N° 904 GUILLERMO LASSO MENDOZA PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA CONSIDERANDO: Que el numeral 11 del articulo 66 de la Constitueién de la Republica reconoce y garantiza el derecho a guardar reserva sobre sus convieciones; Que el numeral 19 del articulo 66 de la Constitucién de la Republica reconoce y garantiza el derecho a la proteceién de datos de cardcter personal, que incluye el acceso y la decisién sobre informacion y datos de este caracter, asi como su correspondiente proteccién; Que el numeral 13 del articulo 147 de la Constitucién de la Repiiblica faculta al Presidente de la Republica a expedir los reglamentos necesarios para la aplicacién de las leyes, sin contravenitlas ni alterarlas, asi como los que convengan a la buena marcha de la administracion: Que en el Quinto Suplemento del Registro Oficial No. 459 de 26 de mayo de 2021, se expidio la Ley Organica de Proteccién de Datos Personales, en cuyo articulo 2 se dispone que la Ley regula el tratamiento de datos personales contenidos en cualquier tipo de soporte: Que es necesario emitir el Reglamento a la Ley Organica de Proteccion de Datos Personales para establecer con claridad los preceptos y procedimientos para la ejecucién dela Ley: y, En ejercicio de las funciones conferidas en el numeral 13 del articulo 147 de la Constitucién de la Repiblica, expide el siguiente: REGLAMENTO GENERAL DE LA LEY ORGANICA DE PROTECCION DE. DATOS PERSONALES: CAPITULOL SENERALIDADES Articulo 1- Objeto.- El presente Reglamento General tiene por objeto desarrollar la normativa para la aplicacion de la Ley Organica de Proteccién de Datos Personales y la proteccién de los derechos y libertades fundamentales de los titulares de datos personales.N° 904 GUILLERMO LASSO MENDOZA PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA Articulo 2.- Ambito.- Este Reglamento se aplica a todas las personas naturales y Juridieas, nacionales y extranjeras, del sector pablico y privado, que realicen tratamiento de datos personales, en el contexto de que sus actividades como responsable o encargado de tratamiento de datos personales, tenga lugar en el territorio ecuatoriano 0 no. El presente Reglamento también se aplica al tratamiento de datos personales por parte de s del tratamiento de datos personales de titulares no residentes en Ecuador, cuando sus personas naturales y juridicas, que acttien como responsables y encargad actividades de tratamiento sean realizadas en territorio nacional. EI presente Reglamento aplicara para los responsables y encargados del tratamiento de datos personales no establecidos en territorio ecuatoriano a quienes les resulte aplicable Ja legislacidn nacional en virtud de un contrato o de las regulaciones vigentes del derecho internacional publico. Estos deberdn designar a un apoderado especial de acuerdo con el articulo 3 de este Reglamento Articulo 3 De la obligacién de contar con poder de los responsables y/o encargados del tratamiento de datos de residentes ecuatorianos fuera del territorio nacional. Los responsables y encargados del tratamiento de datos personales no establecidos en el Ecuador deberin designar a un apoderado especial, de conformidad con las siguientes reglas: Cuando el responsable y/o encargado del tratamiento de datos personales no tenga domicilio en territorio nacional, conforme el Articulo 3, numeral 3 de la Ley Organica de Proteccién de Datos Personales, deberin designar un apoderado especial en el Ecuador con residencia en el pais, que cuente con facultades suficientes para comparecer a nombre de su representado ante instancias administrativas y judiciales en la materia, De forma excepcional, no seri necesaria la designacién de dicho apoderado 0 representante, cuando el tratamiento de datos personales sea ocasional y no ineluya el manejo a gran escala de datos personales de categoria especial establecidos en el articulo 25 de la Ley y que sea improbable que entrafie un riesgo para Ios derechos y libertades de las personas naturales, teniendo en cuenta la naturaleza, contexto, aleance y objetivos del tratamiento.Ne 904 GUILLERMO LASSO MENDOZA PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA La Autoridad de Proteccién de Datos Personales emitira una guia técnica respecto de la aplicabilidad de los criterios anteriores. Articulo 4. Definiciones.- Sin perjuicio de lo dispuesto en la Ley, para efectos de la aplicacién del presente Reglamento, se establecen las siguientes definiciones: 1 2 Actividades familiares o doméstieas: aquellas en las cuales el tratamiento de los datos personales se dé en un entomo de amistad, parentesco o grupo personal cereano, en propiedad privada, y que no tenga como finalidad su comunicacién 0 transferencia con fines comerciales. Datos relativos a la salud: La definicién de datos de salud establecida en la Ley comprende la informacion relativa a todos los aspectos de salud, tanto fisicos como psiquicos, de la persona. Se incluyen todos los datos relativos al estado de salud del titular que dan informacién sobre su estado de salud fisica o mental pasado, presente 6 futuro. Asi también contiene la informacién sobre la persona natural recogida con cocasién de su inscripcién a efectos de asistencia sanitaria, 0 con ocasion de la prestacidn de tal asistencia: todo nimero, simbolo o dato asignado a una persona. natural que la identifique de manera univoea a efectos sanitarios; la informacién obtenida de pruebas o examenes de una parte del cuerpo o de una sustancia corporal, incluida la procedente de datos genéticos y muestras biolégicas, y cualquier informacién relativa, a titulo de ejemplo, a una enfermedad. una discapacidad, el riesgo de padecer enfermedades, el historial médico, el tratamiento clinico o el estado fisiol6gico o biomédico del titular, independientemente de su fuente Normas corporativas vineulantes: Las politicas 0 cédigos de conducta juridicamente vinculantes dentro de un grupo de empresas o en una unién de ‘empresas que tienen la finalidad de ofrecer garantias suficientes cuando los datos personales van a ser transferidos internacionalmente a uno o varios responsables 0 encargados del tratamiento que estén en un tercer pais sin nivel adecuado. Persona Identifieable: se considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente, siempre y cuando esto no requiera plazos o actividades desproporcionadas. Representante: Persona natural o juridica establecida en el territorio ecuatoriano que, habiendo sido designada por escrito por el responsable o cl encargado del tratamiento con arteglo al articulo 3, represente al responsable o al encargado en lo que respecta a sus respectivas obligaciones en virtud de la Ley Organica de Proteccién de Datos Personales y al presente Reglamento.N° 904 GUILLERMO LASSO MENDOZA PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA Tereero: Persona natural o juridica, autoridad piblica, servicio w organismo distinto del titular, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable. Tratamiento a gran escal: es aquel que afveta a una gran cantidad de datos, referentes a un elevado mimero de titulares, procedentes de una amplia diversidad geognifica, y que pueden entraftar un riesgo a sus derechos y libertades, Para determinar cuando se esti en presencia de un tratamiento “a gran escala” la Autoridad de Proteccién de Datos Personales y los responsables del tratamiento deberdn tener en cuenta los siguientes aspecto: a. El mimeo de interesados 0 titulares, bien como cifta conereta 0 como proporeién de la poblacién correspondiente; b. El volumen de datos o la variedad de elementos de datos que son objeto de tratamiento: ¢. La duracién o permanencia de la actividad de tratamiento de datos; y, 4d. Elalcance geografico de la actividad de tratamiento. Se considera tratamiento a gran escala: a, El tratamiento de datos de pacientes en el desarrollo normal de la actividad de un hospital, o de las instituciones que conforman el Sistema Nacional de Saluds b. El tratamiento de datos de desplazamiento de las personas que utilizan el sistema de transporte pablico de una ciudad (p. ej. seguimiento a través de tarjetas de transporte): €. El tratamiento de datos de geolocalizacién en tiempo real de clientes por parte de un responsable de! tratamiento de datos personales especializado en la prestacién de estos servicios; d, El tratamiento de datos de clientes cn el desarrollo normal de la actividad de una compaiiia de seguros, corredores, agentes, prestadores o de instituciones nancieras; EL tratamiento de datos personales para publicidad comportamental por un motor de biisqueda; y, f. El tratamiento de datos (contenido, trafic cios de telefonia o intemet. ubicacién) por proveedores de serv’N°904 GUILLERMO LASSO MENDOZA PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA Articulo 5.- De la recogida del consentimiento.- El responsable de datos personales debera obtener el consentimiento del titular de conformidad con lo establecido en la Ley Organica de Proteccién de Datos Personales. En todos los casos en los que de conformidad con la Ley se requiera el consentimiento explicito del titular para el tratamiento de sus datos, el responsable deberd informar previa y detalladamente los tipos de tratamiento, finalidades, el tiempo de conservacién, las medidas de proteccién a adoptarse, las consecuencias de su entrega, entre otros aspectos determinados en la Ley. lo cual deberd ser consentido inequivocamente por el titular. EI consentimiento del titular deberd reflejar de manera indubitada la aceptaci6n de éste en relacién con el tratamiento de sus datos personales a través de una declaracién, consentimiento otorgado por el titular deberd ser demostrado por el responsable que lo obtiene, cuando asi sea requerido por la autoridad competente. pronunciamiento para darse de baja o clara accidn afirmativi Cuando los datos personales recogidos pertenecen a un incapaz, bastari con el consentimiento del representante legal debidamente acreditado ante el responsable, en los téminos sefalados en el presente articulo. El consentimiento de nifias, nifios y adolescentes y, en general, de personas incapaces, se obtendri a través de sus representantes legales y curadores, segtin lo dispuesto en la Ley Orgiinica de Proteceién de Datos Personales y el Cédigo Civil. silencio o Ia inaccién, por si solos, no presumen el consentimiento del titular. Articulo 6.