EL SUPERINTENDENTE DE PROTECCIÓN DE DATOS PERSONALES

Que el artículo 66 de la Constitución de la República del Ecuador determina que “(…) Se reconoce el derecho de las personas: (...) 19. El derecho a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos o información requerirán la autorización del titular o el mandato de la ley" (...)” ;

Que el artículo 204 último inciso de la Constitución de la República del Ecuador estatuye que “(…) La Función de Transparencia y Control Social estará formada por el Consejo de Participación Ciudadana y Control Social, la Defensoría del Pueblo, la Contraloría General del Estado y las superintendencias. Estas entidades tendrán personalidad jurídica y autonomía administrativa, financiera, presupuestaria y organizativa (…)” ;

Que el artículo 213 de la Constitución de la República del Ecuador establece que “(…) Las superintendencias son organismos técnicos de vigilancia, auditoría, intervención y control de las actividades económicas, sociales y ambientales, y de los servicios que prestan las entidades públicas y privadas, con el propósito de que estas actividades y servicios se sujeten al ordenamiento jurídico y atiendan al interés general (…)”; que forman parte de la Función de Transparencia y Control Social y que conforme dispone el artículo 204 de la Constitución de la República del Ecuador: “(…) Estas entidades tendrán personalidad jurídica y autonomía administrativa, financiera, presupuestaria y organizativa (…)” ;

Que el numeral l del artículo 225de la norma ibidem expresamente señala que son entidades del sector público los organismos y dependencias de las funciones Ejecutiva, Legislativa, Judicial, Electoral y de Transparencia y Control Social;

Que el artículo 226 de la Constitución de la República del Ecuador dispone que “(…) Las instituciones del Estado, sus organismos, dependencias, las servidoras o servidores públicos y las personas que actúen en virtud de una potestad estatal ejercerán solamente las competencias y facultades que les sean atribuidas en la Constitución y la ley (…)” ;

Que el artículo 227 de la Constitución de la República del Ecuador determina que “(…) La administración pública constituye un servicio a la colectividad que se rige por los principios de eficacia, eficiencia, calidad, jerarquía, desconcentración, descentralización, coordinación, participación, planificación, transparencia y evaluación (...)” ;

Que el artículo 47 del Código Orgánico Administrativo estatuye que “(…) La máxima autoridad administrativa de la correspondiente entidad pública ejerce su representación para intervenir en todos los actos, contratos y relaciones jurídicas sujetas a su competencia. Esta autoridad no requiere delegación o autorización alguna de un órgano o entidad superior, salvo en los casos expresamente previstos en la ley (…)” ;

Que el artículo 3 de la Ley Orgánica de Protección de Datos Personales (“LOPDP”) establece que “Sin perjuicio de la normativa establecida en los instrumentos internacionales ratificados por el Estado ecuatoriano que versen sobre esta materia, se aplicará la presente Ley cuando: 3. Se realice tratamiento de datos personales de titulares que residan en el Ecuador por parte de un responsable o encargado no establecido en el Ecuador, cuando las actividades del tratamiento estén relacionadas con: 1) La oferta de bienes o servicios a dichos titulares, independientemente de si a estos se les requiere su pago, o, 2) del control de su comportamiento, en la medida en que este tenga lugar en el Ecuador; y, 4. Al responsable o encargado del tratamiento de datos personales, no domiciliado en el territorio nacional, le resulte aplicable la legislación nacional en virtud de un contrato o de las regulaciones vigentes del derecho internacional público” ;

