
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES - Página 15
personales de niñas, niños y adolescentes, tanto a sus titulares como a sus representantes legales,
de conformidad con la normativa técnica emitida por la Autoridad de Protección de Datos
Personales.
Los adolescentes mayores de doce (12) años y menores de quince (15) años, así como las niñas y
niños, para el ejercicio de sus derechos necesitarán de su representante legal. Los adolescentes
mayores de quince (15) años y menores de dieciocho (18) años, podrán ejercitarlos de forma directa
ante la Autoridad de Protección de Datos Personales o ante el responsable de la base de datos
personales del tratamiento.
Los derechos del titular son irrenunciables. Será nula toda estipulación en contrario.
CATEGORÍAS ESPECIALES DE DATOS
personales, los siguientes:
sensibles salvo que concurra alguna de las siguientes circunstancias:
especificándose claramente sus fines.
específicos del responsable del tratamiento o del titular en el ámbito del Derecho laboral y de la
seguridad y protección social.
el supuesto de que el titular no esté capacitado, física o jurídicamente, para dar su consentimiento.
- histórica o fines estadísticos, que debe ser proporcional al objetivo perseguido, respetar en lo
esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para
proteger los intereses y derechos fundamentales del titular.
presente ley.
personas fallecidas, podrán dirigirse al responsable del tratamiento de datos personales con el objeto
de solicitar el acceso, rectificación y actualización o eliminación de los datos personales del
causante, siempre que el titular de los datos no haya, en vida, indicado otra utilización o destino para
sus datos.
Las personas o instituciones que la o el fallecido haya designado expresamente para ello; podrán
también solicitar con arreglo a las instrucciones recibidas, el acceso a los datos personales de éste;
y, en su caso, su rectificación, actualización o eliminación.
En caso de fallecimiento de niñas, niños, adolescentes o personas que la ley reconozca como
incapaces, las facultades de acceso, rectificación, actualización o eliminación, podrán ser ejercidas
por quien hubiese sido su último representante legal. El Reglamento a la presente ley establecerá los
mecanismos para el ejercicio de las facultades enunciadas en el presente artículo.
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES - Página 16
destinados a informar sobre la solvencia patrimonial o crediticia, incluyendo aquellos relativos al
cumplimiento o incumplimiento de obligaciones de carácter comercial o crediticia que permitan
evaluar la concertación de negocios en general, la conducta comercial o la capacidad de pago del
titular de los datos, en aquellos casos en que los mismos sean obtenidos de fuentes de acceso
público o procedentes de informaciones facilitadas por el acreedor. Tales datos pueden ser utilizados
solamente para esa finalidad de análisis y no serán comunicados o difundidos, ni podrán tener
cualquier finalidad secundaria.
La protección de datos personales crediticios se sujetará a lo previsto en la presente ley, en la
legislación especializada sobre la materia y demás normativa dictada por la Autoridad de Protección
de Datos Personales.
Sin perjuicio de lo anterior, en ningún caso podrán comunicarse los datos crediticios relativos a
obligaciones de carácter económico, financiero, bancario o comercial una vez transcurridos cinco
años desde que la obligación a la que se refieran se haya hecho exigible.
siguientes derechos:
encuentra su historial crediticio; y,
que fuese ilícita, falsa, inexacta, errónea, incompleta o caduca
requiera, respecto de la información que sobre si mismos esté registrada ante los prestadores de
servicios de referencia crediticia y a través de los siguientes mecanismos:
pondrán a disposición de dichos titulares; y,
veracidad y exactitud de su contenido, sin que pueda ser utilizado con fines crediticios o comerciales.
exigir estos derechos frente a las fuentes de información mediante solicitud escrita. Las fuentes de
información, dentro del plazo de quince días de presentada la solicitud, deberán resolverla
admitiéndola o rechazándola motivadamente. El Titular del Dato Crediticio tiene derecho a solicitar a
los prestadores del servicio de referencias crediticias que, en tanto se sigue el proceso de revisión,
señalen en los reportes de crédito que emitan, que la información materia de la solicitud está siendo
revisada a pedido del titular.
los profesionales de la salud pueden recolectar y tratar los datos relativos a la salud de sus pacientes
que estén o hubiesen estado bajo tratamiento de aquellos, de acuerdo a lo previsto en la presente
ley, en la legislación especializada sobre la materia y demás normativa dictada por la Autoridad de
Protección de Datos Personales en coordinación con la autoridad sanitaria nacional.
Los responsables y encargados del tratamiento de datos así como todas las personas que
intervengan en cualquier fase de este, estarán sujetas al deber de confidencialidad, de tal manera
que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el
tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES - Página 17
aplicación de medidas técnicas organizativas apropiadas. Esta obligación será complementaria del
secreto profesional de conformidad con cada caso.
Las obligaciones establecidas en los apartados anteriores se mantendrán aun cuando hubiese
finalizado la relación del obligado con el responsable o encargado del tratamiento,
No se requerirá el consentimiento del titular para el tratamiento de datos de salud cuando ello sea
necesario por razones de interés público esencial en el ámbito de la salud, el que en todo caso
deberá ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de
datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos
fundamentales del titular;
Asimismo, tampoco se requerirá el consentimiento del titular cuando el tratamiento sea necesario por
razones de interés público en el ámbito de la salud pública, como en el caso de amenazas
transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad
de la asistencia sanitaria y de los medicamentos o productos sanitarios, siempre y cuando se
establezcan medidas adecuadas y específicas para proteger los derechos y libertades del titular y,
en particular, el secreto profesional.
deberá cumplir con los siguientes parámetros mínimos y aquellos que determine la Autoridad de
Protección de Datos Personales en la normativa emitida para el efecto:
tratados cumpliendo los principios de confidencialidad y secreto profesional. El titular de la
información deberá brindar su consentimiento previo conforme lo determina esta Ley, salvo en los
casos en que el tratamiento sea necesario para proteger intereses vitales del interesado, en el
supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;
- sea necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del
trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o
gestión de los sistemas y servicios de asistencia sanitaria, y social, sobre la base de la legislación
especializada sobre la materia o en virtud de un contrato con un profesional sanitario. En este último
caso el tratamiento sólo podrá ser realizado por un profesional sujeto a la obligación de secreto
profesional, o bajo su responsabilidad, de acuerdo con la legislación especializada sobre la materia o
con las demás normas que al respecto pueda establecer la Autoridad.
anonimizados o seudonimizados, evitando la posibilidad de identificar a los titulares de los mismos.
Autoridad de Protección de Datos Personales. Para obtener la autorización mencionada, el
interesado deberá presentar un protocolo técnico que contenga los parámetros necesarios que
garanticen la protección de dichos datos y el informe previo favorable emitido por la Autoridad
Sanitaria.
datos relativos a salud que consten en las instituciones que conforman el Sistema Nacional de Salud,
podrán ser tratados por personas naturales y jurídicas privadas y públicas con fines de investigación
científica, siempre que según el caso encuentren anonimizados, o dicho tratamiento sea autorizado
por la Autoridad de Protección de Datos Personales, previo informe de la Autoridad Sanitaria
Nacional.
