RESOLUCIÓN Nº SPDP-SPDP-2024-0013-R

Este reglamento tiene por objeto regular el proceso de presentación, recepción y trámite de las denuncias o solicitudes ingresadas por los administrados.

El reglamento será aplicable para los administrados que encontraren motivos para considerar o presumir que: 2.1. Se ha vulnerado el ejercicio de sus derechos; 2.2. Se han inaplicado principios generales o específicos de protección de datos personales; o, 2.3. El responsable o encargado del tratamiento ha incumplido las obligaciones que tengan respecto de los titulares.

En los procesos administrativos recogidos en este reglamento se aplicarán los siguientes principios: celeridad, legalidad, oportunidad, transparencia, buena fe, objetividad, eficacia, eficiencia, calidad; así como los principios y derechos reconocidos en la CRE, en el COA, en la LOPDP, en el RGLOPDP, en las regulaciones expedidas por la SPDP y, de ser necesario, en los estándares internacionales aplicables a la materia.

Para la aplicación de este reglamento se establecen las siguientes definiciones: 4.1. Denuncia: Medio por el cual cualquier persona, natural o jurídica, pone en conocimiento de la SPDP hechos que constituyen una presunta infracción a la LOPDP, el RGLOPDP, sus regulaciones y demás normativa aplicable. En ella se podrían incluir, pero no verse limitada, hechos vinculados con el uso indebido de datos personales, violaciones de seguridad o prácticas ilegales por parte de un responsable o encargado del tratamiento de datos personales. 4.2. Solicitud: Medio por el cual se pide atender o solucionar un problema específico relacionado con el tratamiento de los datos personales del titular. En ella se podrían incluir, pero no verse limitado, situaciones como la falta de respuesta al ejercicio de derechos o la insatisfacción en cuanto a la forma en que fueron tratados los datos personales. Su objetivo es obtener una acción por parte del responsable o encargado del tratamiento de datos personales, así como recomendar la imposición de medidas correctivas o, también, recomendar el inicio de un procedimiento administrativo sancionador. 4.3. Razón de recepción: Es la constancia auténtica, física o digital, con la que se acredita la recepción de la denuncia o solicitud. Debe incluir la fecha y hora de presentación.

Toda denuncia o solicitud podrá ser presentada a través de los siguientes medios: 5.1. Por escrito: La denuncia o solicitud podrá ser presentada por escrito, esto es, en soporte papel, de manera clara y precisa, junto con los anexos que fueren necesarios, en las ventanillas que habilitare la SPDP. 5.2. Por medios electrónicos: A través de su portal institucional, la SPDP pondrá a disposición de los interesados: 5.2.1. El “Formulario para la Presentación de Denuncias”, que se integra a esta resolución como Anexo 1; y, 5.2.2. El “Formulario para la Presentación de Solicitudes de Titulares”, que se integra a esta resolución como Anexo 2. En caso de emplearse medios electrónicos, los formularios deberán contar con firma electrónica que pueda ser verificable mediante el aplicativo FirmaEC.

La denuncia será presentada a través de los medios habilitados para el efecto, de conformidad con el artículo 5 de este reglamento. Si los hechos o datos asentados en la denuncia ya hubiesen sido conocidos con anterioridad en otra denuncia previa, sustanciada a través del respectivo procedimiento y dentro del cual se configure la identidad subjetiva, objetiva y de causa, la SPDP ordenará el archivo.

Una vez presentada la denuncia, la SPDP podrá realizar actuaciones previas o imponer medidas provisionales de protección de conformidad con el COA y este reglamento. La denuncia, por sí misma, no constituye ningún elemento o condición que obligue a la SPDP a iniciar el procedimiento administrativo, salvo que existieren elementos suficientes que lo tornen pertinente. La decisión de iniciar o no el procedimiento se comunicará al denunciante.

La SPDP realizará el registro formal de todas las denuncias presentadas.

La SPDP podrá iniciar, de oficio, actuaciones previas con el fin de: 9.1. Identificar a la persona que pudiere ser estimada como responsable del cometimiento de una posible infracción (“el sujeto investigado” o “los sujetos investigados”); 9.2. Establecer las circunstancias del caso concreto; 9.3. Determinar las circunstancias relevantes que concurran; y, 9.4. Señalar la conveniencia o pertinencia de iniciar o no el procedimiento administrativo.

Mediante acto administrativo, la SPDP podrá, en ejercicio de sus atribuciones y facultades, ordenar la investigación, averiguación, auditoría o inspección en contra del sujeto investigado. Si fueren dos o más los sujetos investigados, tales actuaciones se podrán realizar de forma individual o conjunta. Las actuaciones previas pueden ser ejecutadas por gestión directa o delegada, de acuerdo con el COA y este reglamento.