SUPERINTENDENCIA DE PROTECCIÓN DE DATOS PERSONALES

Que el artículo 7 LOPDP señala que “El tratamiento será legítimo y lícito si se cumple con alguna de las siguientes condiciones: 1) Por consentimiento del titular para el tratamiento de sus datos personales, para una o varias finalidades especificas; 2) Que sea realizado por el responsable del tratamiento en cumplimiento de una obligación legal; 3) Que sea realizado por el responsable del tratamiento, por orden judicial, debiendo observarse los principios de la presente Ley; 4) Que el tratamiento de datos personales se sustente en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, derivados de una competencia atribuida por una norma con rango de ley, sujeto al cumplimiento de los estándares internacionales de derechos humanos aplicables a la materia, al cumplimiento de los principios de esta Ley y a los criterios de legalidad, proporcionalidad y necesidad; 5) Para la ejecución de medidas precontractuales a petición del titular o para el cumplimiento de obligaciones contractuales perseguidas por el responsable del tratamiento de datos personales, encargado del tratamiento de datos personales o por un tercero legalmente habilitado; 6) Para proteger intereses vitales del interesado o de otra persona natural, como su vida, salud o integridad; 7) Para tratamiento de datos personales que consten en bases de datos de acceso público; u, 8) Para satisfacer un interés legítimo del responsable de tratamiento o de tercero, siempre que no prevalezca el interés o derechos fundamentales de los titulares al amparo de lo dispuesto en esta norma” ;

Que el literal a del artículo 10 LOPDP establece que “(…) Los datos personales deben tratarse con estricto apego y cumplimiento a los principios, derechos y obligaciones establecidas en la Constitución, los instrumentos internacionales, la presente Ley, su Reglamento y la demás normativa y jurisprudencia aplicable (…)” ;

Que el literal b del artículo 10 de la misma norma señala que “(…) El tratamiento de datos personales deberá ser leal, por lo que para los titulares debe quedar claro que se están recogiendo, utilizando, consultando o tratando de otra manera, datos personales que les conciernen, así como las formas en que dichos datos son o serán tratados (…)” ;

Que el literal c del artículo 10 LOPDP dispone que “(…) El tratamiento de datos personales deberá ser transparente, por lo que toda información o comunicación relativa a este tratamiento deberá ser fácilmente accesible y fácil de entender y se deberá utilizar un lenguaje sencillo y claro (…)” ;

Que el literal f del artículo 10 LOPDP determina que “(…) El tratamiento debe ser adecuado, necesario, oportuno, relevante y no excesivo con relación a las finalidades para las cuales hayan sido recogidos o a la naturaleza misma, de las categorías especiales de datos (…)” ;

Que el literal k del artículo 10 LOPDP estatuye: “(…) El responsable del tratamiento de datos personales deberá acreditar el haber implementado mecanismos para la protección de datos personales (…)” ;

Que el artículo 33 LOPDP dispone que “(…) los datos personales podrán transferirse o comunicarse a terceros cuando se realice para el cumplimiento de fines directamente relacionados con las funciones legítimas del responsable y del destinatario, cuando la transferencia se encuentre configurada dentro de una de las causales de legitimidad establecidas en esta Ley, y se cuente, además, con el consentimiento del titular. Se entenderá que el consentimiento es informado cuando para la transferencia o comunicación de datos personales el Responsable del tratamiento haya entregado información suficiente al titular que le permita conocer la finalidad a que se destinarán sus datos y el tipo de actividad del tercero a quien se pretende transferir o comunicar dichos datos (…)” ;

Que el artículo 47 LOPDP determina que “El responsable del tratamiento de datos personales está obligado a: (...) 15) Los demás establecidos en la presente Ley en su reglamento, en directrices, lineamientos, regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativa sobre la materia. (...)” ;

SUPERINTENDENCIA DE PROTECCIÓN DE DATOS PERSONALES

Que el artículo 56 LOPDP estatuye que “Por principio general se podrán transferir o comunicar datos personales a países, organizaciones y personas jurídicas en general que brinden niveles adecuados de protección, y que se ajusten a la obligación de cumplimiento y garantía de estándares reconocidos internacionalmente conforme a los criterios establecidos en el Reglamento a la ley. Cuando resulte necesario por la naturaleza de la transferencia, la Autoridad de Protección de Datos Personales podrá implementar métodos de control ex post que serán definidos en el Reglamento a la Ley. También establecerá acciones conjuntas entre las autoridades de ambos países con el objeto de prevenir, corregir o mitigar el tratamiento indebido de datos en ambos países. Para declarar de nivel adecuado de protección a países u organizaciones, la Autoridad de Protección de Datos Personales emitirá resolución motivada, (...)” ;