TRANSFERENCIA O COMUNICACIÓN Y ACCESO A DATOS PERSONALES POR TERCEROS
transferirse o comunicarse a terceros cuando se realice para el cumplimiento de fines directamente
relacionados con las funciones legítimas del responsable y del destinatario, cuando la transferencia
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES - Página 18
se encuentre configurada dentro de una de las causales de legitimidad establecidas en esta Ley, y
se cuente, además, con el consentimiento del titular.
Se entenderá que el consentimiento es informado cuando para la transferencia o comunicación de
datos personales el Responsable del tratamiento haya entregado información suficiente al titular que
le permita conocer la finalidad a que se destinarán sus datos y el tipo de actividad del tercero a quien
se pretende transferir o comunicar dichos datos.
comunicación en el caso de que el encargado acceda a datos personales para la prestación de un
servicio al responsable del tratamiento de datos personales. El tercero que ha accedido
legítimamente a datos personales en estas consideraciones, será considerado encargado del
tratamiento.
El tratamiento de datos personales realizado por el encargado deberá estar regulado por un contrato,
en el que se establezca de manera clara y precisa que el encargado del tratamiento de datos
personales tratará únicamente los mismos conforme las instrucciones del responsable y que no los
utilizará para finalidades diferentes a las señaladas en el contrato, ni que los transferirá o comunicará
ni siquiera para su conservación a otras personas.
Una vez que se haya cumplido la prestación contractual, los datos personales deberán ser
destruidos o devueltos al responsable del tratamiento de datos personales bajo la supervisión de la
Autoridad de Protección de Datos Personales.
El encargado será responsable de las infracciones derivadas del incumplimiento de las condiciones
de tratamiento de datos personales establecidas en la presente ley.
comunicación cuando el acceso a datos personales por un tercero sea necesario para la prestación
de un servicio al responsable del tratamiento de datos personales. El tercero que ha accedido a
datos personales en estas condiciones debió hacerlo legítimamente.
El tratamiento de datos personales realizado por terceros deberá estar regulado por un contrato, en
el que se establezca de manera clara y precisa que el encargado del tratamiento de datos
personales tratará únicamente los mismos conforme las instrucciones del responsable y que no los
utilizará para finalidades diferentes a las señaladas en el contrato, ni que los transferirá o comunicará
ni siquiera para su conservación a otras personas.
Una vez que se haya cumplido la prestación contractual, los datos personales deberán ser
destruidos o devueltos al responsable del tratamiento de datos personales bajo la supervisión de la
autoridad de protección de datos personales.
El tercero será responsable de las infracciones derivadas del incumplimiento de las condiciones de
tratamiento de datos personales establecidas en la presente ley.
datos personales, en los siguientes supuestos:
responsable de tratamiento y el titular, cuyo desarrollo, cumplimiento y control implique
necesariamente la conexión de dicho tratamiento con base de datos. En este caso la transferencia o
comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique;
virtud de solicitudes y órdenes amparadas en competencias atribuidas en la norma vigente;
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES - Página 19
tratamiento posterior de datos con fines históricos, estadísticos o científicos, siempre y cuando
dichos datos se encuentren debidamente disociados o a lo menos anonimizados, y,
solucionar una urgencia que implique intereses vitales de su titular y este se encontrare impedido de
otorgar su consentimiento.
realizar los estudios epidemiológicos de interés público, dando cumplimiento a los estándares
internacionales en la materia de derechos humanos, y como mínimo a los criterios de legalidad,
proporcionalidad y necesidad. El tratamiento deberá ser de preferencia anonimizado, y en todo caso
agregado, una vez pasada la urgencia de interés público.
Cuando sea requerido el consentimiento del titular para que sus datos personales sean comunicados
a un tercero, este puede revocarlo en cualquier momento, sin necesidad de que medie justificación
alguna.
La presente ley obligatoriamente debe ser aplicada por el destinatario, por el solo hecho de la
comunicación de los datos; a menos que estos hayan sido anonimizados o sometidos a un proceso
de (sic).
SEGURIDAD DE DATOS PERSONALES
personales según sea el caso, deberá sujetarse al principio de seguridad de datos personales, para
lo cual deberá tomar en cuenta las categorías y volumen de datos personales, el estado de la
técnica, mejores prácticas de seguridad integral y los costos de aplicación de acuerdo a la
naturaleza, alcance, contexto y los fines del tratamiento, así como identificar la probabilidad de
riesgos.
El responsable o encargado del tratamiento de datos personales, deberá implementar un proceso de
verificación, evaluación y valoración continua y permanente de la eficiencia, eficacia y efectividad de
las medidas de carácter técnico, organizativo y de cualquier otra índole, implementadas con el objeto
de garantizar y mejorar la seguridad del tratamiento de datos personales.
El responsable o encargado del tratamiento de datos personales deberá evidenciar que las medidas
adoptadas e implementadas mitiguen de forma adecuada los riesgos identificados
Entre otras medidas, se podrán incluir las siguientes;
sistemas y servicios del tratamiento de datos personales y el acceso a los datos personales, de
forma rápida en caso de incidentes; y
estándares internacionales para una adecuada gestión de riesgos enfocada a la protección de
derechos y libertades, así como para la implementación y manejo de sistemas de seguridad de la
información o a códigos de conducta reconocidos y autorizados por la Autoridad de Protección de
Datos Personales.
seguridad de la información deberá incluir las medidas que deban implementarse en el caso de
tratamiento de datos personales para hacer frente a cualquier riesgo, amenaza, vulnerabilidad,
accesos no autorizados, pérdidas, alteraciones, destrucción o comunicación accidental o ilícita en el
tratamiento de los datos conforme al principio de seguridad de datos personales.
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES - Página 20
El mecanismo gubernamental de seguridad de la información abarcará y aplicará a todas las
instituciones del sector público, contenidas en el artículo 225 de la Constitución de la República de
Ecuador, así como a terceros que presten servicios públicos mediante concesión u otras figuras
legalmente reconocidas. Estas, podrán incorporar medidas adicionales al mecanismo gubernamental
de seguridad de la información.
de datos desde el diseño como el deber del responsable del tratamiento de tener en cuenta, en las
primeras fases de concepción y diseño del proyecto, que determinados tipos de tratamientos de
datos personales entrañan una serie de riesgos para los derechos de los titulares en atención al
estado de la técnica, naturaleza y fines del tratamiento, para lo cual, implementará las medidas
técnicas, organizativas y de cualquier otra índole, con miras a garantizar el cumplimiento de las
obligaciones en materia de protección de datos, en los términos del reglamento.
