Implementación

efectiva de la Ley
Orgánica de
Protección de Datos
Personales

Ley Orgánica de Protección de Datos Personales

 Page 02

Hacia una implementación

efectiva de la Ley Orgánica de
Protección de Datos Personales

Implementación efectiva Importante recalcar

Desde la promulgación de la Ley La LOPDP aplica para todas las

Orgánica de Protección de Datos organizaciones, existen unas
Personales (en adelante “LOPDP”) que excepciones que valdría la pena leer,
se encuentra detallado en el Registro sin embargo, aplica para todo tipo de
Oficial Suplemento No. 459 del 26 de industria/negocio.
mayo de 2021 y su respectivo
Reglamento General publicado desde el Debe ser implementada considerando
6 de noviembre de 2023, nos han todos los aspectos que ahí se indican y
consultado cuales son los temas requieren, no existe una
relevantes que se deben considerar. implementación “por partes”.

www.russellbedford.com.ec
 Page 03

Implementación
Dentro de nuestra experiencia en proyectos de
implementación, consideramos relevantes los siguientes 10
puntos para una implementación efectiva de la LOPDP.

Compromiso, Roles
y Funciones

Inventario de Bases de
Datos Personales

Finalidades

Política &
Procedimientos

Gestión de Riesgos

Gestión de
Encargados

Protocolo de
Violaciones e
Incidentes

Capacitación y
Sensibilización

Comunicación
Interna / Externa

Mejora Continua

www.russellbedford.com.ec
 Page 04

Puntos Clave

Adaptado por y
para la
organización

Políticas
efectivas

Responsabilidad
y cultura

www.russellbedford.com.ec
 Page 05

Puntos Clave
1 Compromiso, Roles
y Funciones

Inventario de Bases de
2 Datos Personales
Autorización
Finalidades principio de finalidad
3
Políticas de protección de datos
Política &
4 Procedimientos
Lineamientos
Conversación y eliminación
Medidas de protección
5 Gestión de Riesgos Consulta y Reclamos

Identificación y análisis
Gestión de
Implementación 6 Encargados
evaluación, control y monitoreo
Evaluación de impacto
efectiva
Protocolo de
7 Violaciones e
Incidentes

8 Capacitación y
Sensibilización

Comunicación
9 Interna / Externa

10 Mejora Continua

Raúl González C.
Socio Riesgos | Gobierno |
Cumplimiento

www.russellbedford.com.ec
 Page 06

“Establecer un liderazgo claro: Nombrar un

1.Compromiso, Roles y Delegado de Protección de Datos (DPO por sus
Funciones siglas en inglés) el cual es requerido por la ley y
debe tener la autoridad necesaria para
supervisar el cumplimiento de la protección de
datos.
Contar con un equipo multidisciplinario:
Integrar miembros de diversas áreas (IT, legal,
marketing, negocio, etc.) para asegurar un
enfoque holístico de como se gestionan los
datos personales en la organización.
Definir responsabilidades: Asignar tareas
específicas dentro del equipo, como gestión de
riesgos, respuesta a incidentes y comunicación.
Compromiso de la alta dirección: Obtener y
documentar el apoyo explícito de los directivos
para asegurar recursos y prioridad en las
iniciativas de protección de datos. Adicional a
incorporar en la cultura de la organización.

Identificación de activos de datos: Identificar y

2.Inventario de Bases de clasificar los datos almacenados en la
Datos Personales organización.
Documentar el flujo de datos: Crear diagramas
de flujo que muestren cómo se mueven los
datos dentro y fuera de la organización.
Evaluar la legitimidad del almacenamiento de
datos: Revisar si el almacenamiento de cada
tipo de dato cumple con las leyes aplicables.
Identificar datos sensibles: Marcar datos como
personales, sensibles o confidenciales según su
nivel de importancia y el riesgo que
representan.
Definir ciclos de vida de los datos: Establecer
cuánto tiempo se deben retener los datos y
cuándo se deben eliminar.

www.russellbedford.com.ec
 Page 07

3.Finalidades Documentar las finalidades de la recogida de datos:

Asegurarse de que cada colección de datos tenga un
propósito legal y explícito.
Limitar el acceso según la finalidad: Restringir el
acceso a los datos a aquellos que realmente
necesitan conocerlos para la finalidad documentada.
Revisar las finalidades periódicamente: Asegurarse
de que las finalidades sigan siendo relevantes y
legítimas con el tiempo.
Incluir las finalidades en las políticas de privacidad:
Transparentar las finalidades en todas las
comunicaciones a los interesados.
Evaluar nuevas propuestas de uso de datos: Antes de
utilizar datos para nuevas finalidades, evaluar la
legalidad y el impacto sobre la privacidad.
Implementar mecanismos de consentimiento: Cuando
la finalidad lo requiera, asegurarse de obtener y
documentar el consentimiento adecuado.
Desarrollar políticas de minimización de datos:
Recoger solo los datos necesarios para cumplir con
las finalidades establecidas.