Que el artículo 57 LOPDP establece que “En caso de realizar una transferencia internacional de datos a un país, organización o territorio económico internacional que no haya sido calificado por la Autoridad de Protección de Datos de tener un nivel adecuado de protección, se podrá realizar la referida transferencia internacional siempre que el responsable

o encargado del tratamiento de datos personales ofrezca garantías adecuadas para el titular (...)” ;

Que el artículo 58 LOPDP señala que “(…) Los responsables o encargados del tratamiento de datos personales podrán presentar a la Autoridad de Protección de Datos Personales, normas corporativas vinculantes, específicas y aplicadas al ámbito de su actividad, (...)” ;

Que el artículo 59 LOPDP dispone que “Para todos aquellos casos no contemplados en los artículos precedentes, en los que se pretenda realizar una transferencia internacional de datos personales, se requerirá la autorización de la Autoridad de Protección de Datos, para lo cual, se deberá garantizar documentadamente el cumplimiento de la normativa vigente sobre protección de datos de carácter personal, según lo determinado en el Reglamento de aplicación a la presente Ley. Sin perjuicio de lo anterior, la información sobre transferencias internacionales de datos personales deberá ser registradas previamente en el Registro Nacional de Protección de Datos Personales por parte del responsable del tratamiento o, en su caso, del encargado, según el procedimiento establecido en el Reglamento de aplicación a la presente Ley” ;

Que el artículo 60 LOPDP determina que “Sin perjuicio de lo establecido en los artículos precedentes se podrá realizar transferencias o comunicaciones internacionales de datos personales, en los siguientes casos: 1. Cuando los datos personales sean requeridos para el cumplimiento de competencias institucionales, de conformidad con la normativa aplicable; 2. Cuando el titular haya otorgado su consentimiento explícito a la transferencia o comunicación propuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias o comunicaciones internacionales, debido a la ausencia de una resolución de nivel adecuado de protección y de garantías adecuadas; 3. Cuando la transferencia internacional tenga como finalidad el cumplimiento de una obligación legal o regulatoria; 4. Cuando la transferencia internacional de datos personales sea necesaria para la ejecución de un contrato entre el titular y el responsable del tratamiento de datos personales, o para la ejecución de medidas de carácter precontractual adoptadas a solicitud del titular; 5. Cuando la transferencia sea necesaria por razones de interés público; 6. Cuando la transferencia internacional sea necesaria para la colaboración judicial internacional; 7. Cuando la transferencia internacional sea necesaria para la cooperación dentro de la investigación de infracciones; 8. Cuando la transferencia internacional es necesaria para el cumplimiento de compromisos adquiridos en procesos de cooperación internacional entre Estados; 9. Cuando se realicen transferencias de datos en operaciones bancarias y bursátiles; 10. Cuando la transferencia internacional de datos personales sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones, acciones administrativas o jurisdiccionales y recursos; y, 11. Cuando la transferencia internacional de datos personales sea necesaria para proteger los intereses vitales del

SUPERINTENDENCIA DE PROTECCIÓN DE DATOS PERSONALES

interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento” ;

Que el numeral 1 del artículo 3 del Reglamento General de la Ley Orgánica de Protección de Datos Personales (“RGLOPDP”) estatuye que “(…) 1. Cuando el responsable y/o encargado del tratamiento de datos personales no tenga domicilio en territorio nacional, conforme el Artículo 3, numeral 3 de la Ley Orgánica de Protección de Datos Personales, deberán designar un apoderado especial en el Ecuador con residencia en el país, que cuente con facultades suficientes para comparecer a nombre de su representado ante instancias administrativas y judiciales en la materia. (…)” ;

Que el inciso final del artículo 3 RGLOPDP establece que “La Autoridad de Protección de Datos Personales emitirá una guía técnica respecto de la aplicabilidad de los criterios anteriores”.