La actuación previa se iniciará con el acto administrativo que la ordene, expedido por el Superintendente de Protección de Datos Personales o su delegado, y será notificada al sujeto investigado en caso de hallarse identificado o individualizado. Practicada la actuación previa, se emitirá un informe preliminar que se pondrá en conocimiento del sujeto investigado para que, dentro del término de diez (10) días contado desde su notificación, exprese su criterio y efectúe sus descargos con relación a los documentos y hallazgos preliminares. Una vez recibido, el criterio y los descargos del sujeto investigado serán valorados por la SPDP y tomados en cuenta dentro del informe final, con lo cual concluirá la actuación previa. Si el sujeto investigado no aportare su criterio ni efectuare descargos en el término ya señalado, el informe producirá plenos efectos jurídicos como acto de simple administración y tendrá la calidad de informe final, con lo cual concluirá la actuación previa. La SPDP podrá calificar, producir y practicar como prueba, dentro de procedimientos administrativos sustanciados por aquella, la información o los documentos obtenidos en las actuaciones previas.

Una vez comenzadas las actuaciones previas, la decisión de inicio del procedimiento administrativo se notificará a la persona interesada dentro de un plazo de hasta seis (6) meses, que se contará desde la fecha de expedición del acto administrativo con el que se ordenan las actuaciones previas, bajo las prevenciones del artículo 179 COA. CAPÍTULO II MEDIDAS PROVISIONALES DE PROTECCIÓN

De oficio o a petición de parte, la SPDP podrá disponer, motivadamente, las siguientes medidas provisionales de protección, necesarias y proporcionadas para salvaguardar el derecho fundamental a la protección de los datos de los titulares: 13.1. Retiro de productos, documentos u otros bienes; 13.2. Limitaciones o restricciones de acceso; 13.3. Desalojo de personas; 13.4. Suspensión de la actividad de tratamiento; y/o, 13.5. Clausura de establecimientos. Las medidas antedichas se podrán ordenar de forma individual o conjunta.

Podrán ordenarse las medidas provisionales de protección, antes del inicio del procedimiento administrativo, siempre y cuando concurran las siguientes condiciones: 14.1. Que se trate de una medida urgente; 14.2. Que sea necesaria y proporcionada; y, 14.3. Que la motivación no se fundamente en meras afirmaciones. Las medidas provisionales serán confirmadas, modificadas o levantadas en la disposición de inicio del procedimiento administrativo.

Los titulares de los datos personales que se consideren afectados por las actuaciones u omisiones de los responsables, responsables conjuntos, encargados del tratamiento o terceros, podrán presentar una solicitud ante la SPDP de conformidad con las disposiciones contempladas en la LOPDP, el RGLOPDP, el COA y este reglamento. Sin perjuicio de lo previsto en el inciso anterior, la SPDP podrá disponer las actuaciones de oficio que fueren necesarias para garantizar, con ello, los derechos de los titulares.

La solicitud deberá cumplir, como mínimo, los siguientes requisitos: 16.1. Identificación de la autoridad administrativa ante la que cual se la formula. 16.2. Identificación del solicitante. Se detallarán los nombres y apellidos completos del titular de los datos personales; número de la cédula de ciudadanía, de identidad o, en su caso, el número de pasaporte; correo electrónico, teléfonos de contacto y dirección del domicilio legal. A la solicitud, el titular acompañará una copia legible de su cédula de ciudadanía, de identidad o del pasaporte. Cuando se actúe por interpuesta persona, se harán constar los datos del apoderado especial, procurador judicial o representante legal. 16.3. Identificación de la persona que realiza el tratamiento de datos personales, que presuntamente hubiese: 16.3.1. Vulnerado el ejercicio de los derechos del titular; 16.3.2. Incurrido en la falta de aplicación de principios generales o específicos de protección de datos personales; o, 16.3.3. Incurrido en el incumplimiento de obligaciones que tengan relación con el titular del tratamiento de datos personales. Se harán constar los nombres y apellidos completos, así como el número de la cédula de ciudadanía, de identidad o, en su caso, el número de pasaporte de quien realiza el tratamiento de datos personales, si fuere persona natural; o, si fuere persona jurídica, su razón social, denominación, expresión peculiar o nombre oficial, así como el RUC. Tanto las personas naturales como las personas jurídicas podrán ser identificadas, también, con las marcas o nombres comerciales de las que se valen para diferenciar los productos o servicios que ofrecen en el mercado. Además, se deberá consignar, respecto de las personas naturales y de las personas jurídicas, el correo electrónico, los teléfonos de contacto y la dirección del domicilio legal. 16.4. Los fundamentos de hecho y de derecho en los que se basa la solicitud del titular que, expuestos con claridad y precisión, deberán ceñirse exclusivamente a los aspectos sujetos al ámbito de control y vigilancia de la SPDP. 16.5. Los medios de prueba que se ofrecen para acreditar los hechos alegados. 16.6. La petición concreta que se formula. 16.7. La firma del solicitante o, en su caso, de su apoderado especial, procurador judicial o representante legal.