- De la revocatoria del consentimiento.- El titular tendré derecho a retirar ‘su consentimiento en cualquier momento. La revocatoria del consentimiento no afectaré ala licitud del tratamiento de datos Hlevado a cabo hasta el momento de la revocatoria. El responsable del tratamiento deberd contar con un procedimiento sencillo para que el titular pueda revocar su consentimiento. El responsable del tratamiento deberd suspender el tratamiento de los datos del titular que haya revocado su consentimiento, una vez recibida la notificacién por parte del titular. Articulo 7.- Tratamiento legitimo.- Para efectos del correcto tratamiento de datos personales, se considerara lo siguiente:3. Ne 904 GUILLERMO LASSO MENDOZA PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA Cumplimiento de una misién realizada en interés publico o en ejercicio de poderes publicos: Se entender que el tratamiento de datos personales esta basado en el cumplimiento de una misién realizada en interés pilblico o en ejercicio de poderes piiblicos, debidamente motivado y de acuerdo con los principio: establecidos en la Ley, cuando la competencia correspondiente esté atribuida en una norma con rango de ley. EL tratamiento de datos personales observar lo siguiente ‘alizado sobre esta base legitimadora debera a. Los tipos de datos objeto del tratamiento; b. Los titulares o interesados afectados; ©. Las entidades a las que se pueden comunicar datos personales y los fines de tal comunicacién: d. La limitacién de la finalidad; Los plazos de conservacién de los datos, asi como las operaciones y los procedimientos de! tratamiento, incluidas las medidas para garantizar un tratamiento licito y equitativo, El tratamiento de datos personales bajo esta base legitimadora deber cumplir un objetivo de interés péblico y ser proporcional al fin legitimo perseguido. Intereses vitales del interesado o de otra persona: Sera licito cl tratamiento de datos personales si es necesario para proteger un interés esencial para la vida del interesado © de otra persona, como epidemias o situaciones de emergencia humanitaria. Los datos personales tnicamente deben tratarse sobre la base del interés vital de otra persona fisica, cuando el tratamiento no pueda bas manifiestamente en una base juridica diferente, Interés legitimo del responsable: En el caso de que sea necesario satisfacer un interés legitimo del responsable del tratamiento o de un tercero interesado, se aplicara la regla de ponderacién, siempre que no prevalezcan los intereses 0 derechos y libertades del titular. 6Ne 904 GUILLERMO LASSO MENDOZA PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA La ponderacién se realizard a través de una evaluacién meticulosa que atienda los siguientes factores: aluaci6n del interés legitimo del responsable del tratamiento o del tercero interesado que debera ser necesario y proporcionado: b. Impacto sobre los titulares que mida las consecuencias reales o potenciales derivadas del tratamiento: ¢. Equilibrio provisional, que contemple las medidas adoptadas por el responsable del tratamiento para cumplir sus obligaciones en términos de proporcionalidad y transparencia: y. d. — Garantias adicionales aplicadas por el responsable del tratamiento para impedir cualquier impacto indebido sobre los titulares. 4. Fuente accesible al piblico: Para el tratamiento de datos personales que consten en bases de datos de acceso piiblico, se considerara que los datos deben ser obtenidos de fuentes accesibles al piblico, segin la definicién de la Ley y el presente Reglamento, respetando el principio de limitacién de la finalidad, atendiendo a las razones concretas que han determinado la publicacién de la informacién, especialmente cuando dicha publicacién se realiza en cumplimiento de una obligacién legal o por razones de interés piiblico, Consecuentemente, el tratamiento de los datos personales obtenidos de fuentes accesibles al pablico requiere que la finalidad pretendida con el nuevo tratamiento sea compatible con la finalidad que justificé la publicacién de los datos, por lo que el hecho de que los datos figuren en fuentes piiblicas no determina la posibilidad de realizar un tratamiento indiscriminado por parte de los responsables. CAPITULO IL CONSERVACION DE DATOS PERSONALES Articulo 8. Plazos de conservacién de los datos personales. Los plazos de conservacién de los datos personales no deberdn exceder aquéllos que sean estrictamente necesarios para el cumplimiento de las finalidades que justificaron el tratamiento, La Autoridad de Proteccién de Datos regularé los plazos de conservacion de datos personales atendiendo las disposiciones aplicables a la materia de que se trate.N° 904 GUILLERMO LASSO MENDOZA PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA Articulo 9. iminacién, bloqueo o anonimizacin.- Una vez. cumplida la 0 las finalidades del tratamiento y cuando no exista disposicién legal o reglamentaria 0 no incurra la necesidad de mantener los datos en virtud del interés legitimo del responsable, © por cumplimiento de una obligacién legal que establezca lo contratio, el responsable debera proceder a la eliminacién, bloquco anonimizacién de los datos en su posesidn. EI responsable estableceri procedimientos para la conservacién, revi eliminacién de los datos personales ién_periddica, Articulo 10.- Fichero de registro.- I'l fichero del registro de la base de datos debera contener obligatoriamente el plazo de conservacién de los datos, que debera observar necesariamente la materia, naturaleza del dato, su tratamiento y finalidad. Articulo 11.- Eliminaeién de datos.- Finalizado el plazo de conservacion de los datos, el responsable del tratamiento de datos deberd proceder a la climinacién segura de los mismos. La eliminacién de datos personales no aplicard cuando el tratamiento sea necesario en los siguientes supuestos: Por razones de interés publico en el ambito de la salud piiblica y privada, asi como en materia estatal, seguridad, laboral y educacién: Para la formulacién, el ejercicio o la defensa de rec! maciones. La Autoridad de Proteccién de Datos Personales podra requerir informacién cuando lo considere necesario. Para el efecto, ajustara los requerimientos a normas, lineamientos sobre plazo de conservacién y estindares internacionales sobre la eliminacién de datos. CAPITULO IIL DERECHOS Articulo 12.- Medios para el ejercicio de los derechos.- Para efectivizar el ejercicio de los derechos estable: responsable habilitara, preferentemente, herramientas o canales informatics simplificados de facil acceso para el titular, con Ja finalidad de receptar y atender ‘dos en la Ley Organica de Proteccién de Datos Personales, elN°o04 GUILLERMO LASSO MENDOZA PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA oportunamente las solicitudes 0 peticiones formuladas que permitan y garanticen una interaccidn segura, fiable y ripida entre el responsable y el titular, sin perjuicio de que también puedan ser presentadas por medios fisicos. Por lo tanto, se podran habilitar plataformas digitales, centros de contacto, lineas telefénicas u otros mecanismos presentacidn de las solicitudes por parte de los titulares. nolégicos que se consideren idéneos para la En todos los casos, el requirente deberd demostrar la titularidad o la representacién legal para ejercer el derecho. Articulo 13.- Contenido de la solicitud.- En la solicitud para el ¢jercicio de los derechos consagrados en la Ley. se hara constar: 1. Los nombres y apellidos completos del titular, nimero de cédula de identidad 0 pasaporte y direccién domiciliaria o electronica para notificaciones. Cuando se actia en calidad de representante legal, se hard constar también los datos de la 0 del representado; 2. Deser posible, la descripcién clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los derechos antes mencionados y cualquier otro elemento 0 documento que facilite la localizacién de los datos personales; Relacién de lo que solicita expuesto de manera clara y precisa: 4. Derecho o derechos que desea ejercer; y, 5. A la solicitud se acompafara los documentos que acrediten 1a identidad 0, en su caso, la representacidn legal 0 convencional del titular, w Articulo 14- Requerimiento de informacién adicional-~ En caso de que la informacién constante en la solicitud requiera ser aclarada o ampliada, el responsable podra requerir al titular, por una sola vez y dentro del término de cinco (5) dias de recibida la solicitud, que la aclare o complete. El titular emplazado contaré con el término de diez (10) dias contados a partir del dia siguiente en el que haya sido notificado, para aclarar o completar la solicitud Sil titular aclara o completa la solicitud dentro del término concedido, el responsable le dara la debida atencién, caso contrario, la archivara notificando este particular al titular °NP oom GUILLERMO LASSO MENDOZA PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA con las razones de su decisién. El archivo del requerimiento inicial no impedira la presentacién de una nueva solicitud. Articulo 15.- Registro de solicitudes.- El responsable debera regist solicitudes de ejercicio de derechos, incluyendo ¢l detalle de la atencién dada a las mismas. La Autoridad de Proteccién de Datos determinard el contenido de dichos registros. Articulo 16.