Que el artículo 21 RGLOPDP señala que “La transferencia o comunicación de datos personales a un tercero o encargado requerirá el consentimiento del titular, a menos que, previo a realizar la misma, se han disociado los datos, se han utilizado mecanismos de cifrado robustos de los datos u otros mecanismos orientados a la privacidad e intimidad de los titulares de los datos personales; de manera que no se pueda identificar a qué persona se refieren” ;

Que el artículo 22 RGLOPDP dispone que “(…) La transferencia o comunicación de datos personales a terceros se podrá realizar siempre que concurran los siguientes supuestos: 1. Para el cumplimiento de fines directamente relacionados con las funciones legítimas del responsable y del tercero destinatario, en cuyo caso el destinatario se obliga a cumplir con la normativa de protección de datos; y, 2. Cuando se cuente con el consentimiento previo del titular, el cual puede ser revocado en cualquier momento” ;

Que el artículo 28 de la Ley Orgánica para la Optimización y Eficiencia de Trámites Administrativos determina que “Los documentos otorgados en territorio extranjero, legalizados ante agente diplomático o cónsul del Ecuador debidamente acreditado en su territorio o apostillados conforme el Convenio de La Haya tienen plena validez legal en territorio ecuatoriano, sin que sea necesario un nuevo requisito o acreditación por ninguna otra entidad. Tampoco requerirán nueva legalización o autenticación los documentos otorgados ante los cónsules del Ecuador, en el ejercicio de funciones notariales. Esta disposición es de aplicación obligatoria para las entidades del sector privado” ;

Que el artículo 29 de la Ley Orgánica para la Optimización y Eficiencia de Trámites Administrativos estatuye que “Las entidades reguladas por esta Ley admitirán como válidas, mientras no se demuestre lo contrario, las traducciones de documentos en idioma extranjero efectuadas extrajudicialmente por uno o más intérpretes siempre que la firma o firmas se encuentren autenticadas por un notario, por un cónsul del Ecuador o reconocida ante un juez de lo civil” ;

EN EJERCICIO de sus atribuciones constitucionales, legales y reglamentarias,

EXPEDIR LA GUÍA TÉCNICA OBLIGATORIA PARA EL REGISTRO DE LOS APODERADOS ESPECIALES DE RESPONSABLES, CONJUNTOS O NO, Y ENCARGADOS EXTRANJEROS QUE

REALICEN ACTIVIDADES DE TRATAMIENTO DE DATOS PERSONALES EN LA

REPÚBLICA DEL ECUADOR

Artículo 1

Ámbito de aplicación.-

ser cumplidas de manera obligatoria por todos los responsables extranjeros, sean conjuntos o no, y por los encargados extranjeros (“los sujetos regulados”) que, sin estar domiciliados en el territorio de la República del Ecuador (“el territorio” o “el Ecuador”):

1.1. Oferten bienes y/o servicios a titulares de datos personales que residan en el territorio;

SUPERINTENDENCIA DE PROTECCIÓN DE DATOS PERSONALES

1.2. Formen parte del sistema de protección de datos personales del Ecuador,

independientemente de que, si respecto de los bienes o servicios que ofertan, se requiera o no un pago; o,

1.3. Realicen control de comportamiento, en la medida en que dicho control tuviere lugar

en el territorio, ya fuere de forma física, virtual o remota.

Artículo 2

Designación de apoderado especial.-

territorio, de manera permanente, un apoderado especial con amplias y suficientes facultades para comparecer, a nombre de sus representados, ante instancias administrativas y judiciales en materia de protección de datos personales; y, de manera señalada aunque no exclusiva, para atender y tramitar o, en su caso, para colaborar en el cumplimiento de la obligación de atender y tramitar las peticiones o quejas que presenten los titulares en ejercicio de los derechos que la LOPDP les confiere.

Las facultades del apoderado especial no podrán estar sujetas a limitaciones o condiciones de ninguna clase que pudieren servir para menoscabar, entorpecer, dilatar, conculcar o que, de cualquier otra manera, se presten para tornar ineficaces los derechos de los titulares.

En el texto del poder los responsables extranjeros harán constar, además de sus denominaciones o razones sociales, las marcas o nombres comerciales que utilizan para distinguir sus productos o servicios en el mercado, y que son los que comúnmente el público o los titulares usan para identificarlos. En el caso de los encargados extranjeros, además de sus denominaciones o razones sociales, harán constar las de los responsables a nombre de quienes y por cuya cuenta tratan datos personales. En uno y otro caso, en el instrumento los sujetos regulados deberán consignar también:

2.1. Las direcciones electrónicas y físicas, así como los números telefónicos, de sus

respectivas casas matrices; y,

2.2. Las direcciones electrónicas y físicas, así como los números telefónicos, de los

apoderados especiales que han designado para el territorio.