La protección de datos por defecto hace referencia a que el responsable debe aplicar las medidas
técnicas y organizativas adecuadas con miras a que, por defecto, solo sean objeto de tratamiento los
datos personales que sean necesarios para cada uno de los fines del tratamiento, en los términos del
reglamento.
vulnerabilidades, el responsable y el encargado del tratamiento de los datos personales deberán
utilizar una metodología que considere, entre otras:
seguridad, aceptadas por el estado de la técnica, a las que están obligadas el responsable y el
encargado del tratamiento de los datos personales, se deberán tomar en consideración, entre otros:
impedimento de acceso a los mismos por parte del titular, sean accidentales e intencionales, por
acción u omisión, así como los antecedentes de transferencia, comunicación o de acceso no
autorizado o exceso de autorización de tales datos.
El responsable y el encargado del tratamiento de datos personales deberán tomar las medidas
adecuadas y necesarias, de forma permanente y continua, para evaluar, prevenir, impedir, reducir,
mitigar y controlar los riesgos, amenazas y vulnerabilidades, incluidas las que conlleven un alto
riesgo para los derechos y libertades del titular, de conformidad con la normativa que emita la
Autoridad de Protección de Datos Personales.
evaluación de impacto del tratamiento de datos personales cuando se haya identificado la
probabilidad de que dicho tratamiento, por su naturaleza, contexto o fines, conlleve un alto riesgo
para los derechos y libertades del titular o cuando la Autoridad de Protección de Datos Personales lo
requiera.
La evaluación de impacto relativa a la protección de los datos será de carácter obligatoria en caso
de:
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES - Página 21
un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen
decisiones que produzcan efectos jurídicos para las personas naturales;
relativos a condenas e infracciones penales, o
La Autoridad de Protección de Datos Personales establecerá otros tipos de operaciones de
tratamiento que requieran una evaluación de impacto relativa a la protección de datos.
La evaluación de impacto deberá efectuarse previo al inicio del tratamiento de datos personales.
vulneración de la seguridad de datos personales a la Autoridad de Protección de Datos Personales y
la Agencia de Regulación y Control de las Telecomunicaciones, tan pronto sea posible, y a más
tardar en el término de cinco (5) días después de que haya tenido constancia de ella, a menos que
sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las
libertades de las personas físicas. Si la notificación a la Autoridad de Protección de Datos no tiene
lugar en el término de cinco (5) días, deberá ir acompañada de indicación de los motivos de la
dilación.
El encargado del tratamiento deberá notificar al responsable cualquier vulneración de la seguridad de
datos personales tan pronto sea posible, y a más tardar dentro del término de dos (2) días contados
a partir de la fecha en la que tenga conocimiento de ella.
autoridades públicas competentes, los equipos de respuesta de emergencias informáticas, los
equipos de respuesta a incidentes de seguridad informática, los centros de operaciones de
seguridad, los prestadores y proveedores de servicios de telecomunicaciones y los proveedores de
tecnología y servicios de seguridad, nacionales e internacionales, podrán acceder y efectuar
tratamientos sobre los datos personales contenidos en las notificaciones de vulneración a las
seguridades, durante el tiempo necesario, exclusivamente para la detección, análisis, protección y
respuesta ante cualquier tipo de incidentes así como para adoptar e implementar medidas de
seguridad adecuadas y proporcionadas a los riesgos identificados.
correcta prestación de los servicios de telecomunicaciones y la apropiada operación de redes de
telecomunicaciones, los prestadores de servicios de telecomunicaciones deben garantizar el secreto
de las comunicaciones y seguridad de datos personales. Únicamente por orden judicial, los
prestadores de servicios de telecomunicaciones podrán utilizar equipos, infraestructuras e
instalaciones que permitan grabar los contenidos de las comunicaciones específicas dispuestas por
los jueces competentes. Si se evidencia un tratamiento de grabación o interceptación de las
comunicaciones no autorizadas por orden judicial, se aplicará lo dispuesto en la presente Ley.
notificar sin dilación la vulneración de seguridad de datos personales al titular cuando conlleve un
riesgo a sus derechos fundamentales y libertades individuales, dentro del término de tres días
contados a partir de la fecha en la que tuvo conocimiento del riesgo.
No se deberá notificar la vulneración de seguridad de datos personales al titular en los siguientes
casos:
organizativas o de cualquier otra índole apropiadas aplicadas a los datos personales afectados por la
vulneración de seguridad que se pueda demostrar que son efectivas;
los derechos fundamentales y las libertades individuales del titular, no ocurrirá; y,
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES - Página 22
tratamiento deberá realizar una comunicación pública a través de cualquier medio en la que se
informe de la vulneración de seguridad de datos personales a los titulares.
La procedencia de las excepciones de les numerales 1 y 2 deberá ser calificada por la Autoridad de
Protección de Datos, una vez informada esta tan pronto sea posible, y en cualquier caso dentro de
los plazos contemplados en el Artículo 43.
La notificación al titular del dato objeto de la vulneración de seguridad contendrá lo señalado en el
artículo 43 de esta ley.
En caso de que el responsable del tratamiento de los datos personales no cumpliese oportunamente
y de modo justificado con la notificación será sancionado conforme al régimen sancionatorio previsto
en esta ley.
La notificación oportuna de la violación por parte del responsable de tratamiento al titular y la
ejecución oportuna de medidas de respuesta, serán consideradas atenuante de la infra (sic).
DEL RESPONSABLE, ENCARGO Y DELEGADO DE PROTECCIÓN DE DATOS PERSONALES
responsable del tratamiento de datos personales está obligado a:
Ley, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la Autoridad de
Protección de Datos Personales, o normativa sobre la materia;
jurídicas apropiadas, a fin de garantizar y demostrar que el tratamiento de datos personales se ha
realizado conforme a lo previsto en la presente Ley, en su reglamento, en directrices, lineamientos y
regulaciones emitidas por la Autoridad de Protección de Datos Personales, o normativa sobre la
materia;
eficacia y efectividad de los requisitos y herramientas administrativas, Técnicas, físicas, organizativas
y jurídicas implementadas;
en cada caso en particular;
tratamiento y de las partes involucradas;
personales;
prevenir, impedir, reducir, mitigar y controlar los riesgos y las vulneraciones identificadas;
violaciones a las seguridades implementadas para el tratamiento de datos personales conforme a lo
establecido en el procedimiento previsto para el efecto;
encargado y el personal a cargo del tratamiento de datos personales o que tenga conocimiento de
los datos personales;
para garantizar el derecho a la protección de datos personales conforme a lo establecido en la
presente ley, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la Autoridad
de Protección de Datos Personales, normativa sobre la materia y las mejores prácticas a nivel
nacional o internacional;
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES - Página 23
conformidad a lo dispuesto en la presente Ley, en su reglamento, en directrices, lineamientos y
regulaciones emitidas por la Autoridad de Protección de Datos Personales;
acreditado por la Autoridad de Protección de Datos Personales; y,
regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativa sobre la
materia.
El encargado de tratamiento de datos personales tendrá las mismas obligaciones que el responsable
de tratamiento de datos personales, en lo que sea aplicable, de acuerdo a la presente ley y su
reglamento.
datos personales en los siguientes casos:
establecido en el artículo 225 de la Constitución de la República;
requieran un control permanente y sistematizado por su volumen, naturaleza, alcance o finalidades
del tratamiento, conforme se establezca en esta ley, el reglamento a ésta, o en la normativa que
dicte al respecto la Autoridad de Protección de Datos Personales;
con lo establecido en el reglamento de esta ley; y,
Estado que adolezcan de reserva ni fuesen secretos, de conformidad con lo establecido en la
normativa especializada en la materia.