- Reclamo ante la Autoridad de Proteccién de Datos Personales.- E titular de datos personales que encuentre motivos para creer que se han vulnerado sus derechos con la respuesta que el responsable ha dado a su solicitud, o que no haya recibido respuesta en el plazo establecido, podra acudir a la Autoridad de Proteccién de Datos a presentar su reclamo, el cual se sustanciar conforme al procedimiento previsto en el Cédigo Orgdnico Administrativo y en la normativa complementaria que, para el efecto, emita la Autoridad de Proteecién de Datos. El procedimiento de reclamo contemplarst la debida notificacién al responsable a fin de que ejerza su derecho a la defensa CAPITULO IV DISPOSICIONES APLICABLES A TRATAMIENTOS CONCRETOS Articulo 17.- De los datos de personas fallecidas.- A efectos de que los titulares de derechos sucesorios, o las personas 0 instituciones que el fallecido haya designado expresamente para ello, puedan ejercer los derechos de acceso, rectificaci6n, actualizacién y eliminacién de los datos del fallecido ante el responsable del tratamiento, segtin lo dispuesto en la Ley, deberdn acreditar su comparecencia a través de los instrumentos legales reconocidos por el ordenamiento juridico ecuatoriano. Los derechos podrin ser ejercidos las veces que se considere oportuno, dentro de las limitaciones que plantea la normativa vigente para el ejercicio de derechos por parte de los titulares de los datos personales, Articulo 18.- De los datos erediticios.- A efectos de lo dispuesto en la Ley, sera Heito el tratamiento de datos personales que tenga como fin informar sobre el cumplimiento 0 incumplimiento de obligaciones comerciales 0 crediticias. La Junta de Politica y 0N° ony, GUILLERMO LASSO MENDOZA PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA Regulacién Financiera, como organismo de regulacion, y la Superintendencia de Bancos, como organismo de control, regulardn la proteccién de los datos crediticios, en el ambito de sus compotencias, Articulo 19.- De los datos de menores de edad.- De conformidad con lo previsto en la Ley Organica de Proteccién de Datos Personales, para el tratamiento de datos personales de menores de 15 aiios de edad, se requeriré el consentimiento de su representante legal. Para el tratamiento de datos sensibles, asi como para las decisiones basadas en valoraciones automatizadas de menores de edad, se requerira el consentimiento expreso de su representante legal. Los adolescentes a partir de los 15 aflos de edad podran otorgar su consentimiento explicito para el tratamiento de sus datos personales, Para este efecto, el responsable deberd proporeionar informacién clara, en un Ienguaje sencillo propio de su edad, utilizando métodos que le permitan entender lo que ocurriré con sus datos personales, las finalidades que se persiguen, los derechos que tiene y como ejercerlos y cualquier otra informacion necesaria para obtener su consentimiento explicito, También podra otorgar el consentimiento del adolescente mayor de 15 afios, quien ejerce la representacién legal, sin perjuicio de que el adolescente, en cualquier momento, pueda revocar este consentimiento. El representante legal del adolescente no podri revocar el consentimiento otorgado explicitamente por el adolescente en su calidad de titular. Articulo 20.- Del interés superior del niio~ El consentimiento obtenido para el tratamiento de datos personales de un menor de edad, no podri, bajo ninguna circunstancia, menoscabar el interés superior de la nifia, niflo o adolescente, conforme a las disposiciones del Cédigo de la Niflez y Adolescencia y demés normativa vigente. De identificarse aquello, el consentimiento obtenido sera considerado invalido. CAPITULO V TRANSFERENCIA O COMUNICACION DE DATOS A TERCEROS Articulo 21.- Transfereneia de datos personales a un tercero.- La transferencia 0 comunicacién de datos personales a un tercero o encargado requerira el consentimiento del titular, a menos que, previo a realizar la misma, se han disociado los datos, se han uN° 904, GUILLERMO LASSO MENDOZA PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA utilizado mecanismos de cifrado robustos de los datos u otros mecanismos orientados a ls privacidad e intimidad de los titulares de los datos personales: de manera que no se pueda identificar a qué persona se refieren. Articulo 22.- Supuestos para la transfereneia de datos a tereeros.~ La transferencia © comunicacién de datos personales a terceros se podri realizar siempre que concurran los siguientes supuestos: 1. Para el cumplimiento de fines directamente relacionados con las funciones legitimas del responsable y del tercero destinatario, en cuyo caso el destinatario se obliga a cumplir con la normativa de proteccién de datos: y 2. Cuando se cuente con el consentimiento previo del titular, el cual puede ser revocado en cualquier momento, No se requerira el consentimiento del titular en los supuestos previstos en la Ley. Articulo 23.- Ejercicio de derechos en los casos de transferencia de datos a terceros.- EI titular de los datos personales ejercera los derechos de rectificacidn, actualizacién, oposicién y eliminacién, directamente ante el responsable del tratamiento, quien, a su vez, debera notificar de aquello al tercero destinatario de la comunic: datos personales para que proceda con la rectificacién, actualizacién, oposicién 0 elimina ion de ion, segin sea el caso. CAPITULO VI VULNERACION A LA SEGURIDAD DE DATOS PERSONALES, Articulo 24.- De la notifieacién de vulneracin de seguridad.- De conformidad con lo dispuesto en la Ley, el responsable del tratamiento deberd notificar a la Autoridad de Proteccién de Datos Personales y a la Agencia de Regulacién y Control de Telecomunicaciones cualquier vulneracién a la seguridad de los datos personales, siempre que sea probable que dicha violacién de la seguridad constituya un riesgo para los derechos y las libertades de las personas naturales. Se entiende que la vulneracién o violacidn a la seguridad constituye un riesgo para los derechos y las libertades de las personas naturales cuando concurre cualquiera de las siguientes causales:N°904 GUILLERMO LASSO MENDOZA PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA 1. Cuando los datos fueron destruidos, ya no existen 0 no estan disponibles de una forma que sea de utilidad para el responsable del tratamiento; 2. Cuando los datos personales han sido alterados. corrompidos © dejan de estar completos; 3. Cuando el responsable del tratamiento ha perdido el control o el acceso a los datos © ya no obran en su poder; 0, 4. Cuando el tratamiento no ha sido autorizado o es ilicito, lo cual incluye la divulgacién de datos personales 0 el acceso por parte de destinatarios que no estin autorizados a recibir o acceder a los datos o cualquier otra forma de tratamiento que se ejecuta contrariando las disposiciones de la Ley. Articulo 25.- Finalidad de la notificacién.- Las notificaciones de las vulneraciones de seguridad de datos personales tendrin como finalidad principal que la Autoridad de Proteccién de Datos Personales y la Agencia de Regulacién y Control de Telecomunicaciones lleven un registro estadistico sobre vulneraciones para determinar posibles medidas de seguridad para cada una de ellas, asi como identificar sectores 0 instituciones més vulnerables y promover la adaptacién de estindare: mejores practicas en la gestidn de incidentes y vulnerabilidades. itemnacionales y Articulo 26.- Contenido de la notificacién.- La notificacién de vulneracién de seguridad debera contener lo siguiente: 1. La naturaleza y tipo de vulneracién; 2. Identificar los titulares o interesados afectados; 3. El detalle inicial de los sistemas vulnerados 4. La causa presunta de la vulneracién: 5. El volumen y tipos de datos expuestos o comprometidos: 6. Las medidas adoptadas y previstas para responder y remediar la vulneracién con la walidad de mitigar las consecuencias presuntas; 7. La evaluacién del riesgo que la vulneracién implica para los derechos y libertades de los titulares: y, 8. Otros aspectos determinados por la Autoridad de Proteccin de Datos Personales.N°904, GUILLERMO LASSO MENDOZA PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA Articulo 27.- Notificacién de vulneracién de seguridad por parte del encargado.- El eneargado debera notificar al responsable del tratamiento de datos personales la vulneracién de la seguridad de datos personales La notificacién de vulneracién de seguridad debera contener la misma inform: detallada en el articulo precedente, a excepeién de la evaluacién del riesgo. cién Articulo 28.- Notificacién de vulneracién de seguridad al titular.- La notificacion de vulneracién de datos al titular contendré la misma informacién establecida en los articulos anteriores. La notificacién deberd realizarse en lenguaje claro y sencillo, observando los derechos de Jos titulares, La Autoridad de Proteccién de Datos Personales velar por que las excepeiones a la obligacién de notificacién seftaladas en la Ley sean utilizadas de manera restringida y de manera justificada. CAPITULO VIL EVALUACION DE IMPACTO. Articulo 29.- Evaluacién de impacto del tratamiento de datos personales.- La evaluacién de impacto consiste en un andlisis preventivo, de naturaleza técnica, mediante el cual el responsable valora los impactos reales del tratamiento de datos personales, a efecto de identificar y mitigar posibles riesgos relacionados con el cumplimiento de los principios y el respeto de los derechos y de las obligaciones estableci Organica de Proteccién de Datos Personales, este Reglamento y demas normativa aplicable. jas en la Ley Articulo 30.