En caso de no cumplirse con las obligaciones que se instituyen en virtud de los incisos precedentes, por las actividades de tratamiento responderán, administrativamente, todas las personas naturales o jurídicas que, según las circunstancias, aparentaren actuar u obrar por cuenta de los sujetos regulados; ello sin perjuicio de que la Superintendencia de Protección de Datos Personales (“la Superintendencia”, “la SPDP” o “la entidad”) pueda dictar y aplicar medidas correctivas, en los términos de los artículos 65 y 66 LOPDP.

Artículo 3

Requisitos para ser apoderado especial.-

podrá recaer en una persona natural o en una persona jurídica que tenga la calidad de sociedad mercantil activa, establecida o domiciliada en el Ecuador.

Si fuere una persona natural, será ecuatoriana domiciliada en el Ecuador; mas si fuere extranjera, deberá tener en el territorio la calidad de residente. En uno y otro caso, la persona designada deberá hallarse en goce de sus derechos políticos.

Si fuere una persona jurídica, su objeto social deberá permitirle obrar como mandataria. La SPDP podrá requerirle información a la Superintendencia de Compañías, Valores y Seguros para verificar el cumplimiento de este requisito, así como el hecho de que la sociedad se encuentre al día en el cumplimiento de sus obligaciones y que el nombramiento de su respectivo representante legal se halle vigente.

Artículo 4

Registro de apoderados especiales.-

a sus apoderados especiales, para cuyos efectos presentarán el documento en el que conste conferido el poder especial.

Si el poder fuere otorgado en el extranjero:

SUPERINTENDENCIA DE PROTECCIÓN DE DATOS PERSONALES

4.1. Se le adicionará la apostilla que está reglada por la Convención de La Haya del 5 de

octubre de 1961; o,

4.2. Se lo hará certificar ante el agente diplomático o consular del Ecuador residente en el

Estado en donde se lo otorgó, en caso de que tal Estado no fuere suscriptor del Convenio de La Haya.

Los sujetos regulados podrán, también, otorgar el mandato especial ante el agente diplomático

• consular ecuatoriano más próximo al de sus respectivos domicilios, de ser el caso.

Los poderes otorgados en idiomas distintos al que es el oficial en el territorio deberán ser traducidos al español, de conformidad con las previsiones del artículo 29 de la Ley Orgánica para la Optimización y Eficiencia de Trámites Administrativos.

Para proceder al registro, los sujetos regulados, a través de las personas que hubiesen designado como apoderados especiales, presentarán una solicitud y la suscribirán con firma electrónica verificada a través de la aplicación FirmaEc.

El ingreso de la solicitud y la documentación se realizará a través de los medios físicos y/o electrónicos que habilite la SPDP para el efecto.

Artículo 5

Calificación del apoderado y de la suficiencia del poder.-

constatará que el apoderado cumpla con los requisitos establecidos en esta guía técnica obligatoria y, además calificará si el poder especial que se le ha otorgado es amplio y suficiente; es decir, si se ciñe a los lineamientos del artículo 2 de esta guía técnica. De ser así, la SPDP procederá al registro y se lo notificará a los sujetos regulados.

Si existieren observaciones, la Superintendencia se las notificará mediante la devolución del trámite al solicitante, quien dispondrá de un término de quince (15) días para subsanarlas.

La falta de entrega o de subsanación de las observaciones dentro de dicho término conllevará la conclusión, de pleno derecho, del proceso administrativo de registro.

Con el objeto de facilitarles a los titulares el efectivo ejercicio de sus derechos, tanto en la página web de la SPDP como en las que tuvieren los sujetos regulados, constará publicado el registro de apoderados especiales designados en el territorio, junto con sus correspondientes datos de contacto.