La Autoridad de Protección de Datos Personales podrá definir nuevas condiciones en las que deba
designarse un delegado de protección de datos personales y emitirá, a dicho efecto, las directrices
suficientes para su designación.
datos personales tendrá, entre otras, las siguientes funciones y atribuciones:
personales, sobre las disposiciones contenidas en esta ley, el reglamento, las directrices,
lineamientos y demás regulaciones emitidas por la Autoridad de Protección de Datos Personales;
directrices, lineamientos y demás regulaciones emitidas por la Autoridad de Protección de Datos
Personales;
supervisar su aplicación;
con dicha entidad, con relación a las cuestiones referentes al tratamiento de datos personales; y,
de las categorías especiales de datos personales.
En caso de incumplimiento de sus funciones, el delegado de protección de datos personales
responderá administrativa, civil y penalmente, de conformidad con la ley.
ejecución de las funciones del delegado de protección de datos, el responsable y el encargado de
tratamiento de datos personales, deberán observar lo siguiente:
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES - Página 24
cuestiones relativas a la protección de datos personales, sea apropiada y oportuna;
recursos y elementos necesarios para garantizar el correcto y libre desempeño de sus funciones;
conformidad con la normativa técnica que emita la Autoridad de Protección de Datos Personales;
desempeño de sus funciones;
ejecutivo y de decisión del responsable y con el encargado;
con relación al tratamiento de sus datos personales a fin de ejercer sus derechos; y,
confidencialidad respecto a la ejecución de sus funciones.
Siempre que no exista conflicto con las responsabilidades establecidas en la presente ley, su
reglamento, directrices, lineamientos y demás regulaciones emitidas por la Autoridad de Protección
de Datos Personales, el delegado de protección, de datos personales podrá desempeñar otras
funciones dispuestas por el responsable o el encargado del tratamiento de datos personales.
datos personales deberá reportar y mantener actualizada la información ante la Autoridad de
Protección de Datos Personales, sobre lo siguiente:
datos personales;
personales, incluyendo encargados y terceros;
presente ley y normativa especializada;
implementadas para garantizar la seguridad y protección de datos personales;
DE LA RESPONSABILIDAD PROACTIVA
podrán, de manera voluntaria, acogerse o adherirse a códigos de conducta, certificaciones, sellos y
marcas de protección, cláusulas tipo, sin que esto constituya eximente de la responsabilidad de
cumplir con las disposiciones de la presente ley, su reglamento, directrices lineamientos y
regulaciones emitidas por la Autoridad de Protección de Datos Personales y demás normativa sobre
la materia.
códigos de conducta por sectores, industrias, empresas, organizaciones, que tengan como fin el
cumplimiento de la normativa vigente en materia de protección de datos.
Los códigos de conducta deberán tomar en cuenta las necesidades específicas de los sectores en
los que se efectúe tratamiento de datos personales, así como cumplir con los requisitos que se
determinen en la normativa secundaría y con las disposiciones previstas en la presente Ley, para su
aprobación por la Autoridad de Regulación y Control.
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES - Página 25
Los responsables o encargados de tratamiento de datos personales interesados podrán adherirse e
implementar los códigos de conducta aprobados, para lo cual seguirán el procedimiento establecido
en el Reglamento a la presente Ley.
Certificación, de manera no exclusiva y en concordancia con el artículo 52, podrán:
y regulaciones emitidas por la Autoridad de Protección de Datos Personales y demás normativa
sobre la materia;
Los resultados de las auditorias podrán ser considerados como elementos probatorios dentro de los
procesos sancionatorios.
TRANSFERENCIA O COMUNICACIÓN INTERNACIONAL DE DATOS
PERSONALES
comunicación internacional de datos personales será posible si se sujeta a lo previsto en el presente
capítulo, la presente Ley o la normativa especializada en la materia, propendiendo siempre al
efectivo ejercicio del derecho a la protección de datos personales.
nivel adecuado de protección.-Por principio general se podrán transferir o comunicar datos
personales a países, organizaciones y personas jurídicas en general que brinden niveles adecuados
de protección, y que se ajusten a la obligación de cumplimiento y garantía de estándares
reconocidos internacionalmente conforme a los criterios establecidos en el Reglamento a la ley.
Cuando resulte necesario por la naturaleza de la transferencia, la Autoridad de Protección de Datos
Personales podrá implementar métodos de control ex post que serán definidos en el Reglamento a la
Ley. También establecerá acciones conjuntas entre las autoridades de ambos países con el objeto
de prevenir, corregir o mitigar el tratamiento indebido de datos en ambos países.
Para declarar de nivel adecuado de protección a países u organizaciones, la Autoridad de Protección
de Datos Personales emitirá resolución motivada, en la que se establezca que la transferencia o
comunicación internacional de datos personales cumple niveles adecuados de protección o de
garantías adecuadas de protección, conforme a lo establecido en esta ley y su reglamento.
transferencia internacional de datos a un país, organización o territorio económico internacional que
no haya sido calificado por la Autoridad de Protección de Datos de tener un nivel adecuado de
protección, se podrá realizar la referida transferencia internacional siempre que el responsable o
encargado del tratamiento de datos personales ofrezca garantías adecuadas para el titular, para lo
cual se deberá observar lo siguiente:
a. Garantizar el cumplimiento de principios, derechos y obligaciones en el tratamiento de datos
personales en un estándar igual o mayor a la normativa ecuatoriana vigente.
b. Efectiva tutela del derecho a la protección de datos personales, a través de la disponibilidad
permanente de acciones administrativas o judiciales; y,
c. El derecho a solicitar la reparación integral, de ser el caso.
Para que ello ocurra, la transferencia internacional de datos personales se sustentará en un
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES - Página 26
instrumento jurídico que contemple los estándares antes determinados, así como aquellos que
establezca la Autoridad de Protección de Datos Personales, el mismo que deberá ser vinculante.
personales podrán presentar a la Autoridad de Protección de Datos Personales, normas corporativas
vinculantes, específicas y aplicadas al ámbito de su actividad, las cuales deberán cumplir las
siguientes condiciones:
eventualmente transfieran datos personales.
al tratamiento de sus datos personales observando las disposiciones de la presente ley;
tratamiento, pertenecen al mismo grupo empresarial. Además, se incluirá la estructura y los datos del
contacto del grupo empresarial o joint venture, dedicadas a una actividad económica conjunta y de
cada uno de sus miembros.