- Objeto de la evaluacién de impacto. objeto: a evaluacién de impacto tiene por 1. Identificar y describir los riesgos potenciales y probables de determinados tratamientos de datos personales; 2. Describir las acciones coneretas para la gestién de los riesgos identificados:N° oo, GUILLERMO LASSO MENDOZA PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA Actuar de forma preventiva en el cumplimiento de las obligaciones establecidas la Ley, su Reglamento y demés normativa aplicable; y 4, Propiciar lineamientos para la construccién de una cultura preventiva de la proteccidn de datos personales de la organizacién. jacién de i Articulo 31. Ev pacto obligatoria.~ Las evaluaciones de impacto del tratamiento de datos serin obligatorias en los casos establ realizarse de forma previa al inicio del tratamiento de datos personales. cidos en la Ley y deberin Los responsables utilizaran los criterios establecidos en el presente Reglamento para determinar en qué casos se esti en presencia de una evaluacién sistematica y exhaustiva de aspectos personales, de un tratamiento a gran escala de categorias especiales de datos, de datos relativos a condenas e infracciones penales o, de una observacién sistematica a gran escala de una zona de acceso piiblico En caso de duda, el responsable podra dirigir una consulta a la Autoridad de Proteccién de Datos Personales con la finalidad de que determine la obligatoriedad de la evaluacién de impacto. La Autoridad de Proteccién de Datos personales deber contestar dicha consulta en el término maximo de cinco (5) dias contados desde la recepeién de la consulta. Articulo 32.- Requisitos de la evaluacién de impacto En los casos en que sea obligatoria, la evaluacién de impacto serd presentada ante la Autoridad de Proteccién de Datos Personales y contendra, al menos, lo siguiente: 1. La descripcién sistematica de las operaciones de tratamiento y las finalidades de ese tratamiento: 2. La justificaciin de la necesidad de Mevar a cabo esas operaciones de tratamiento, asi como su proporcionalidad con respecto de la finalidad; 3. La evaluacién de riesgos a los derechos y libertades de los titulares; y, 4. Las medidas previstas para hacer fiente a los riesgos, las garantias medidas de seguridad y mecanismos destinados a salvaguardar y demostrar el respeto al derecho de los titulares a la proteccién de sus datos personales. La informacién otorgada en virtud de los numerales precedentes debe limitarse a la que sea necesaria para respaldar la evaluacién y no ineluir detalles potencialmenteNeom4 GUILLERMO LASSO MENDOZA PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA confidenciales relacionados con las implementaciones de seguridad o la informacion confidencial. CAPITULO VII RESPONSABLE DEL TRATAMIENTO Articulo 33.- Obligaciones del responsable del tratamiento.- El responsable del tratamiento deberd, tanto en el momento de la determinacién de los medios para el tratamiento como en el momento mismo del procesamiento de datos personales, aplicar ‘medidas apropiadas que sean adecuadas para la observancia efectiva de los principios de proteccién de datos, asi como de los derechos reconocidos en la Ley. Para ello, tendra en cuenta el estado de la técnica, los costes de aplicacién, la naturaleza, el alcance, las circunstancias y los fines del tratamiento, asi como la probabilidad y la gravedad de los gos para los intereses de los titulares. Artieulo 34.- Estado de la téeniea.- Se entiende por estado de la técnica a los progresos actuales de la tecnologia disponible en el mercado, que deberd ser considerado al determinar las medidas técnicas y organizativas adecuadas, El responsable del tratamiento deberd evaluar continuamente el estado de la técnica. Articulo 35.- Costos de aplicacién.- Los costos de aplicacién no se limitan solamente a téminos monetarios sino también a los recursos que. en general, deba invertir el responsable del tratamiento, incluidos el tiempo y el humano, El responsable del tratamiento deberd evaluar los riesgos que conlleva el tratamiento para los derechos y libertades de los titulares y estimar los costos de 1a aplicacién de las medidas adecuadas para mitigar dichos riesgos. La incapacidad de asumir los costos no ¢s excusa para el incumplimiento de la Ley y el presente Reglamento, para lo cual se observaré el principio de proporcionalidad entre cl volumen del tratamiento de los datos y la capacidad econdmica del responsable del tratamiento. Articulo 36.- De la prueba de las medidas de proteceién.- Los responsables del tratamiento deberin demostrar que han aplicado todas la medidas necesarias para la proteccién de datos personales. Para ello, el responsable del tratamiento podra determinar los indicadores clave de rendimiento adecuados para demostrar el cumplimiento. Estos indicadores pueden incluir métrieas para demostrar la eficacia de las medidas tomadas. Las métricas pueden ser cuantitativas, como el nivel de riesgo, la reduccién de las 16NP 908 GUILLERMO LASSO MENDOZA PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA reclamaciones, la reduccién del tiempo de respuesta cuando los interesados ejercen sus derechos: 0, cualitativas, como las evaluaciones del rendimiento, el uso de escalas 0 evaluaciones de expertos Articulo 37... Responsables conjuntos.- Si dos o mais responsables del tratamiento determinan conjuntamente los mismos fines y los medios del tratamiento de los datos personales, se considerarin responsables conjuntos, quienes definirdn sus respectivas tareas y responsabilidades en materia de proteccién de datos de forma transparente a través de un contrato, en la medida en que estas no estén ya definidas en disposiciones legales, buscando precautelar los intereses y derechos de los titulares, Dicho acuerdo no impediré que el titular o interesado ejerza sus derechos contra cualquiera de los responsables conjuntos del tratamiento y que estos sean responsables solidarios ante la autoridad de control y los titulares. Ademés, cada responsable conjunto debera cumplir las obligaciones que determina la Ley, en funcion de las responsabilidades asumidas en el acuerdo, cuya evidencia debera estar a disposicién de la autoridad de control, cuando asi fo solicite. En este sentido, cada responsable conjunto es sujeto del régimen sancionador, en forma diferenciada sobre la base de las responsabilidades adquiridas. Los acuerdos de proteccién de datos entre responsables conjuntos deben ser compartidos, con los titulares interesados cuando asi sea requerido por éstos, sobre la base del principio de transparencia. Articulo 38.-. Registro de actividades de tratamiento.- El responsable del tratamiento que cuente con cien o més trabajadores, Hevaré un registro de todas las actividades de tratamiento de datos personales que sean de su competencia. Este registro contendra la siguiente informacién: El nombre y los datos de contacto del responsable del tratamiento y, en su caso, del responsable que actiia conjuntamente con el responsable del tratamiento de datos personales, asi como el nombre y los datos de contacto del delegado de protecciéin de datos: Los fines del tratamientoN°908 GUILLERMO LASSO MENDOZA PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA Las categorias de destinatarios a los que se han comunicado 0 se comunicardn los datos personales: 4, Identificar a los titulares y las categorias de datos personales de los titulares; 5. _ Enssu caso, el uso de perfiles; 6. Ensu caso, definir las transferencias de datos personales a organismos de un tercer pais o a una organizacién internacional; 7. Descripcidn de las bases legitimadoras que facultan el tratamiento; 8 Los plazos de retencidn previstos para la supresién o la revisién de la necesidad de conservar las diferentes categorias de datos personales: y, 9. Una descripcién general de las medidas técnicas, juridicas, organizativas. \dministrativas y El registro se levard por escrito 0 electrénicamente. Los responsables pondran a disposicién de la Autoridad de Proteccién de Datos Personales los registros de actividades cuando ésta lo solicite Articulo 39.- Extensién de la obligacién de registro.- La obligacién de registro de actividades también la tendrin los responsables de tratamiento que, teniendo menos de cien trabajadores, cumplan alguna de las siguientes condiciones’ 1. El tratamiento que realice pueda entrafiar un riesgo para los derechos y libertades de los titulares, de acuerdo con el anailisis de riesgos, amenazas y vulnerabilidades, de conformidad con lo dispuesto en la ley: 2, Nose trate de un tratamiento ocasional; 0, 3. Incluya categorias especiales de datos personales. CAPITULO IX ENCARGADO DEL TRATAMIENTO Articulo 40... Eneargado.- El encargado del tratamiento deberi offecer garantias suficientes para aplicar medidas técnicas, juridicas, administrativas y organizativas apropiadas para que el tratamiento cumpla con las disposiciones de la Ley garantizando el adecuado tratamiento de los datos personales y la proteccién de los derechos de los titulares,Neao. GUILLERMO LASSO MENDOZA PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA Articulo 41.- De la relacién entre responsable y encargado.- La relacién entre el responsable del tratamiento y un encargado debe regirse por un contrato escrito, en el cual se detallen las instrucciones encomendadas respecto del tratamiento de datos personales y-al menos, los siguientes aspectos: 1. Elobjeto: 2. Laduracién; 3. Lanaturaleza; 4. La finalidad del tratamiento de los datos; 5. La categoria de los datos personales 6. Identificar a los titulares de los datos personales tratados; y, 7. Las obligaciones y responsabilidades del encargado. El encargado del tratamiento debera respetar las instrucciones que, para el efecto, determine el responsable en cuanto al tratamiento de los datos personales. Para ello, debera establecer las medidas técnicas y organizativas adecuadas. previo a brindar el servicio, que deberdn ser equiparables a aquellas a las que esté obligado el responsable en funcién de los datos y los tipos de tratamiento aplicables, de tal forma que se garantice la proteceién de datos de los titulares, Articulo 42.