Lo que debería saber sobre la transferencia internacional de datos personales en Ecuador

La transferencia de datos en el pasado era un procedimiento inusual en las empresas. Ahora es una operación que que involucra a casi todas las organizaciones en el mundo. En el caso de Ecuador hay varios factores a tener en cuenta para cumplir con la Ley Orgánica de Protección de Datos Personales (LOPD).

El artículo 423 de la Constitución de la República prevé que la integración en especial con los países de Latinoamérica y el Caribe será un objetivo estratégico del Estado ecuatoriano. En concordancia con dicha premisa, una de las operaciones que materializan el objetivo de la integración internacional, es la transferencia internacional de datos personales, con ocasión a las múltiples relaciones comerciales que se han propendido en el tiempo.

En ese sentido, es importante que, tanto los responsables como los encargados del tratamiento de datos, así como las personas naturales o jurídicas que pretendan llevar a cabo a futuro una transferencia internacional de datos personales, tengan en cuenta una serie de aspectos importantes como los conceptos, requisitos para llevarla a cabo, los casos excepcionales y las autoridades relevantes para llevar a cabo dicha operación de conformidad con la Ley Orgánica de Protección de Datos Personales (LOPD).

¿Qué es la transferencia o comunicación de datos personales?

La LOPD la ha definido como la manifestación, declaración, entrega, consulta, interconexión, cesión, transmisión, difusión, divulgación o cualquier forma de revelación de datos personales realizada a una persona distinta al titular, responsable o encargado del tratamiento de datos personales. Aunado a lo anterior, se considera como un procedimiento técnico que, individual o en conjunto es realizado para el tratamiento de los datos personales y hacen parte del derecho a la información y a la portabilidad de los titulares de los datos personales.

Ahora bien, ya definido el término de transferencia es importante relacionar, de manera específica, el aspecto internacional de la misma. La transferencia internacional de datos personales se constituye cuando el responsable y/o encargado del tratamiento de los datos personales, envía información o bases de datos a un receptor y responsable del tratamiento encontrándose este fuera del país.

Entonces, ¿Qué debería tener en cuenta para la transferencia internacional de datos con base en la LOPD ecuatoriana?

La LOPD permite realizar dicha operación si la ejecución de la misma se sujeta a las disposiciones legales, así como a la normativa especializada en la materia, siendo imperativa la garantía del efectivo ejercicio del derecho a la protección de datos personales.

En ese sentido, debe tenerse en cuenta para la transferencia internacional de datos personales el ordenamiento jurídico del país al que se vaya a realizar la transferencia, habida cuenta si el país ha sido declarado como de nivel adecuado de protección o no.

El nivel adecuado de protección refiere a que los países brinden alternativas o medidas de protección y empleen acciones conjuntas entre autoridades con el objeto de prevenir, corregir o mitigar el tratamiento indebido de datos con ocasión a que se ajusten a la obligación de cumplimiento y garantía de estándares reconocidos internacionalmente conforme a los criterios establecidos en el Reglamento de la LOPD.

Bajo esa premisa, resulta pertinente mencionar que el nivel adecuado de protección, debe ser declarado por la autoridad de protección de datos personales del Ecuador, dicha declaración deberá expresarse mediante resolución motivada la cual relacione que el país garantiza adecuadamente la protección de datos en la transferencia conforme a las disposiciones internacionales sobre protección de datos y a la LOPD.

Por otra parte, cuando la transferencia internacional pretenda realizarse a un país, organización o territorio económico internacional que no haya sido calificado por la Autoridad de Protección de Datos de tener un nivel adecuado de protección, el artículo 57 de la LOPD permite realizar la transferencia internacional sí, y solo sí el país cumple con unos estándares debidamente señalados, los cuales son:

1. Garantizar el cumplimiento de principios, derechos y obligaciones en el tratamiento de datos personales en un estándar igual o mayor a la normativa ecuatoriana vigente. 
2. Efectiva tutela del derecho a la protección de datos personales, a través de la disponibilidad permanente de acciones administrativas o judiciales.
3. El derecho a solicitar la reparación integral, de ser el caso.

En ese sentido, y a propósito de la garantía integral de los derechos que deben asegurar los países, respecto de la protección de datos personales además de los requisitos mencionados anteriormente, la LOPD establece la facultad de contar con normas corporativas vinculantes a los responsables o encargados del tratamiento de datos personales en concordancia con las condiciones establecidas en el artículo 58 que, aunado a lo anterior, la imperatividad de contar con la autorización por la Autoridad de Protección de Datos Personales para incorporar dichas normas e incorpora la solemnidad, además de la carga por parte del responsable del tratamiento de datos o el encargado, según el caso, de registrarlo en el Registro Nacional de Protección de Datos Personales.

Por otra parte, se contemplan casos excepcionales en los que se puede realizar la transferencia internacional de datos personales, los cuales son:

1. Cuando los datos personales sean requeridos para el cumplimiento de competencias institucionales, de conformidad con la normativa aplicable.
2. Cuando el titular haya otorgado su consentimiento explícito a la transferencia o comunicación propuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias o comunicaciones internación a íes, debido a la ausencia de una resolución de nivel adecuado de protección y de garantías adecuadas. 
3. Cuando la transferencia internacional tenga como finalidad el cumplimiento de una obligación legal o regulatoria.
4. Cuando la transferencia internacional de datos personales sea necesaria para la ejecución de un contrate entre el titular y el responsable del tratamiento de datos personales, o para la ejecución de medidas de carácter precontractual adoptadas a solicitud del titular.
5. Cuando la transferencia sea necesaria por razones de interés público. 
6. Cuando la transferencia internacional sea necesaria para la colaboración judicial internacional.
7. Cuando la transferencia internacional sea necesaria para la cooperación dentro de la investigación de infracciones.
8. Cuando la transferencia internacional es necesaria para el cumplimiento dé compromisos adquiridos en procesos de cooperación internacional entre Estados.
9. Cuando se realicen transferencias de datos en operaciones bancarias y bursátiles.  
10. Cuando la transferencia internacional de datos personales sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones, acciones administrativas o jurisdiccionales y recursos.
11. Cuando la transferencia internacional de datos personales sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento.

En ese orden de ideas, aunque el país no cuente con niveles adecuados de protección, la transferencia internacional de datos podrá realizarse si la situación se encuadra en alguno de los numerales precedentes. 

En conclusión, para realizar la transferencia internacional de datos personales, deberán tenerse en cuenta las disposiciones internacionales sobre la materia, así como las contenidas en la LOPD respecto del nivel adecuado de protección, las normas corporativas vinculantes con autorización de la Autoridad de Protección de Datos Personales y los casos excepcionales para realizar la transferencia cuando el país no cumple con el nivel adecuado de protección de datos.

Para cumplir de forma adecuada la Ley Orgánica de Protección de Datos Personales (LOPD) de Ecuador, te invitamos a que realices el diagnóstico gratuito para descubrir las necesidades actuales de tu operación en relación al régimen de protección de datos personales y tu riesgo de sanciones.