Artículo 6

Obligaciones de los sujetos regulados.-

decidan sobre la finalidad de determinados tratamientos en el extranjero y todo encargado que realice actividades de tratamiento bajo las directrices y las instrucciones de un responsable, deberán presentarle a la Superintendencia:

6.1. El acuerdo de corresponsabilidad para el tratamiento adecuado de datos personales o

el acuerdo de encargo, según corresponda;

6.2. El registro de actividades de tratamiento (“RAT”) por cada una de las actividades de

tratamiento que realicen, de conformidad con artículo 39 RGLOPDP;

6.3. El análisis de riesgos por cada actividad de tratamiento de tratamiento de datos

personales que realicen;

6.4. El flujo de datos personales que realicen por cada tratamiento;

6.5. El detalle de las medidas de seguridad que han implementado para la comunicación

y transferencia seguras de datos personales, esto sin perjuicio de las atribuciones que, en este ámbito, le competen a la SPDP; y,

6.6. Sus códigos de autorregulación, en caso de tenerlos, los que, en todo caso, estarán

sujetos a la aprobación de la Superintendencia.

Artículo 7

Actualización del registro del apoderado especial.-

a solicitar el registro del apoderado especial, con fines de actualización, en los siguientes casos:

SUPERINTENDENCIA DE PROTECCIÓN DE DATOS PERSONALES

7.1. Muerte del apoderado especial;

7.2. Renuncia del apoderado especial;

7.3. Vencimiento del plazo del poder especial conferido, si lo tuviere; y,

7.4. Cambio de denominación, absorción, escisión, transformación, disolución o

liquidación de la persona jurídica designada como apoderada especial.

Salvo la circunstancia que consta enunciada en el apartado 7.1., el apoderado especial que estuviere registrado seguirá respondiendo ante la SPDP y ante los titulares hasta que se proceda a la actualización del registro. En el caso de absorción, responderá la persona jurídica absorbente dada su calidad de sucesora jurídica de la absorbida; y, en el caso de escisión, se aplicará la norma contenida en el artículo 351 de la Ley de Compañías.

DISPOSICIÓN GENERAL ÚNICA

Las actividades de tratamiento que supongan la realización de transferencias o comunicaciones internacionales de datos a favor de los sujetos regulados, estarán sujetas a las normas del Capítulo IX LOPDP así como a las disposiciones del Capítulo XII RGLOPDP y a las demás que fueren dictadas por la SPDP.

Artículo 1

Ámbito de aplicación.-

Las disposiciones establecidas en esta guía técnica deberán ser cumplidas de manera obligatoria por todos los responsables extranjeros, sean conjuntos o no, y por los encargados extranjeros (“los sujetos regulados”) que, sin estar domiciliados en el territorio de la República del Ecuador (“el territorio” o “el Ecuador”): 1.1. Oferten bienes y/o servicios a titulares de datos personales que residan en el territorio; SUPERINTENDENCIA DE PROTECCIÓN DE DATOS PERSONALES 1.2. Formen parte del sistema de protección de datos personales del Ecuador, independientemente de que, si respecto de los bienes o servicios que ofertan, se requiera o no un pago; o, 1.3. Realicen control de comportamiento, en la medida en que dicho control tuviere lugar en el territorio, ya fuere de forma física, virtual o remota.

Artículo 2

Designación de apoderado especial.-

Los sujetos regulados deberán tener en el territorio, de manera permanente, un apoderado especial con amplias y suficientes facultades para comparecer, a nombre de sus representados, ante instancias administrativas y judiciales en materia de protección de datos personales; y, de manera señalada aunque no exclusiva, para atender y tramitar o, en su caso, para colaborar en el cumplimiento de la obligación de atender y tramitar las peticiones o quejas que presenten los titulares en ejercicio de los derechos que la LOPDP les confiere. Las facultades del apoderado especial no podrán estar sujetas a limitaciones o condiciones de ninguna clase que pudieren servir para menoscabar, entorpecer, dilatar, conculcar o que, de cualquier otra manera, se presten para tornar ineficaces los derechos de los titulares. En el texto del poder los responsables extranjeros harán constar, además de sus denominaciones o razones sociales, las marcas o nombres comerciales que utilizan para distinguir sus productos o servicios en el mercado, y que son los que comúnmente el público o los titulares usan para identificarlos. En el caso de los encargados extranjeros, además de sus denominaciones o razones sociales, harán constar las de los responsables a nombre de quienes y por cuya cuenta tratan datos personales. En uno y otro caso, en el instrumento los sujetos regulados deberán consignar también: 2.1. Las direcciones electrónicas y físicas, así como los números telefónicos, de sus respectivas casas matrices; y, 2.2. Las direcciones electrónicas y físicas, así como los números telefónicos, de los apoderados especiales que han designado para el territorio. En caso de no cumplirse con las obligaciones que se instituyen en virtud de los incisos precedentes, por las actividades de tratamiento responderán, administrativamente, todas las personas naturales o jurídicas que, según las circunstancias, aparentaren actuar u obrar por cuenta de los sujetos regulados; ello sin perjuicio de que la Superintendencia de Protección de Datos Personales (“la Superintendencia”, “la SPDP” o “la entidad”) pueda dictar y aplicar medidas correctivas, en los términos de los artículos 65 y 66 LOPDP.