- Obligacién del responsable. El responsable del tratamiento de datos personales seri el directo obligado de garantizar el correcto ejercicio de los derechos reconocidos en la Ley a los titulares, sin embargo, el encargado deberd asistir al responsable y realizar todas las acciones necesarias, y bajo su responsabilidad, para que el responsable pueda cumplir con esta obligacién, Articulo 43.- Responsabilidad del encargado.- El encargado del tratamiento que, por cualquier causa, determine los fines y los medios del tratamiento, se considerara, para efectos de la Ley, responsable del tratamiento en lo que respecta a dicho tratamiento, En tal sentido, para que el encargado sea considerado como tal, debe actuar a nombre y por cuenta del responsable y conforme a las instrucciones documentadas. Si el encargado considera que una instruccién es ilegal, informard al responsable del tratamiento, sin demora injustificada, para que se corrija la instruccién, de ser pertinente. Articulo 44... Registro de actividades del tratamiento.- El encargado del tratamiento deberd mantener un registro de actividades del tratamiento cuando el responsable delNeo GUILLERMO LASSO MENDOZA PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA tratamiento esté obligado a ello, de conformidad con lo previsto en la Ley, el presente Reglamento y demas normativa aplicable. Artieulo 45.- Contrataeién.- El encargado del tratamiento podra contratar a un tercero para complementar la prestacién de un servicio al responsable del tratamiento de datos personales, siempre que esto se haga constar expresamente en el contrato celebrado entre el responsable y el encargado del tratamiento. Caso contrario, requerird la autorizacion escrita del responsable del tratamiento para la subcontratacién. En este caso, el tercero contratado asumii las obligaciones del encargado de tratamiento establecidas en la ley y en el presente Reglamento, debiendo cumplir con las instrucciones de tratamiento de datos establecidas entre el responsable y encargado del tratamiento, en aquello que fuere pertinente en funcién de los servicios que han sido contratados. Artieulo 46.- Eliminacién de datos personales.- El encargado debera devolver 0 climinar todos los datos personales, segimn las instrucciones impartidas por el responsable del tratamiento, una vez finalizada la relacién que justifica el tratamiento de datos personales, destruyendo todas las copias existentes, salvo que exista la obligacién de conservar los datos en virtud de una disposicién legal. Articulo 47. Revisin de registros.- E] encargado de tratamiento debera permitir al responsable o a la persona determinada por este, en cualquier momento que asi lo solicite el responsable, la revisién de los registros y procesos que tengan relacién con los tratamientos de datos personales encomendados, a fin de verificar el correcto cumplimiento del contrato y las obligaciones de la Ley y el presente Reglamento, asi como la adopeién de medidas téenicas, organizativas y de seguridad adecuadas. tal sentido, el encargado deberd proporcionar al responsable 0 a la persona determinada por este, todas las facili el cumplimiento de sus obligaciones. jades y toda la informacién necesaria para demostrar CAPITULO X DELEGADO DE PROTECCION DE DATOS Articulo 48.- Delegado de proteccién de datos— El delegado de proteccién de datos personales es la persona natural que se encarga principalmente de asesorar, velar yNP 904 GUILLERMO LASSO MENDOZA PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA supervisar, de manera independiente, el cumplimiento de las obligaciones legales imputables al responsable y al encargado del tratamiento de datos personales. Podra realizar otras actividades relacionadas con la proteccidn de datos personales que le sean encomendadas por el responsable, siempre que no supongan o exijan del delegado tuna preparacién diversa ni exista un conflicto con las responsabilidades previamente adquiridas. El delegado de proteccién de datos personales desempefiara sus funciones de manera profesional, con total independencia del responsable y del encargado del tratamiento de datos personales, quienes estaran obligados a facilitar la asistencia, recursos que les sea oportunamente requeridos para garantizar el cumplimiento de los deberes, funciones y responsabilidades a cargo del delegado. elementos Sin perjuicio de lo que disponga la Ley y este Reglamento, corresponderd a la Autoridad de Proteccién de Datos Personales emitir la normativa que garantice la independencia de delegado de proteccisn de datos personales en el desempefio de sus funciones en relacién con el responsable y encargado, Articulo 49.- Tipo de contratacién.- El delegado de proteccién de datos podra ser contratado por el responsable del tratamiento de datos personales, bajo la figura de relacin de dependencia o a través de un contrato de prestacién de servicios. Sin perjuicio de lo indicado, en cualquiera de los casos, deber respetar y garantizar que se presten los servicios de manera independiente. Tratandose de las instituciones del sector puiblico, el delegado de proteccion de datos ser designado por la maxima autoridad institucional. Articulo 50. Delegado de proteccién de datos de grupos empresariales.~ Los grupos empresariales podran designar a un tinico delegado de proteceién de datos personales, en Ja medida en que pueda ejecutar sus actividades y sin que esto genere coniflicto de imtereses. Articulo SL. Prohibicién de sancién al delegado de proteccién de datos. - El responsable y el encargado del tratamiento de datos personales deberan respetar el trabajo que ejecute el delegado de proteccién de datos personales, y no se aplicarin sancionesN° 904 GUILLERMO LASSO MENDOZA PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA por el hecho de desempeftar y cumplir sus funciones. En caso que el delegado sea sancionado 0 removido por motivo de la ejecucién de sus funciones, podra poner este hecho en conocimiento de la Autoridad de Proteccién de Datos Personales, que valorara las circunstaneias en las que se produjo la desvincula lari las sanciones que correspondan, sin perjuicio de las acciones legales o judiciales a que hubiere a lugar por parte del delegado perjudicado, jn o saneién y val La Autoridad de Proteccin de Datos Personales establecerd el procedimiento de denuncia y las sanciones correspondientes para los casos de remocién o sancién injustificadas del delegado de proteccién de datos. Articulo 52.- Buenas practicas.- Los responsables o encargados del tratamiento de datos personales, que no se encuentren dentro de las categorias de obligados a designar un delegado de proteccién de datos, podrin hacerlo de manera voluntaria como un mecanismo de buena prictica y como parte de las medidas de responsabilidad proactiva a adoptar. En atencién a sus necesidades institucionales, los responsables y encargados del tratamiento de datos personales podrin designar un delegado suplente, que actuara en caso de ausencia o impedimento temporal o definitivo del primero. Articulo 53.- Actividades de control permanente y sistematizado de datos Para determinar si las actividades de un responsable 0 encargado en materia de proteccién de datos requieren de un control permanente, se deberd considerar, entre otros factores que defina la Autoridad de Proteccién de Datos Personales, alguno de los siguiente: 1. Sil tratamiento de datos es continuado o si se produce en intervalos concretos durante un periodo de tiempo: 2. Siel tratamiento de datos es recurrente o repetido en momentos prefijados; 0, 3. Sil tratamiento tiene lugar de manera constante o periddica. Asi mismo, para determinar si el control es sistematizado, ademas de aquellos que determine la Autoridad de Proteccién de Datos Personales, se debera verificar alguno de los siguientes aspectos:N° 908 GUILLERMO LASSO MENDOZA PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA 1. Siel tratamiento de datos esti de alguna manera preestablecido, organizado 0 es metédico; 2. Si el tratamiento de datos tiene lugar como parte de un plan general de recogida de datos; o, 3. Sil tratamiento de datos es Ilevado a cabo como parte de una estrategia. En caso de suscitarse dudas entre los responsables y encargados respecto a los supuestos que dan lugar a la designacién del delegado de proteccién de datos personales, podrén dirigir sus respectivas consultas a la Autoridad de Proteccién de Datos Personales, cuya decisién sera de cumplimiento obligatorio para los consultantes. Articulo 54.- Tratamiento a gran escala de datos de categoria especiales. Para determinar el tratamiento de datos de categorias especiales a gran escala, se considerar entre otros factores que defina la Autoridad de Proteceién de Datos Personal establecidos en el presente Reglamento. s. los Articulo 55.- Requisitos para ser delegado.- Sin perjuicio de otros requisitos que establezea la Autoridad de Proteccién de Datos Personales, para ser delegado de proteccidn de datos personales, se requeriré: 1, _ Estaren goce de los derechos politic Ser mayor de edad; 3. Tener titulo de tercer nivel en Derecho, ode Tecnologias: |. Acreditar experiencia profesional de por lo menos cinco afios: temas de Informacién, de Comunicacién, Articulo 56.- Impedimento para ser delegado.