Desarrollar políticas detalladas: Redactar políticas

4.Política & claras sobre el tratamiento de datos personales,
Procedimientos incluyendo acceso, rectificación, actualización,
eliminación, oposición, portabilidad y consulta.
Documentar todos los procedimientos: Crear
procedimientos detallados que respalden cada política.
Incorporación de políticas en contratos y acuerdos:
Asegurarse de que todas las políticas de datos se
reflejen en los contratos con empleados, clientes y
proveedores.
Procedimientos de seguridad: Desarrollar y mantener
procedimientos robustos de seguridad para proteger
los datos contra accesos no autorizados, pérdidas o
daños.
Gestión de solicitudes de los interesados: Establecer
procedimientos para gestionar solicitudes de
requerimientos, peticiones, quejas y reclamos de los
interesados.
 Page 08

5.Gestión de Riesgos Identificación de riesgos: Realizar un mapeo de

riesgos para identificar posibles amenazas a la
seguridad de los datos personales.
Análisis de riesgos: Evaluar la probabilidad y el
impacto de cada riesgo identificado.
Planes de mitigación: Desarrollar estrategias
específicas para mitigar los riesgos identificados.
Pruebas de penetración y vulnerabilidad: Realizar
pruebas regulares para identificar y solucionar
vulnerabilidades de seguridad.
Revisión de impacto de protección de datos (DPIA):
Realizar DPIAs para nuevos proyectos o cambios en
procesos que impliquen datos personales.
Reporte de riesgos: Establecer un protocolo para la
comunicación de riesgos a la alta dirección.

Selección de encargados: Elegir a proveedores y

6.Gestión de terceros que demuestren cumplimiento con las
Encargados normativas de protección de datos.
Acuerdos de procesamiento de datos: Asegurar que
todos los encargados firmen acuerdos que especifiquen
sus obligaciones de protección de datos.
Auditorías a encargados: Realizar auditorías regulares
a los encargados para verificar su cumplimiento.
Gestión de cambios con encargados: Establecer
procedimientos para gestionar cambios en los servicios
prestados por encargados que puedan afectar la
protección de los datos.
Controles contractuales: Incluir cláusulas específicas en
los contratos para proteger los datos y especificar las
responsabilidades en caso de incidentes de seguridad.
Integración de encargados en el plan de respuesta a
incidentes: Asegurar que los encargados están incluidos
en los protocolos de respuesta a incidentes.
Evaluación de la subcontratación: Revisar cualquier
subcontratación de servicios por parte de los
encargados que pueda afectar la seguridad de los
datos.
Terminación y devolución de datos: Establecer procesos
claros para la devolución o destrucción de datos al
finalizar el contrato con el encargado.

www.russellbedford.com.ec
 Page 09

7.Protocolo de Desarrollar un plan de respuesta a incidentes: Crear

Violaciones e un plan detallado que incluya la identificación,
respuesta y notificación en caso de que existan
Incidentes violaciones de datos personales.
Establecer roles y responsabilidades en el manejo de
incidentes: Designar a miembros específicos del
equipo encargados de gestionar diferentes aspectos
de una violación.
Simulacros de incidentes: Realizar ejercicios y
simulacros para preparar al equipo en el manejo
efectivo de incidentes.
Notificaciones rápidas: Establecer procedimientos
para notificar a las autoridades reguladoras y a los
afectados en los plazos requeridos por la ley.
Documentación de incidentes: Mantener un registro
de todos los incidentes y violaciones para auditorías
futuras y para mejorar las prácticas de seguridad.
Revisión post-incidente: Evaluar cómo se manejó el
incidente y identificar mejoras en los procedimientos.
Integración con el equipo de TI: Asegurar que el
equipo de TI esté plenamente integrado en el
protocolo de respuesta a incidentes para una rápida
detección y mitigación.

Programa de formación continua: Implementar un

programa de capacitación regular en protección de
8.1.Capacitación y datos para todos los empleados.
Sensibilización Actualización de los programas de capacitación:
Revisar y actualizar el contenido formativo para reflejar
los cambios en la legislación y la tecnología.
Sensibilización sobre las últimas amenazas de
seguridad: Mantener informado al personal sobre las
nuevas técnicas de phishing y otros riesgos de
seguridad cibernética.
Capacitar al personal sobre la importancia de las
finalidades: Asegurar que comprendan cómo el uso
indebido de datos puede afectar a la organización y a
los individuos.

www.russellbedford.com.ec
 Page 10

9.Comunicación Política de comunicación clara: Establecer directrices

Interna / Externa sobre cómo y cuándo comunicar temas relacionados
con la protección de datos tanto interna como
externamente.
Reuniones regulares sobre protección de datos:
Organizar reuniones periódicas para discutir asuntos
de privacidad y protección de datos con el personal
relevante.
Portavoz en temas de privacidad: Designar expertos
internos como voceros en temas de protección de
datos para conferencias y medios de comunicación.

Revisión de políticas y prácticas: Realizar revisiones

10.Mejora sistemáticas de todas las políticas y prácticas de
Continua protección de datos para asegurar su relevancia y
eficacia.
Benchmarks de la industria: Comparar las prácticas de
protección de datos con las de otras organizaciones del
mismo sector para identificar áreas de mejora.
Actualizar la tecnología que apoya a la seguridad:
Asegurar que la infraestructura de TI utilice software y
hardware actualizados para proteger los datos.
Mejoras basadas en tendencias de incidentes: Analizar
los incidentes de seguridad para identificar y rectificar
vulnerabilidades recurrentes.
Auditorías externas independientes: Contratar a
terceros para realizar auditorías de las prácticas de
protección de datos.
Documentar y compartir lecciones aprendidas:
Mantener un registro de incidentes y las lecciones
aprendidas de estos para compartir internamente y
evitar repetición de errores.

www.russellbedford.com.ec
Contáctanos Ramiro Pinto
Socio Principal
Russell Bedford Ecuador
[email protected]

Web www.russellbedford.com.ec

WhastApp +593 99 488 1065

E-mail [email protected]

Raúl González C.
Dirección Quito | Av. de la República oe3-30
Socio Riesgos | Gobierno |
Guayaquil | Av. José Santiago Castillo Cumplimiento
[email protected]
y Justino Cornejo esquina.