Artículo 3

Requisitos para ser apoderado especial.-

La designación del apoderado especial podrá recaer en una persona natural o en una persona jurídica que tenga la calidad de sociedad mercantil activa, establecida o domiciliada en el Ecuador. Si fuere una persona natural, será ecuatoriana domiciliada en el Ecuador; mas si fuere extranjera, deberá tener en el territorio la calidad de residente. En uno y otro caso, la persona designada deberá hallarse en goce de sus derechos políticos. Si fuere una persona jurídica, su objeto social deberá permitirle obrar como mandataria. La SPDP podrá requerirle información a la Superintendencia de Compañías, Valores y Seguros para verificar el cumplimiento de este requisito, así como el hecho de que la sociedad se encuentre al día en el cumplimiento de sus obligaciones y que el nombramiento de su respectivo representante legal se halle vigente.

Artículo 4

Registro de apoderados especiales.-

Los sujetos regulados registrarán en la SPDP a sus apoderados especiales, para cuyos efectos presentarán el documento en el que conste conferido el poder especial. Si el poder fuere otorgado en el extranjero: SUPERINTENDENCIA DE PROTECCIÓN DE DATOS PERSONALES 4.1. Se le adicionará la apostilla que está reglada por la Convención de La Haya del 5 de octubre de 1961; o, 4.2. Se lo hará certificar ante el agente diplomático o consular del Ecuador residente en el Estado en donde se lo otorgó, en caso de que tal Estado no fuere suscriptor del Convenio de La Haya. Los sujetos regulados podrán, también, otorgar el mandato especial ante el agente diplomático

• consular ecuatoriano más próximo al de sus respectivos domicilios, de ser el caso.

Los poderes otorgados en idiomas distintos al que es el oficial en el territorio deberán ser traducidos al español, de conformidad con las previsiones del artículo 29 de la Ley Orgánica para la Optimización y Eficiencia de Trámites Administrativos. Para proceder al registro, los sujetos regulados, a través de las personas que hubiesen designado como apoderados especiales, presentarán una solicitud y la suscribirán con firma electrónica verificada a través de la aplicación FirmaEc. El ingreso de la solicitud y la documentación se realizará a través de los medios físicos y/o electrónicos que habilite la SPDP para el efecto.

Artículo 5

Calificación del apoderado y de la suficiencia del poder.-

La Superintendencia constatará que el apoderado cumpla con los requisitos establecidos en esta guía técnica obligatoria y, además calificará si el poder especial que se le ha otorgado es amplio y suficiente; es decir, si se ciñe a los lineamientos del artículo 2 de esta guía técnica. De ser así, la SPDP procederá al registro y se lo notificará a los sujetos regulados. Si existieren observaciones, la Superintendencia se las notificará mediante la devolución del trámite al solicitante, quien dispondrá de un término de quince (15) días para subsanarlas. La falta de entrega o de subsanación de las observaciones dentro de dicho término conllevará la conclusión, de pleno derecho, del proceso administrativo de registro. Con el objeto de facilitarles a los titulares el efectivo ejercicio de sus derechos, tanto en la página web de la SPDP como en las que tuvieren los sujetos regulados, constará publicado el registro de apoderados especiales designados en el territorio, junto con sus correspondientes datos de contacto.