- Sin perjuicio de otras que defina la Autoridad de Proteccién de Datos Personales, no podrin ser delegados de proteccién de datos personales las siguientes personas: . Quienes formen parte de los drganos de administracién y control del responsable y encargado; 2. Los socios o accionistas del responsable y encargado; 3. Los cényuges de los administradores, directores o comisarios de la compaiiia, en caso de haberlos, del responsable y encargado, o sus parientes hasta el cuarto grado de consanguinidad o segundo de afinidad: y,N° 004 GUILLERMO LASSO MENDOZA PRESIDENTE CONSTITUGIONAL DE LA REPUBLICA 4. Quienes tengan conflictos de intereses con el responsable y encargado, para lo cual la Autoridad de Proteccién de Datos Personales emitird la normativa correspondiente en la que se estableceran los supuestos especificos que darian lugar a dicho conflicto de inter¢ Tratdndose de las instituciones del sector piblico, la Autoridad de Proteceién de Datos Personales definiré las incompatibilidades para ser delegado de proteccién de datos personales para cada caso en particular. Articulo $7.- Acuerdos de Confidencialidad.- El delegado de proteecién de datos personales suscribiré un acuerdo de confidencialidad respecto de Ia informacién que Hegase a conocer o respecto de la cual pueda llegar a tener acceso por el desempetio de su cargo. Las partes acordaran, libremente, los términos y condiciones del acuerdo. pero en ningéin caso tales documentos podran limitar el acceso del delegado a la informacién que estime necesaria para el desempefio de su funcién. El incumplimiento de los acuerdos de confidencialidad estard sujeto a las tesponsabilidades civiles y penales a las que hubiere lugar. Este deber de guardar confidencialidad subsistird incluso una vez que haya coneluido la relacién juridica con el responsable o encargado. CAPITULO XI RESPONSABILIDAD PROACTIVA Y AUTORREGULACION Articulo 58.- Obligatoriedad.- El responsable del tratamiento esta obligado a aplicar medidas técnicas, juridicas, administrativas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento de datos que realiza es conforme con la normativa. Para ello se deberd atender: 1. Lanaturaleza: 2. Elambito: 3. La finalidad del tratamiento; y. 4. Los riesgos. Esta obligacién implica también revisar y actualizar las medidas cuando sea necesario, mMN94 GUILLERMO LASSO MENDOZA PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA Articulo 59.- Medidas de proteccién de datos desde ef disefio.- El responsable del tratamiento tiene la obligacién de establecer medidas técnicas y organizativas adecuadas para aplicar los principios establecidos en la normativa de forma eficaz. y proteger los derechos de los titulares, de manera previa al tratamiento de datos personales. Para la fijacién de estas medidas debe tenerse en cuenta: 1, Lanaturaleza, ambito y finalidad del tratamiento; 2. Los riesgos de diversa probabilidad y gravedad asociados al tratamiento: 3. Elestado de la técnica; 4. Elcoste de aplicas Articulo 60.- Medidas de proteceién de datos por defecto.- Fl responsable del tratamiento adoptara las medidas técnicas y organizativas apropiadas para garantizar que, mediante ajustes, por defecto, solo puedan tratarse aquellos datos personales cuyo tratamiento sea necesario para la respectiva finalidad especifica del tratamiento, Ademés, mediante los respectivos ajustes, las medidas deben garantizar que, por defecto, Jos datos no puedan ser accesibles a un nimero indefinido de personas de forma automatizada, Esta obligacién es aplicable a 1. La cantidad de los datos reco} 2. Laextensién del tratamiento; 3. El periodo de almacenamiento: y, 4. Laaccesibilidad dos; Para acreditar el cumplimiento de esta medida, podra utilizarse un mecanismo de certificacién, segtin lo previsto en la Ley Organica de Proteccién de Datos Personales. Articulo 61.- Mecanismos de autorregulacién.- Los mecanismos de autorregulacion pueden ser adoptados para cl cumplimiento de los principios, ejercicio de derechos, medidas de seguridad, transferencias, procedimientos y, en general, para cumplirNeon GUILLERMO LASSO MENDOZA PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA cualquiera de las obligaciones previstos en la Ley Orgénica de Proteccién de Datos Personales, este Reglamento y demiis normativa aplicable. Los mecanismos de autorregulacién constituyen instrumentos que permiten adecuar de mejor forma esquemas de cumplimiento para sectores especificos o en situaci particulares, y dar cumplimiento a la Ley Organica de Proteceion de Datos Personales, asi como el resto de normativa aplicable. nes muy Articulo 62.- Mecanismos de autorregulacién.- Seran mecanismos de autorregulacién los siguientes: Esquemas certificados en materia de proteccién de datos personales por el Servicio Ecuatoriano de Acreditacién; . _Reglas especificas creadas para adaptar la normativa de proteccién de datos personales a un determi comprendidos los cédigos de conducta, las normas corporativas vinculantes y las cléusulas tipo: y, Esquemas validados por la Autoridad de Protecci6n de Datos Personales, conforme alas reglas que para el efecto emita. ado sector o situacién. En este tipo de reglas estardn Articulo 63.- Registro de mecanismos de autorregulacién.- La Autoridad de Proteccién de Datos Personales mantendra un registro de mecanismos de autorregulacién a fin de dar a conocer la siguiente informacién: Las reglas destinadas a adaptar la normativa de datos personales para determinado sector 0 situacién, con la finalidad de facilitar y hacer efectivo su cumplimiento: Las entidades de acreditacién autorizadas por el Servicio Ecuatoriano de Acreditacién en materia de proteccién de datos personales; Las entidades de evaluacisn acreditadas para otorgar certificaciones en materia de proteccién de datos personales por el Servicio Ecuatoriano de Acreditacién, en el marco de la Ley, este Reglamento y las reglas que se emitan para el efecto: Los responsables y encargados que hayan adoptado algin mecanismo. 26N° 904, GUILLERMO LASSO MENDOZA PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA SECCION I CERTIFICACION Articulo 64.- Objeto de la certificacién.- La certificacién tiene por objeto determinar el grado de cumplimiento de un mecanismo de autorregulacién con relacién a las obligaciones de la Ley Orginica de Proteccién de Datos Personales, este Reglamento y demas normativa aplicable. Corresponderd, privativamente, a la Autoridad de Proteccién de Datos Personales emitir y actualizar periddicamente los parimetros bisicos o esténdares minimos de evaluacién alos que deberin someterse los responsables y encargados para obtener la certificacién a la que se refiere este Reglamento. Articulo 65.- Temporalidad de la certificacion.~ La certificacién se expedira por un periodo maximo de tres afios, vencido el cual podra ser renovada en las mismas jempre y cuando se cumplan los requisitos establecidos para el efecto. condicione Articulo 66.- Entidades de certifieacién. rtificacion en materia de protecci6n de datos estar a cargo de las entidades de certificacién acreditadas por el Ser Ecuatoriano de Acreditacién, de conformidad con la normativa que para el efecto emitan en conjunto la Autoridad de Proteccién de Datos Personales y la Autoridad Nacional de Acteditacién. La Para la acreditacion de la entidad de certificacion se revisara el cumplimiento de. entre otros establecidos por la Autoridad de Proteccién de Datos Personales, los siguientes requisitos: 1, Haber demostrado su independencia y pericia en rel certificacién; 2. Haber establecido procedimientos adecuados para la expedicién, revisién periédica y la retirada de sellos y certificaciones de cumplimiento en materia de proteccion de datos Haber demostrado que sus funciones y cometidos no dan lugar a conflictos de intereses. mn con el objeto de laN°908 GUILLERMO LASSO MENDOZA PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA Para la aprobacion de las entidades certificadoras se tomard en cuenta, ademas, el cumplimiento por parte de estas entidades de normas intemacionales como la relativa a los requisitos para organismos que certifican productos, proc sos y servicios Articulo 67.- Revocatoria.- Cuando el responsable 0 encargado del tratamiento de datos personales dejen de cumplir con los requisitos que dieron paso al otorgamiento de la certificacién, ésta podra ser revocada por el mismo organismo de certificacién que la otorgé o por la autoridad de control competente, SECCION I CODIGOS DE CONDUCTA Articulo 68.- Aprobacién de eddigos de conducta.- Cualquier persona natural 0 juridica, asociacién, gremio o grupo de empresas podra presentar, para aprobacién de la Autoridad de Proteccién de Datos, cddigos de conducta que tengan como fin el cumplimiento de la normativa vigente en materia de proteccién de datos personales. Los cédigos de conducta deberdn contener al menos lo siguiente: 1. Exposicién de motivos, clara y concisa, que describa detalladamente el objetivo del cédigo, su ambito de aplicacién y cémo facilitard la aplicacidn efectiva de la Ley y este Reglamento; 2. Ambito de aplicacion que determine de forma especifica las operaciones de tratamiento o las caracteristicas del tratamiento de datos personales que abarca, asi como las categorias de responsables o encargados del tratamiento a las que se aplica, Esto incluiré las cuestiones del tratamiento que pretenda abordar el eédigo y aportard soluciones practicas: y, 3. Mecanismos de supervision para controlar el pleno cumplimiento de sus disposiciones. Articulo 69.-- Admisibilidad.- E] proponente del cédigo presentara formalmente su proyecto de cédigo, ya sea en formato electrénico o fisico a la Autoridad de Proteccién de Datos Personales. Presentado el proyecto de cédigo, la Autoridad de Proteccién de Datos, en el témino maximo de cinco (5) dias, examinaré si cumple con los requisitos de forma establecidos 28GUILLERMO LASSO MENDOZA PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA en el articulo anterior. Si lo hace calificard, tramitara y dispondrd la evaluacién del contenido del proyecto de cédigo. Siel proyecto no cumple con los requisitos formales, la Autoridad de Proteccion de Datos Personales dispondra que el proponente la complete o aclare en el término de cineo (5) dias, determinando explicitamente el o los defectos. Si no lo hace, ordenara el archivo y la devolucién del proyecto, sin necesidad de dejar copias. Articulo 70.