de datos personales a ser utilizados, así corno el tipo de tratamiento a realizarse y su finalidad;
tratamiento de datos personales, medidas de seguridad de datos, requisitos respecto a transferencia
- comunicación internacional y transferencia o comunicación ulterior a. organismos no sujetos a
normas corporativas vinculantes;
personales, o de cualquier miembro de su grupo empresarial sobre su responsabilidad por cualquier
violación de las normas corporativas vinculantes. El responsable o encargado del tratamiento de
datos personales no será responsable si demuestra que el acto que originó la violación no le es
imputable;
normas corporativas vinculantes;
- entidad encargada de la supervisión del cumplimiento de las normas corporativas vinculantes
dentro del grupo empresarial o del joint venture dedicadas a una actividad económica conjunta bajo
un mismo control así como los mecanismos y procesos de supervisión y tramitación de
reclamaciones;.
afiliadas que permitan al titular verificar efectivamente el cumplimiento de las normas corporativas
vinculantes. Entre estos mecanismos se incluirán auditorías de protección de datos, y aquellos
métodos técnicos que brinden acciones correctivas para proteger los derechos del titular. Los
resultados de las auditorías serán comunicadas al delegado de protección de datos designado de
conformidad con la presente ley, o cualquier otra entidad o persona encargada del cumplimiento de
las normas corporativas vinculantes dentro del grupo empresarial o empresas afiliadas dedicadas a
una actividad económica conjunta y al Directorio de la empresa que controla un grupo empresarial, y
a disposición de la Autoridad de protección de datos personales;
datos personales y el responsable del tratamiento de los datos personales; y,
promover la protección de datos personales entre sus empleados con formación continua.
La Autoridad de Protección de Datos Personales definirá el formato y los procedimientos para la
transferencia o comunicación de datos realizada por parte de los responsables, los encargados y las
autoridades de control en lo relativo a la aplicación de las normas corporativas vinculantes a las que
se infiere este artículo.
Cualquier cambio a ser realizado a estas normas deberá ser notificado a la autoridad de protección
de datos personales y al titular conforme a los mecanismos señalados por el responsable de
tratamiento en su solicitud.
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES - Página 27
en los artículos precedentes, en los que se pretenda realizar una transferencia internacional de datos
personales, se requerirá la autorización de la Autoridad de Protección de Datos, para lo cual, se
deberá garantizar documentadamente el cumplimiento de la normativa vigente sobre protección de
datos de carácter personal, según lo determinado en el Reglamento de aplicación a la presente Ley.
Sin perjuicio de lo anterior, la información sobre transferencias internacionales de datos personales
deberá ser registradas previamente en el Registro Nacional de Protección de Datos Personales por
parte del responsable del tratamiento o, en su caso, del encargado, según el procedimiento
establecido en el Reglamento de aplicación a la presente Ley.
establecido en los artículos precedentes se podrá realizar transferencias o comunicaciones
internacionales de datos personales, en los siguientes casos:
institucionales, de conformidad con la normativa aplicable;
propuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias o
comunicaciones internacionales, debido a la ausencia de una resolución de nivel adecuado de
protección y de garantías adecuadas.
- regulatoria;
contrato entre el titular y el responsable del tratamiento de datos personales, o para la ejecución de
medidas de carácter precontractual adoptadas a solicitud del titular;
de infracciones
adquiridos en procesos de cooperación internacional entre Estados;
ejercicio o la defensa de reclamaciones, acciones administrativas o jurisdiccionales y recursos; y,
intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente
incapacitado para dar su consentimiento.
con la academia, realizará reportes continuos sobre la realidad internacional en materia de
protección de datos personales. Dichos estudios servirán como elemento de control continuo del
nivel adecuado de protección de datos personales de los países u organizaciones que ostenten tal
reconocimiento.
En caso de detectarse que un país u organización ya no cumple con un nivel adecuado de
protección conforme los principios, derechos y obligaciones desarrollados en la presente Ley, la
Autoridad de Protección de Datos Personales procederá a emitir la correspondiente resolución de no
adecuación, a partir de la cual no procederán transferencias de datos personales, salvo que operen
otros mecanismos de transferencia conforme lo dispuesto en el presente capítulo.
La Autoridad de Protección de Datos Personales publicará en cualquier medio, de forma permanente
y debidamente la lista de países, organizaciones, empresas o grupos económicos que garanticen
niveles adecuados de protección de datos personales.
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES - Página 28
DE LOS REQUERIMIENTOS DIRECTOS Y DE LA GESTIÓN DEL PROCEDIMIENTO
ADMINISTRATIVO
tratamiento.-El titular podrá en cualquier momento, de forma gratuita, por medios físicos o digitales
puestos a su disposición por parte del responsable del tratamiento de los datos personales,
presentar requerimientos, peticiones, quejas o reclamaciones directamente al responsable del
tratamiento, relacionadas con el ejercicio de sus derechos, la aplicación de principios y el
cumplimiento de obligaciones por parte del responsable del tratamiento, que tengan relación con él.
Presentado el requerimiento ante el responsable este contará con un término de diez (10) días para
contestar afirmativa o negativamente, notificar y ejecutar lo que corresponda.
- a petición del titular, actuaciones previas con el fin de conocer las circunstancias del caso concreto
- la conveniencia o no de iniciar el procedimiento, para lo cual se estará conforme a las
disposiciones del Código Orgánico Administrativo.
el requerimiento, en el término establecido en la presente ley, o éste fuere negado, el titular podrá
presentar el correspondiente reclamo administrativo ante la Autoridad de Protección de Datos
Personales, para lo cual se deberá estar conforme al procedimiento establecido en el Código
Orgánico Administrativo, la presente ley y demás normativa emitida por la Autoridad de Protección
de Datos Personales. Sin perjuicio, el titular podrá presentar acciones civiles, penales o
constitucionales de las que se crea asistido.
MEDIDAS CORRECTIVAS, INFRACCIONES Y RÉGIMEN SANCIONATORIO
presente Ley, su reglamento, directrices y lineamientos y regulaciones emitidas por la Autoridad de
Protección de Datos Personales y normativas sobre la materia, o transgresión a los derechos y
principios que componen al derecho a la protección de datos personales, la Autoridad de Protección
de Datos Personales dictará medidas correctivas con el objeto de evitar que se siga cometiendo la
infracción y que la conducta se produzca nuevamente, sin perjuicio de la aplicación de las
correspondientes sanciones administrativas.
Las medidas correctivas podrán consistir, entre otras, en:
tratamiento adecuado de datos personales.
La Autoridad de Protección de Datos Personales, en el marco de esta Ley, dictará, para cada caso;
las medidas correctivas, previo informe de la unidad técnica competente, que permitan corregir,
revertir o eliminar las conductas contrarias a la presente ley, su reglamento, directrices, lineamientos
y regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativas sobre la
materia.
marco de esta ley, previo informe de la unidad técnica competente, aplicará para cada caso las
medidas correctivas citadas en el artículo anterior, que permitan corregir, revertir o eliminar las
conductas contrarias a la presente ley, su reglamento, directrices, lineamientos y regulaciones
emitidas por la Autoridad de Protección de Datos Personales y normativa sobre la materia.