Artículo 6

Obligaciones de los sujetos regulados.-

Todos los responsables, conjuntos o no, que decidan sobre la finalidad de determinados tratamientos en el extranjero y todo encargado que realice actividades de tratamiento bajo las directrices y las instrucciones de un responsable, deberán presentarle a la Superintendencia: 6.1. El acuerdo de corresponsabilidad para el tratamiento adecuado de datos personales o el acuerdo de encargo, según corresponda; 6.2. El registro de actividades de tratamiento (“RAT”) por cada una de las actividades de tratamiento que realicen, de conformidad con artículo 39 RGLOPDP; 6.3. El análisis de riesgos por cada actividad de tratamiento de tratamiento de datos personales que realicen; 6.4. El flujo de datos personales que realicen por cada tratamiento; 6.5. El detalle de las medidas de seguridad que han implementado para la comunicación y transferencia seguras de datos personales, esto sin perjuicio de las atribuciones que, en este ámbito, le competen a la SPDP; y, 6.6. Sus códigos de autorregulación, en caso de tenerlos, los que, en todo caso, estarán sujetos a la aprobación de la Superintendencia.

Artículo 7

Actualización del registro del apoderado especial.-

Los sujetos regulados volverán a solicitar el registro del apoderado especial, con fines de actualización, en los siguientes casos: SUPERINTENDENCIA DE PROTECCIÓN DE DATOS PERSONALES 7.1. Muerte del apoderado especial; 7.2. Renuncia del apoderado especial; 7.3. Vencimiento del plazo del poder especial conferido, si lo tuviere; y, 7.4. Cambio de denominación, absorción, escisión, transformación, disolución o liquidación de la persona jurídica designada como apoderada especial. Salvo la circunstancia que consta enunciada en el apartado 7.1., el apoderado especial que estuviere registrado seguirá respondiendo ante la SPDP y ante los titulares hasta que se proceda a la actualización del registro. En el caso de absorción, responderá la persona jurídica absorbente dada su calidad de sucesora jurídica de la absorbida; y, en el caso de escisión, se aplicará la norma contenida en el artículo 351 de la Ley de Compañías. DISPOSICIÓN GENERAL ÚNICA Las actividades de tratamiento que supongan la realización de transferencias o comunicaciones internacionales de datos a favor de los sujetos regulados, estarán sujetas a las normas del Capítulo IX LOPDP así como a las disposiciones del Capítulo XII RGLOPDP y a las demás que fueren dictadas por la SPDP.

Primera.- Los sujetos regulados que estuvieren ejecutando actividades de tratamiento de datos personales a la fecha de suscripción de esta guía técnica, deberán cumplir de manera obligatoria con el procedimiento de registro de los apoderados especiales ante la Superintendencia dentro del plazo de seis meses que empezará a discurrir desde su publicación en el Registro Oficial.

Segunda.- A pesar de hallarse discurriendo el plazo establecido en la disposición transitoria primera, y en salvaguarda de los derechos de los titulares de datos personales, la SPDP podrá aplicar, en cualquier momento, lo que está previsto en el inciso final del artículo 2 de esta guía técnica.

Tercera.- Una vez concluido el plazo anteriormente señalado, la SPDP procederá a ejecutar los procesos administrativos de control de registro de los apoderados especiales.

Cuarta.- Hasta que la Superintendencia pueda habilitar la plataforma electrónica para el registro de los apoderados especiales, la solicitud (con firma autógrafa) y los poderes especiales deberán presentarse en las oficinas donde funcione la entidad.

Primera.- De la ejecución de esta resolución quedan encargadas las unidades administrativas de la Superintendencia dentro del ámbito de sus respectivas competencias.

Segunda.- Esta resolución entrará en vigencia a partir de su suscripción, sin perjuicio de su publicación en el Registro Oficial.

Dada y firmada en la ciudad de Santiago de Guayaquil, el 6 de septiembre del 2024.

``` Firmado electrónicamente por: FABRIZIO ROBERTO PERALTA DIAZ

```

FABRIZIO PERALTA-DÍAZ SUPERINTENDENTE DE PROTECCIÓN DE DATOS PERSONALES