- Evaluacién del fondo. Admitido el proyecto de cédigo, la Autoridad de Proteccién de Datos Personales deberd, en el término de un treinta (30) dias, evaluar y verificar que el cddigo contribuya a la correcta aplicacién de la Ley, el presente Reglamento y la normativa aplicable en materia de proteccién de datos, teniendo en cuenta las caracteristicas especificas de los diversos sectores del tratamiento, asi como las obligaciones y los requisitos coneretos de los responsables 0 encargados del tratamiento a los que se aplique. Ademias de los criterios que determine la Autoridad de Proteccién de Datos para la aprobacién de los Cédigos de Conducta, se verificara que el proyecto cumpla con los siguientes criterios: 1, Satisfacer una necesidad puntual de ese sector o actividad de tratamiento; 2. Especificar la aplicacién de la Ley y el Reglamento a la naturaleza de la actividad o el sector del tratamiento: Aportar mejoras al sector en cuanto al cumplimiento de la legislacién en materia de proteccién de datos; Establecer normas realistas, aplicables, concretas, inequivocas y estar formuladas con la calidad y coherencia intema necesarias para aportar valor: Desarrollar de manera especifica, prictica y precisa cémo ha de aplicarse la le: reglamento y demas normativa de proteccién de datos: Aportar garantias suficientes y eficaces para mitigar el riesgo que entrafia el tratamiento de datos y respetar los derechos y las libertades de los particulares; 7. Disponer de mecanismos eficaces para supervisar el cumplimiento del cédigo; y, 8. — Identificar y proponer especiticamente las estructuras. procedimientos y érganos que velen por una supervisién eficaz y una sancién de las infracciones. 5. »N°904 GUILLERMO LASSO MENDOZA PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA Los citados mecanismos pueden incluir una auditoria periddica y requisitos de presentaciGn de informes, la gestion clara y transparente de las reclamaciones y los procedimientos de solucién de conilictos, sanciones especificas y medidas correetivas en caso de infraccién del cédigo, asi como mecanismos para denunciar las infraceiones de sus disposiciones. CAPITULO XI TRANSFERENCIA 0 COMUNICACION INTERNACIONAL DE DATOS. Articulo 71.- Transferencia 0 comunicacién internacional de datos personales a paises declarados como nivel adecuado de proteccién.- De oficio o a peticién de parte, la Autoridad de Proteccién de Datos Personales. mediante resolucién motivada, determinara los paises, organizaciones o personas juridicas que cuentan con adecuados niveles de protecciGn para transferencia de datos personales. Para ello, revisard que los estindares de proteccién sean equivalentes o superiores a aquellos establecidos en la Ley y demas normativa respeetiva La resolucidn tendra efectos generales, por lo que las transferencias internacionales hacia ese pais, organizacién o persona juridica no requerira de autorizacion previa, Articulo 72.- Contenido y publicaci6n de la resolueién.- La Autoridad de Proteccién de Datos Personales estableceré el mecanismo de rev adecuados de proteccidn, que deberd Mevarse a cabo anualmente. De ser el caso, podrd revocar, modificar o suspender la resolucién que reconocié el adecuado nivel de proteccién al pais, organizacién o persona juridica, sin que este acto tenga efectos retroactivos jin periddica de los niveles La resolucién sera publicada en el Registro Of piiblico en su pagina web institucional. ial y por medios digitales disponibles al Articulo 73. Criterios de estindares de nivel adecuado de proteceién- Para determinar si un pais, organizacién o persona juridica posee un nivel adecuado de proteccién de datos se tendri en cuenta los siguientes criterios, sin perjuicio de otros que pueda definir la Autoridad de Proteccidn de Datos:* oy GUILLERMO LASSO MENDOZA PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA La legislacién nacional y normativa sectorial del pai materia de proteccién de datos personales: 2. La legislacién en materia de seguridad nacional, publica y, en general aquella que tenga relacién con la defensa y seguridad del Estado, asi como la legislacién penal . que tenga incidencia en En estas materias se deberd poner especial énfasis en la revisién de las disposiciones que habiliten el acceso a datos personales por parte de las autoridades de ese pais, organizaci6n o persona juridica: 3. La normativa sobre transferencias ulteriores de datos personales onganizaciones o personas juridicas: La jurisprudeneia vinculada a la proteccién de datos personale: mos para su ejercicio en favor de los a terceros paises, El reconocimiento de derechos y los mecani titulares de datos personales; EL establecimiento de deberes y obligaciones de los responsables y encargados del tratamiento de datos personales: . La existencia de una autoridad de proteccién de datos personales que sea independiente y que tenga competencias de control y vigilancia del cumplimiento de la normativa en materia proteccién de datos personales, asi como de sancién en caso del cometimiento de infracciones en esta materia, Ademé asistencia y asesoria a los titulares y cooperacién internacional con otras autoridades; 8. Los compromisos internacionales asumidos por el pais, organizacién o persona juridica en cuanto a la materia de proteccién de datos personales. debera brindar Articulo 74.- Transferencia 0 comunica adecuadas.- De conformidad con la Ley, los transferencia internacional de datos personales a un pais, organizacién o territorio econémico internacional que no haya sido calificado por la Autoridad de Proteccién de Datos de tener un nivel adecuado de proteecién seran los siguientes: in internacional mediante garantias strumentos juridicos que sustentan La Instrumentos juridicamente vinculantes y exigibles entre las autoridades u organismos piblicos: 2. Notmas corporativas vinculantes aprobadas por la Autoridad de Proteccién de Datos; |. Cliusulas tipo de proteceién de datos adoptadas por organismos internacionales de proteccidn de datos avaladas por la autoridad de control:Ne 904 GUILLERMO LASSO MENDOZA PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA 4. Cédigos de conducta, que incluyan compromisos vinculantes del responsable o el encargado del tratamiento en el tercer pais, organizacién o territorio econémico internacional de aplicar garantias adecuadas, que incluya las relativas a los derechos de los interesados; 5. Mecanismos de certificacién que incluyen sellos y marcas de proteccién, que incorporen compromisos vinculantes del responsable o el encargado del tratamiento en el tercer pais, organizacisn 0 territorio econdmico internacional de aplicar garantias adecuadas, asi como aquellos relativos a los derechos de los interesados; y 6. Clausulas contractuales que no correspondan a las clausulas tipo y que estén debidamente autorizadas por la autoridad de proteccién de datos. Articulo 75.- Normas corporativas vinculantes.- Son normas corporativas vineulantes las politicas de proteccién de datos personales asumidas por un responsable o encargado del tratamiento establecido en la Repablica del Ecuador, para garantizar una adecuada proteccién de los datos personales, que permiten realizar transferencias internacionales de datos personales a un responsable o encargado en uno o mas paises, dentro de un grupo empresarial o una unién de empresas dedicadas a una actividad econdmica conjunta. Todo grupo empresarial, o unién de empresas dedicadas a una actividad econémica conjunta, tendra la posibilidad de invocar normas corporativas vinculantes autorizadas para sus transferencias internacionales de datos a terceros paises, siempre que tales normas corporativas incorporen todos los principios de tratamiento de datos personales y derechos aplicables y garantias de seguridad adecuadas para la transferencia de datos de personales. Articulo 76.- Autorizacién de normas corporativas yculantes.~ Para que las normas corporativas vinculantes constituyan garantias adecuadas de proteccién, deberin ser autorizadas por la Autoridad de Proteccién de Datos. Para ello, la Autoridad de Proteccién de Datos debera observar que las normas corporativas vinculantes cumplan los siguientes requisitos: 1. Sean juridicamente vineulantes: 2. Confieran expresamente a los titulares derechos exigibles en relacién con el tratamiento de sus datos personales; y.N° 904, GUILLERMO LASSO MENDOZA PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA 3, Cumplan con los requisitos establecidos en la Ley Articulo 77.- ‘Transferencia 0 comunicacién internacional en casos no contemplados.- En casos no contemplados en los articulos precedentes, la Autoridad de Proteccin de Datos Personales autorizaré, con eardcter previo, la translerencia internacional de datos personales, tinicamente cuando el responsable cumpla con alguno de los siguientes supuestos: 1. Que mediante contrato entre el responsable o encargado y el destinatario, este ultimo se obligue, voluntaria y formalmente, a cumplir con la Ley, el Reglamento y demas normativa aplicable, asi como a aceptar la autoridad y competencia de la Autoridad de Proteccién de Datos y de los tribunales ecuatorianos, para cualquier efecto relacionado con el tratamiento de los datos objeto de la transferencia; 0, 2. Que mediante contrato entre el responsable o encargado y el destinatario, este iiltimo se obligue, voluntaria y formalmente, a cumplir con la Ley, el Reglamento y demas normativa aplicable, y que en el pais 0 territorio donde se encuentre establecido el destinatario se garantice el ejercicio de los derechos, incluido aquel a presentar una reclamacién ante una autoridad de proteccién de datos personales y el derecho a la tutela judicial efectiva, por parte de los titulares. Articulo 78. Registro de informacién sobre transferencias internacionales en el Registro Nacional de Proteccién de Datos.