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES - Página 29
Para la aplicación de las medidas correctivas se seguirán las siguientes reglas:
de certificación y de ser el caso, a terceros, se encuentran incursos en el presunto cometimiento de
una infracción leve y estos consten dentro del Registro Único de responsables y encargados
incumplidos; la Autoridad de Protección de Datos Personales activará directamente el procedimiento
administrativo sancionatorio, haciendo constar dentro de la resolución tanto las medidas correctivas
aplicables como la sanción correspondiente a la infracción cometida; y,
organismos de certificación, se encuentren incursos en el presunto cometimiento de una infracción
grave; la Autoridad de Protección de Datos Personales; aplicará en primera instancia medidas
correctivas. Si las medidas correctivas fueren cumplidas de forma tardía, parcial o defectuosa, la
Autoridad de Protección de Datos Personales, aplicará las sanciones que corresponden a las
infracciones graves, activando para el efecto el procedimiento administrativo sancionatorio y
haciendo constar dentro de la resolución tanto las medidas correctivas aplicables como la sanción
correspondiente a la infracción cometida; y,
organismos de certificación, se encuentren incursos en el presunto cometimiento de una infracción
muy grave, la Autoridad de Protección de Datos Personales activará directamente el procedimiento
administrativo sancionatorio haciendo constar dentro de la resolución tanto las medidas correctivas
aplicables como la sanción correspondiente a la infracción cometida.
Sección 1a
De las infracciones del Responsable de protección de datos
leves las siguientes:
realizadas por el titular;
datos personales;
hacer efectivo el ejercicio del derecho a la protección de datos personales;
graves las siguientes:
garantizar el tratamiento de datos personales que realice conforme la presente ley, su reglamento,
directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales
y normativas sobre la materia;
en la presente ley y su reglamento, directrices lineamientos y regulaciones emitidas por la Autoridad
de Protección de Datos Personales y normativas sobre la materia;
personales las particularidades del tratamiento y de las partes involucradas;
realizarlas;
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES - Página 30
impedir, reducir, mitigar y controlar los riesgos y las vulneraciones a la seguridad de datos
personales que hayan sido identificadas;
seguridad y protección de datos personales, cuando afecte los derechos fundamentales y libertades
individuales de los titulares;
seguridad y protección de datos personales, cuando exista afectación a los derechos fundamentales
y libertades individuales de los titulares;
personales con el encargado y el personal a cargo del tratamiento de datos personales o que tenga
conocimiento de los datos personales;
a lo dispuesto en la presente ley su reglamento, directrices, lineamientos y regulaciones emitidas por
la Autoridad de Protección de Datos Personales y normativas sobre la materia;
presente ley y su reglamento, directrices, lineamientos y regulaciones emitidas por la Autoridad de
Protección de Datos Personales y normativas sobre la materia;
acreditado por la Autoridad de Protección de Datos Personales; y,
cuando hubiese precedido por dicha causa la aplicación de una sanción por infracción leve, e incurrir
de forma reiterada en faltas leves.
Sección 2a
De las infracciones del Encargado de protección de datos
las siguientes:
obligación de atender solicitudes que tengan por objeto el ejercicio de los derechos del titular frente
al tratamiento de sus datos personales;
referente al cumplimiento de las obligaciones establecidas en la presente Ley, su reglamento,
directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales
y normativa sobre la materia;
del tratamiento de datos personales o de otro auditor autorizado por la Autoridad de Protección, de
Datos Personales y,
graves las siguientes:
la presente Ley y su reglamento, directrices y lineamientos y regulaciones emitidas por la Autoridad
de Protección de Datos Personales y normativas sobre la materia;
responsable del tratamiento de datos personales inclusive en lo que respecta a la transferencia o
comunicación internacional;
datos personales con el personal a cargo del tratamiento de datos personales o quien tenga
conocimiento de los datos personales;
y resiliencia de los datos personales;
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES - Página 31
de evitar vulneraciones;
datos personales, una vez haya culminado su encargo;
establecidos en la presente ley, su reglamento directrices lineamientos y regulaciones emitidas por la
Autoridad de Protección de Datos Personales y normativas sobre la materia;
cuando hubiese precedido por dicha causa la aplicación de una sanción por infracción leve; y,
seguridad de datos personales conforme dispone esta ley o hacerlo con retraso injustificado.
impondrá las siguientes sanciones administrativas, en el caso de verificarse el cometimiento de una
infracción leve, según las siguientes reglas:
de las infracciones leves establecidas en la presente ley, serán sancionados con una multa de uno
(1) a diez (10) salarios básicos unificados del trabajador en general, sin perjuicio de la
responsabilidad extracontractual del Estado, la cual se sujetará a las reglas establecidas en la
normativa correspondiente;
es una entidad de derecho privado o una empresa pública, se aplicará una multa de entre el 0.1% y
el 0.7% calculada sobre su volumen de negocio correspondiente al ejercicio económico
inmediatamente anterior al de la imposición de la multa. La Autoridad de Protección de Datos
Personales establecerá la multa aplicable en función del principio de proporcionalidad, para lo cual
deberá verificar los siguientes presupuestos:
personales o de ser el caso un tercero, hubiese sido previamente sancionado por dos o más
infracciones precedentes, que establezcan sanciones de menor gravedad a la que se pretende
aplicar; o cuando hubiesen sido previamente sancionados por una infracción cuya sanción sea de
igual o mayor gravedad a la que se pretende aplicar;
derecho a la protección de datos personales; y,
que se pretende sancionar.
impondrán las siguientes sanciones administrativas, en el caso de verificarse el cometimiento de una
infracción grave, conforme a los presupuestos establecidos en el presente Capítulo:
Los servidores o funcionarios del sector público por cuya acción u omisión hayan incurrido en alguna
de las infracciones graves establecidas en la presente ley serán sancionados con una multa de entre
10 a 20 salarios básicos unificados del trabajador en general; sin perjuicio de la Responsabilidad
Extracontractual del Estado, la cual se sujetará a las reglas establecidas en la normativa
correspondiente;
una entidad de derecho privado o una empresa pública se aplicará una multa de entre el 0.7% y el
1% calculada sobre su volumen de negocios, correspondiente al ejercicio económico
inmediatamente anterior al de la imposición de la multa. La Autoridad de Protección de Datos
Personales establecerá la multa aplicable en función del principio de proporcionalidad, para lo cual
deberá verificar los siguientes presupuestos:
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES - Página 32
personales o de ser el caso, de un tercero hubiese sido previamente sancionado por dos o más
infracciones precedentes que establezcan sanciones de menor gravedad a la que se pretende
aplicar; o cuando hubiesen sido previamente sancionados por una infracción cuya sanción sea de
igual o mayor gravedad a la que se pretende aplicar;
derecho a la protección de datos personales; y,
que se pretende sancionar.