Cuando la solicitud se refiera a la falta de respuesta de una solicitud para el ejercicio de los derechos establecidos en la LOPDP, o para la aplicación de los principios y el cumplimiento de las obligaciones aplicables al tratamiento de datos personales (“la solicitud originaria”), además de los requisitos previstos en el artículo precedente, deberá cumplirse lo siguiente: 17.1. El titular proporcionará una copia de la solicitud originaria junto con los documentos que se adjuntaron para acreditar su identidad. De haber actuado por interpuesta persona, acompañará los documentos de quien le representó legal o convencionalmente. 17.2. Si el titular presuntamente afectado fuere un menor de edad, deberá proporcionar la documentación que acompañó a la solicitud originaria y, particularmente, la que se utilizó para acreditar su representación legal. Se exceptúa el caso del mayor de quince años que otorgó su consentimiento explícito para el tratamiento de datos personales. 17.3. Si el presuntamente afectado fuere una persona fallecida, se deberá aportar la documentación que se acompañó a la solicitud originaria para acreditar la filiación, la condición de herederos o, en su caso, la calidad de persona o institución designada por el difunto para el ejercicio de sus derechos. Si el presuntamente afectado ya fallecido hubiese sido niña, niño, adolescente o persona que la ley tenía como incapaz, se deberá aportar el instrumento que acredite la representación legal de quien hubiese sido su último representante. 17.4. Cuando la solicitud originaria hubiese sido remitida por medios electrónicos o digitales, se deberá adjuntar la copia del documento que acredite la fecha del envío, ya sea el correo electrónico respectivo o ya fuere la copia del formulario web. 17.5. Cuando la solicitud originaria se hubiese enviado a través de un canal alternativo, no específicamente habilitado para el ejercicio de los derechos, se acompañará copia del documento que pruebe o confirme su recepción. 17.6. Si la solicitud originaria se hubiese referido al ejercicio del derecho de eliminación o de oposición en redes sociales u otros servicios de la sociedad de la información equivalentes (portales web, de video, foros, blogs, entre otros), se acompañará una copia de los documentos que fueron presentados ante el prestador del servicio que justifiquen que los datos publicados por terceros son inadecuados, inexactos, no pertinentes, no actualizados, excesivos o que han devenido como tales por el transcurso del tiempo, tomando en cuenta los fines para los que se recogieron o trataron, el tiempo transcurrido y la naturaleza e interés público de la información. Se acompañarán o adjuntarán, asimismo, los documentos entregados al prestador del servicio que sustenten la prevalencia de los derechos del titular por sobre el mantenimiento de los datos. 17.7. Si la solicitud originaria se hubiese referido a la desatención del derecho de eliminación o de oposición de datos publicados en los sitios web del sector público, en los términos del artículo 225 CRE, se adjuntará una copia de la información aportada que acredite que los datos publicados han devenido, por el transcurso del tiempo, como inadecuados, inexactos, no pertinentes, no actualizados o excesivos, teniendo en cuenta los fines para los que se publicaron, el tiempo transcurrido y la naturaleza e interés público de la información. En ningún caso la solicitud de los titulares guardará relación alguna con las consultas cuya absolución se ha pedido a la SPDP.

La SPDP analizará los hechos puestos a su conocimiento con el objeto de determinar si son o no de su competencia. Si los hechos que son materia de la solicitud ya hubiesen sido conocidos anteriormente en una solicitud previa, sustanciada a través del respectivo procedimiento y dentro del cual se configure la identidad subjetiva, objetiva y de causa, la SPDP ordenará el archivo. De igual manera, la SPDP podrá archivar la solicitud cuando quien la interpusiere no fuese capaz de acreditar un interés legítimo o un derecho subjetivo conculcado.

Si la solicitud no reuniere uno o más de los requisitos previstos en el artículo 16, o si estuviere incompleta, fuese vaga o ambigua en alguna de sus partes o expresiones, el Superintendente de Protección de Datos Personales o su delegado ordenará que se la complete o aclare dentro del término de cinco (5) días, a contar desde la fecha de notificación. Si ello no ocurriere, o si su ampliación o aclaración fueren insuficientes, se dispondrá su archivo.

La SPDP, de oficio o a petición de parte, abrirá un término de prueba de hasta treinta (30) días. CAPÍTULO II DEL ANÁLISIS Y TERMINACIÓN

Dentro de un término no mayor a veinte (20) días, a contar desde el vencimiento del término probatorio, la SPDP emitirá un informe que contendrá: 21.1. La recomendación de inicio o no del procedimiento administrativo sancionador; y/o, 21.2. La recomendación de medidas correctivas a implementar, de ser el caso. CAPÍTULO III

El procedimiento administrativo sancionador se regirá por lo dispuesto en el Título I, Libro III del COA en todo lo que no se oponga con lo establecido en la LOPDP, el RGLOPDP, en las regulaciones expedidas por la SPDP y demás normativa aplicable. CAPÍTULO IV

Si en el informe realizado como resultado de la solicitud, se recomienda la implementación de medidas correctivas de conformidad con lo previsto en los artículos 65 y 66 LOPDP, tales medidas serán debidamente establecidas de acuerdo con los fundamentos de hecho y derecho proporcionados para el efecto. La implementación de las medidas correctivas recomendadas se regirá por lo dispuesto en el

Título III, Libro II del COA, en todo lo que no se oponga con lo establecido en la LOPDP, el

RGLOPDP, en las regulaciones expedidas por la SPDP y demás normativa aplicable.