- En el Registro Nacional de Proteccién de Datos se registrar la siguiente informacién: 1. _ El pais donde se ubiea el destinatario de los datos; 2. Las categorias de datos objeto de la transferenci 3. Las finalidades de la transferen: 4. El nombre, denominacién, razén social 0 nombre comercial con el que se identifique al destinatario; 5. _ El mecanismo o esquema autorizado, conforme a la Ley y este Reglamento, para realizar la transferencia: y, 6. Eleritetio de excepcién utilizado de los previstos en la Ley, cuando sea el caso. La Autoridad de Proteccién de Datos privilegiard la utilizacin de medios digitales para el registro de la informacién descrita, y emitira las reglas conforme a las cuales se BN° 0% GUILLERMO LASSO MENDOZA PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA realizara el registro de la informacién, los medios disponibles para el registro, los plazos, asi como los mecanismos para la actualizacién de dicha informacién, de ser el caso. CAPITULO XII AUTORIDAD DE PROTECCION DE DATOS Articulo 79.- Autoridad de Proteccién de Datos Personales.- La Autoridad de Proteccidn de Datos Personales goza de autonomia administrativa, técnica, operativa y financiera. Estard a cargo del Superintendente de Proteccién de Datos Personales y tendra su sede en el Distrito Metropolitano de Quito, E] Estatuto Orgénico Funcional sera aprobado por la maxima autoridad y contendrd la estructura institucional necesaria para el cumplimiento de sus fines y atribuciones. Articulo 80.-Atribuciones.- La Autoridad de Proteccién de Datos Personales, ademas de las sefialadas en la Ley de la materia, tendré las siguientes: 1. Hacer cumplir las regulaciones en el marco de la proteccién de datos personales; 2. Registrar las bases de datos que contengan datos personales en el Registro Nacional de Proteccién de Datos Personales: 3. Dirigiry administrar el Registro Unico de Responsables y Eneargados Incumplidos; 4, Emitir regulaciones para la proteccién de datos personale: 5. Emitir los informes téenicos dentro de los mecanismos de control y supervii se dispongan; 6. Proponer reformas a la Ley y su reglamento: 7. Emitir guias de referencias que ayuden a los responsables y encargados del tratamiento de datos en el proceso de adecuacién y cumplimiento de la normativa de proteccién de datos personales: 8. Conocer y resolver las peticiones, quejas, reclamos y recursos que se propongan en el ambito de su competencia y de conformidad con la Ley; y, 9. Las demas que se le asignen en este reglamento. Articulo 81- Planes anuales.- Las actividades de control se realizaran de acuerdo con el plan anual aprobado por la maxima autoridad, el cual ser claborado considerando la naturaleza de las organizaciones controladas, el volumen y la sensibilidad de los datos MN° 904 GUILLERMO LASSO MENDOZA PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA personales sujetos a tratamiento, la aplicacién de los diferentes procedimientos de control y la disponibilidad presupuestaria, Se podran ejecutar procedimientos de control no considerados dentro de los planes anu les si la situacién lo amerita, basados en criterios de criticidad, oportunidad y posibles lesiones al derecho a la proteccidn de datos personales de uno o més titulares de datos personales. Articulo 82.- Mecanismos de control. - La Autoridad de Proteccién de Datos Personales determinaré los procedimientos de control que se regirén por las reglas previstas en el Codigo Orgénico Administrative. Articulo 83. Atribuciones del Superintendente de Proteccién de Datos Personales.- Son atribuciones del Superintendente de Proteccién de Datos Personales, a mas de las setaladas en la Ley y este Reglamento, las siguientes: 1. _ Representar legal y judicialmente a la Autoridad de Proteccién de Datos Personales, en todos los actos, contratos y relaciones juridicas sujetas a su competencia, 2. Blaborar y publicar, anualmente, informacién estadistica, de las organizaciones sujetas a su control y de los tratamientos de datos personales. 3. Formular, aprobar y ejecutar el presupuesto de la Autoridad de Proteccién de Datos Personales. 4. Preparar estudios y propuestas sobre reformas legales y reglamentarias que se requieran para el correcto ejercicio del derecho a la proteccién de datos personales, y ponerlos en consideracién de los érganos encargados de aprobarlas. 5. Aprobar y expedir normas internas, resoluciones y manuales que scan necesarios para el buen funcionamiento de la Autoridad a su cargo. Articulo 84.- Registro Nacional de Proteccién de Datos Personales.- El Registro Nacional de Proteceién de Datos Personales constituye un registro public a cargo de la Autoridad de Proteccién de Datos Personales. que contiene las bases de datos personales © tratamiento realizado por los responsables de tratamiento de datos personales en los términos previstos en la Ley.N° 90% GUILLERMO LASSO MENDOZA PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA Articulo 85.- Responsabilidad del registro.- El reporte y la actualizacion de la informacién en el Registro Nacional de Proteccién de Datos Personales, sera obligacién del responsable de tratamiento, Esta obligacién no implica el registro de los datos contenidos en la base de datos 0 que son objeto del tratamiento, y se realizara de manera independiente por cada base de datos © tratamiento, La Autoridad de Proteccién de Datos Personales regulard los procesos de reporte y actualizacién en el Registro Nacional de Proteccién de Datos Personales a su cargo que deberan cumplir los responsables de tratamiento de datos personales. Articulo 86. Inscripcién oportuna.- El reporte de bases de datos o tratamiento en el Registro Nacional de Proteccién de Datos Personales debera realizarse dentro del término de diez dias contados a partir del dia siguiente al inicio del tratamiento. Articulo 87.- Registro Unico de Responsables y Encargados del tratamiento de datos personales incumplidos. - El Registro Unico de Responsables y Encargados de tratamiento de datos personales incumplidos constituye un registro publico a cargo de la Autoridad de Proteccién de Datos, en el que se harin constar los responsables y encargados del tratamiento que hubieren incurrido en alguna de las infracciones establecidas en la Ley y cuenten con una resolucién firme, de conformidad con lo dispuesto en el ordenamiento juridico vigente. Dicho registro contendra los siguientes datos: 1. Nombre de la persona natural o juridica infractora; 2. Indicacién de la infraccién cometida: 3. Indicacidn de la sancién impuesta; y 4. Reiteracién o reincidencias en el cometimiento de infracciones. Articulo 88.- Fines del Registro Unico de Responsables y Encargados del tratamiento de datos personales Incumplidos.- E] Registro Unico de Responsables y Encargados del tratamiento de datos personales Incumplidos ser _utilizado exclusivamente para fines estadisticos, preventivos y de capacitacién.N° 0% GUILLERMO LASSO MENDOZA PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA La Autoridad de Proteccién de Datos guardara la confidencialidad y privacidad de los datos contenidos en el Registro y aplicard las medidas de seguridad a fin de proteger la informacisn personal contenida en el mismo. La Autoridad de Proteccion de Datos mantendr permanentemente actualizado el Registro, de tal forma que responda con veracidad y ex: el mismo. itud a los datos contenidos en Articulo 89.- Plazo de conservacién.- El plazo maximo de conservacién de los datos contenidos en el Registro de Responsables y Encargados del Tratamiento de datos personales Incumplidos es de siete (7) afios contados desde la fecha de la emisiOn de la resoluci6n o sentencia en firme. CAPITULO XIV REGIMEN SANCIONATORIO Articulo 90.- Cometimiento de infracciones.- En los casos en que se presuma el cometimiento de alguna de las infracciones previstas en la Ley, la Autoridad de Proteccién de Datos iniciard el correspondiente procedimiento administrativo sancionatorio, de conformidad con las disposiciones establecidas en el Cédigo Organica Administrativo. La resolucién que ponga fin al procedimiento deberd estar debidamente fundamentada y motivada, de conformidad con lo establecido en la Ley. Las sanciones a las que hubiere lugar se impondrin sin perjuicio de la responsabilidad civil o penal que resulten del cometimiento de la infraceién. DISPOSICION GENERAL Los procedimientos adm Administrativo. strativos se reginin por lo previsto en el Cédigo OrgénicoN° 908 GUILLERMO LASSO MENDOZA PRESIDENTE CONSTITUCIONAL DE LA REPUBLICA DISPOSICION TRANSITORIA PRIMERA.- La implementacién y funcionamiento de la Superintendencia de Proteccién de Datos Personales estard sujeta a la disponibilidad presupuestaria, previo dictamen favorable del ente rector de las finanzas publicas. SEGUNDA.- En el plazo maximo de un (1) aio, contado a partir de la fecha de implementacin y funcionamiento de la Superintendencia de Proteccién de Datos Personales, esta coordinara y llevard a cabo capacitaciones téenicas y cursos de formacién dirigidos al pablico en general, orientados a promover el ¢jercicio del derecho @ la proteccidn de datos personales y a la profesionalizacién de los delegados de proteccién de datos personales. Para tal efecto, podré celebrar alianzas con instituciones de educacién superior con experiencia en la materia, asi como con organizaciones especializadas que promuevan la proteccién de datos personales DISPOSICION FINAL Fl presente Reglamento General entrar en vigencia a partir de su publicacién en el Registro Of Dado en el Palacio Nacional, Distrito Metropolitano de Quito, el 6 de novienbre de 2023. Guillermo Lasso Menttiza DENTE CONSTITUCIONAL DE LA REPUBLICA,