En el caso de que el responsable, encargado del tratamiento de datos personales a un tercero de ser
el caso; sea una organización sin domicilio ni representación jurídica en el territorio ecuatoriano, se
deberá notificar de la resolución con la cual se establezca la infracción cometida la Autoridad de
Protección de Datos Personales, o quien hiciera sus veces, del lugar en donde dicha organización
tiene su domicilio principal, a fin de que sea dicho organismo quien sustancia las acciones o
procedimientos destinados al cumplimiento de las medidas correctivas y sanciones a las que hubiere
lugar.
volumen de negocio, a la cuantía resultante de la venta de productos y de la prestación de servicios
realizados por operadores económicos, durante el último ejercicio que corresponda a sus
actividades, previa deducción del Impuesto al Valor Agregado y de otros impuestos directamente
relacionados con la operación económica.
aplicar medidas provisionales de protección o medidas cautelares contempladas en la norma
procedimental administrativa.
AUTORIDAD DE PROTECCIÓN DE DATOS PERSONALES
Personales podrá iniciar, de oficio o a petición del titular, actuaciones previas con el fin de conocer
las circunstancias del caso concreto o la conveniencia o no de iniciar el procedimiento, para lo cual
se estará conforme a las disposiciones del Código Orgánico Administrativo.
órgano de control y vigilancia encargado de garantizar a todos los ciudadanos la protección de sus
datos personales, y de realizar todas las acciones necesarias para que se respeten los principios,
derechos, garantías y procedimientos previstos en la presente Ley y en su reglamento de aplicación,
para lo cual le corresponde las siguientes funciones, atribuciones y facultades:
encargado del tratamiento de datos personales;
conforme a lo establecido en la presente Ley;
oficio, así como aplicar las sanciones correspondientes;
de sus competencias y la garantía del ejercicio del derecho a la protección de datos personales,
coordinar las acciones necesarias con entidades del sector público y privado para su efectivo
funcionamiento;
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES - Página 33
participar en iniciativas internacionales y regionales para la protección de la protección de los datos
personales;
cláusulas o garantías adicionales o específicas;
datos;
datos personales;
posibles medidas de seguridad para cada una de ellas;
concientización en las personas y la comprensión de los riesgos, normas, garantías y derechos, en
relación con el tratamiento y uso de sus datos personales, con especial énfasis en actividades
dirigidas a grupos de atención prioritaria tales como niñas niños y adolescentes;
tratamiento de datos llevado a cabo a través del Sistema Nacional de Registros Públicos; y,
Datos será designado de acuerdo a lo establecido en la Constitución de la República, de la terna que
remita la Presidenta o Presidente de la República, siguiendo criterios de especialidad y méritos; se
sujetará a escrutinio público y derecho de impugnación ciudadana.
El Superintendente de Protección de Datos deberá ser un profesional del Derecho, de Sistemas de
Información, de Comunicación o de Tecnologías, con título de cuarto nivel y experiencia de al menos
10 años con áreas afines a la materia objeto de regulación de esta ley.
Ejercerá sus funciones por un período de 5 años y únicamente cesará en sus funciones por las
causales establecidas en la ley que regule, el servicio público que le sean aplicables o por
destitución luego de enjuiciamiento político realizado por la Asamblea Nacional.
PRIMERA.-En lo dispuesto al procedimiento administrativo se estará a lo previsto en el Código
Orgánico Administrativo.
SEGUNDA.-En el ámbito del derecho de acceso a la información pública son aplicables las
disposiciones de las leyes de la materia.
TERCERA.-En el ámbito de los datos personales registrables, son aplicables las disposiciones de las
leyes de la materia.
CUARTA.-La Autoridad de Protección de Datos Personales será responsable de coordinar las
acciones necesarias con entidades del sector público y privado para el efectivo funcionamiento del
Registre Nacional de Protección de Datos Personales.
QUINTA.-La Autoridad de Protección de Datos Personales será responsable de presentar informes
anuales de evaluación y revisión de la presente Ley, a la ciudadanía.
SEXTA.-Créase el Registro Único de Responsables y Encargados Incumplidos, en el cual se llevará
un registro de los Responsables y Encargados del Tratamiento de Datos Personales, que hayan
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES - Página 34
incurrido en una de las infracciones establecidas en la presente Ley; mismo que tendrá fines
sociales, estadísticos, preventivos y de capacitación, cuyo funcionamiento estará establecido en el
Reglamento de la Ley de Protección de Datos Personales.
SÉPTIMA.-El ejercicio de los derechos reconocidos en la presente norma podrá ser exigido por el
titular independientemente de la entrada en vigor del régimen sancionatorio.
OCTAVA.-Ninguna entidad pública o privada, podrá cobrar valores por servicios de entrega de
información sustentada en datos del solicitante de los mismos.
NOVENA.-Se procurará que en lo referente a los pueblos y nacionalidades indígenas, el tratamiento
de sus datos personales sea en sus idiomas y lenguas ancestrales.
PRIMERA.-Las disposiciones relacionadas con las medidas correctivas y el régimen sancionatorio
entrarán en vigencia en dos años contados a partir de la publicación de esta ley en el Registro
Oficial, en el transcurso de este tiempo los responsables y encargados del tratamiento de datos
personales se adecuarán a los preceptos establecidos dentro de esas disposiciones, su reglamento
de aplicación y demás normativa emitida por la Autoridad de Protección de Datos Personales. El
resto de disposiciones establecidas en esta ley entrarán en vigencia conforme se establece en la
Disposición Final de esta Ley.
SEGUNDA.-Todo tratamiento realizado previo a la entrada en vigencia de la presente Ley deberá
adecuarse a lo previsto en la presente norma dentro del plazo de dos años contados a partir de su
publicación en el Registro Oficial.
El incumplimiento de la presente disposición dará lugar a la aplicación del régimen sancionatorio
establecido en esta Ley.
TERCERA.-Los responsables y encargados del tratamiento de datos personales que hayan
implementado los preceptos recogidos dentro de esta Ley antes de plazo señalado en la Disposición
Transitoria Primera obtendrán un reconocimiento por buenas prácticas por parte de la Autoridad de
Protección de Datos Personales.
CUARTA.-La transferencia internacional de datos personales que hubiere sido realizada antes de la
entrada en vigencia de la presente Ley será legítima, sin perjuicio de que el responsable del
tratamiento de datos personales deba aplicar lo dispuesto en esta norma para acreditar su
responsabilidad proactiva y demostrada.
El responsable de tratamiento deberá adecuar la transferencia internacional de datos personales a la
presente norma en un plazo no mayor de dos años contados a partir de la publicación de la presente
norma en el Registro Oficial.
El incumplimiento de la presente disposición dará lugar a la aplicación del régimen sancionatorio
establecido en esta Ley.
PRIMERA.-De la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos, publicada
en el Registro Oficial Suplemento 557 del 17 de abril de 2002:
glosario de términos establecido en la Disposición General Novena.
SEGUNDA.-En la Ley Orgánica del Sistema Nacional de Registro de Datos Públicos publicada en el
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES - Página 35
suplemento del Registro Oficial 162 del 31 de marzo del 2010:
1.-Sustituyese:
Públicos;
Públicos;
registrables;
de carácter personal. El acceso a estos datos, solo será posible cuando quien los requiera se
encuentre debidamente legitimado, conforme a los parámetros previstos en la Ley Orgánica de
Protección de Datos Personales, su respectivo reglamento y demás normativa emitida por la
Autoridad de Protección de Datos Personales.
Al amparo de esta Ley, para acceder a la información sobre el patrimonio de las personas cualquier
solicitante deberá justificar y motivar su requerimiento, declarar el uso que hará del mismo y
consignar sus datos básicos de identidad, tales como nombres y apellidos completos, número del
documento de identidad o ciudadanía, dirección domiciliaria y los demás datos que mediante el
respectivo reglamento se determinen. Un uso distinto al declarado dará lugar a la determinación de
responsabilidades, sin perjuicio de las acciones legales que el titular de la información pueda ejercer.
La Directora o Director Nacional de Registros Públicos, definirá los demás datos que integran el
sistema nacional y el tipo de reserva y accesibilidad.
2.-Incorpórase:
Públicos antes del numeral 14 lo siguiente:
"14. Controlar y supervisar que las entidades pertenecientes al Sistema Nacional de Registros
Públicos incorporen mecanismos de protección de datos personales, así como dar cumplimiento a
las disposiciones establecidas en la Ley Orgánica de Protección de Datos Personales, su reglamento
de aplicación y demás normativa que la Autoridad de Protección de Datos Personales dicte para el
efecto:
para realizar procesos de analítica de datos, con el objeto de prestar servicios al sector público, al
sector privado y a personas en general, así como generar productos, reportes, informes o estudios,
entre otros. Se utilizarán medidas adecuadas que garanticen el derecho a la protección de datos
personales y su uso en todas las etapas del tratamiento, como por ejemplo, técnicas de disociación
de datos, y,"
3.-Suprímese del numeral 13 del artículo 31 lo siguiente: "y";
4.-Reenumerar el numeral 14 del artículo 31 por numeral "16.
TERCERA.-En el Código Orgánico de la Economía Social de los Conocimientos, Creatividad e
innovación publicado en el suplemento del Registro Oficial 899 del 09 de diciembre de 2016,
sustitúyase la palabra confidencialidad por Protección en el numeral 5 del artículo 67.
CUARTA.-En la Ley Orgánica de Telecomunicaciones, publicada en el tercer suplemento del
Registro Oficial 439 del 18 de febrero de 2015:
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES - Página 36
1.-Suprímese:
65
2.-Sustituyese:
" Art. 78 .-Seguridad de los Datos Personales.-Las y los prestadores de servicios de
telecomunicaciones deberán adoptar las medidas técnicas, organizativas y de cualquier otra índole
adecuadas para preservar la seguridad de su red con el fin de garantizar la protección de los datos
personales de conformidad con lo establecido en la Ley Orgánica de Protección de Datos
Personales."
" Art. 81 .-Guías telefónicas o de abonados en general.-Los abonados, clientes o usuarios tienen el
derecho a no figurar en guías telefónicas o de abonados. Deberán ser informados, de conformidad
con lo establecido en la Ley Orgánica de Protección de Datos Personales, de sus derechos con
respecto a la utilización de sus datos personales en las guías telefónicas o de abonados y, en
particular, sobre el fin o los fines de dichas guías, así como sobre el derecho que tienen, en forma
gratuita, a no ser incluidos, en tales guías.
" Art. 82 .-Uso comercial de datos personales.-Las y los prestadores de servicios no podrán usar
datos personales, información del uso del servicio, información de tráfico o el patrón de consumo de
sus abonados, clientes o usuarios para la promoción comercial de servicios o productos, a menos
que el abonado o usuario al que se refieran los datos o tal información, haya dado su consentimiento
conforme le establecido en la Ley Orgánica de Protección de Datos Personales. Los usuarios o
abonados dispondrán, de la posibilidad, clara y fácil de retirar su consentimiento para el uso de sus
datos y de la información antes indicada. Tal consentimiento deberá especificar los datos personales
- información cuyo uso se autorizan, el tiempo y su objetivo específico.
Sin contar con tal consentimiento y con las mismas características, las y los prestadores de servicios
de telecomunicaciones no podrán comercializar, ceder o transferir a terceros los datos personales de
sus usuarios, clientes o abonados. Igual requisito se aplicará para la información del uso del servicio,
información de tráfico o del patrón de consumo de sus usuarios, clientes y abonados."
" Art. 83 -Control técnico .-Cuando para la realización de las tareas de control técnico, ya sea para
verificar el adecuado uso del espectro radioeléctrico, la correcta prestación de los servicios de
telecomunicaciones, el apropiado uso y operación de redes de telecomunicaciones o para comprobar
las medidas implementadas para garantizar el secreto de las comunicaciones y seguridad de datos
personales, sea necesaria la utilización de equipos, infraestructuras e instalaciones que puedan
vulnerar la seguridad e integridad de las redes. La Agencia de Regulación y Control de las
Telecomunicaciones deberá diseñar y establecer procedimientos que reduzcan al mínimo el riesgo
de afectar los contenidos de las comunicaciones.
Cuando, como consecuencia de los controles técnicos efectuados, quede constancia de los
contenidos, se deberá coordinar con la Autoridad de Protección de Datos Personales para que:
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES - Página 37
Si se evidencia un tratamiento ilegítimo o ilícito de datos personales, se aplicará lo dispuesto en la
Ley Orgánica de Protección de Datos Personales.
PRIMERA.-Derógase el artículo 9 de la Ley de Comercio Electrónico, Firmas Electrónicas y
Mensajes de Datos, publicada en el suplemento del Registro Oficial 557 del 17 de abril de 2002 .
SEGUNDA.-Derógase los artículos 80 y 84 de la Ley Orgánica de Telecomunicaciones, publicada en
el tercer suplemento del Registro Oficial 439 del 18 de febrero de 2015 .
TERCERA.-Derógase el artículo 5 de la Ley Orgánica del Sistema Nacional de Registro de Datos
Públicos publicada en el suplemento del Registro Oficial 162 de 31 de marzo de 2010 .
CUARTA.-Quedan así mismo derogadas todas aquellas disposiciones de igual o menor jerarquía
que se contrapongan con la presente Ley Orgánica.
La presente "Ley entrará en vigencia una vez publicada en el Registro Oficial.
Dado y suscrito, a los diez días del mes de mayo de del año dos mil veintiuno.
ING. CÉSAR LITARDO CAICEDO
Presidente
DR. JAVIER RUBIO DUQUE
Secretario General
PALACIO NACIONAL, DISTRITO METROPOLITANO DE QUITO, A VEINTIUNO DE MAYO DE DOS
MIL VEINTIUNO.
SANCIÓNASE Y PROMÚLGASE
Lenin Moreno Garcés
PRESIDENTE CONSTITUCIONAL DE LA REPÚBLICA
Es fiel copia del original.-Lo Certifico
Quito, 21 de mayo del 2021
Dra. Johana Pesántez Benítez
SECRETARIA GENERAL JURÍDICA
PRESIDENCIA DE LA REPÚBLICA.
LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES - Página 38