Consultas absueltas por la SPDP de conformidad con el numeral 9 del artículo 76 de la LOPDP, en concordancia con el Reglamento para la atención de consultas publicado en el Suplemento del Registro Oficial N.º 683 del 14 de noviembre del 2024
Oficio N° SPDP-IGRPD-2024-001-O-C
Preguntas
1. Procedimiento formal para obtener el reconocimiento: ¿Cuál es el procedimiento aplicable para responsables y encargados del tratamiento que buscan obtener el reconocimiento por buenas prácticas determinado en la Disposición transitoria tercera?
2. Criterios de evaluación: ¿Qué metodología y qué criterios específicos se aplicarán por parte de la superintendencia para evaluar la implementación de los preceptos de la Ley?
3. Documentación y requisitos necesarios: ¿Cuáles son los documentos, evidencias y requisitos que deben presentarse para sustentar la solicitud de ¿Necesitas ayuda? reconocimiento de buenas prácticas?
4. Plazos de presentación: ¿Cuáles son los plazos aplicables para la presentación de solicitudes y cuál es el plazo de revisión de cumplimiento para el otorgamiento de reconocimiento de buenas prácticas?
5. Beneficios asociados al reconocimiento: ¿Qué consecuencias concretas o beneficios tangibles se derivan de la obtención del reconocimiento de buenas prácticas por parte de una entidad, particularmente en relación con el régimen sancionatorio?
Análisis
El numeral 23 del artículo 66 de la Constitución de la República del Ecuador (“CRE”) establece el derecho de petición, ya sea de manera individual o colectiva, ante las autoridades y recibir una respuesta fundamentada. En concordancia con lo mencionado, el artículo 32 del Código Orgánico Administrativo (“COA”) señala que “[l]as personas tienen derecho a formular peticiones, individual o colectivamente, ante las administraciones públicas y a recibir respuestas motivadas, de forma oportuna.”. Así mismo, la CRE en su artículo 226 consagra el principio de legalidad, el cual habilita y limita el alcance del ejercicio de las competencias de los servidores públicos que ejercen una potestad estatal; indicando que los mismos deberán ejercer solo aquellas competencias y facultades que estén contempladas en la Constitución y la ley. Además, se insta cumplir con el deber de “coordinar acciones para el cumplimiento de sus fines y hacer efectivo el goce y ejercicio de los derechos reconocidos en la Constitución.”. En concordancia con lo mencionado, el artículo 14 del COA establece el principio de juridicidad, con otro nombre, pero bajo la misma esencia, donde se menciona que las actuaciones administrativas se someten no solo a las normas jerárquicas superiores, CRE y tratados internacionales, sino también a los principios y jurisprudencia; de igual forma las administraciones públicas gozan de potestad discrecional con apego a derecho.En este mismo sentido de ideas, la CRE en su artículo 82 hace referencia al principio a la seguridad jurídica que implica la “…existencia de normas jurídicas previas, claras, públicas y aplicadas por las autoridades competentes.”; y su fundamento es el respeto a la CRE. En concordancia con esto, el COA en su artículo 22 consagra el principio de seguridad jurídica indicando que las “administraciones públicas actuarán bajo los criterios de certeza y previsibilidad.”; es decir, que el administrado sabrá previamente la forma de actuar coherente de la administración pública a través de las normas que contemplen dichas reglas. Adicionalmente, la Jueza ponente constitucional, abogada Karla Andrade Quevedo, en su Sentencia N° 2137-21-EP /21 del caso N° 2137-21-EP del 29 de septiembre del 2021, menciona respecto del artículo 82 CRE que “[d]el texto constitucional se desprende que la Constitución garantiza a las personas el derecho de contar con un ordenamiento jurídico previsible, claro, determinado, estable y coherente que le permita tener una noción razonable de las reglas de juego que le serán aplicables…”.En concordancia con lo mencionado en el párrafo anterior, el Juez ponente constitucional, abogado Enrique Herrería Bonnet, en su Sentencia N° 54-17-IN/22 del caso N° 54-17-IN del 26 de mayo del 2022, menciona que “[l]a Constitución concibe a la seguridad jurídica como un derecho-prerrogativa que ostentan las personas para exigir el respeto de la norma constitucional a través de la formulación de normas jurídicas previas, claras y públicas, obligando al órgano con potestad normativa a respetar estos requisitos.”.En este sentido, antes de que los servidores públicos realicen o ejecuten cualquier actuación administrativa, deben contar con la normativa que regule el procedimiento que permita el ejercicio de dicha actuación. Esta normativa debe ser clara y conocida por el administrado, en el marco de los principios constitucionales y administrativos de legalidad (juridicidad) y seguridad jurídica. En caso de que la norma carezca de claridad, es decir, si su articulado no ofrece el grado de certeza suficiente para que los ciudadanos puedan inferir el procedimiento, la prohibición, la permisión o la sanción correspondiente, el ciudadano tiene el derecho de solicitar a la institución pública una respuesta a una consulta sobre el texto de la misma o su aplicación. Así entonces, usted solicita información detallada y plantea varias interrogantes sobre el proceso aplicable para acceder al reconocimiento por buenas prácticas, conforme a lo establecido en la disposición transitoria tercera de la Ley Orgánica de Protección de Datos Personales (“LOPDP”). Al respecto, me permito indicar que, si bien el reconocimiento por buenas prácticas está garantizado por la LOPDP, el proceso al que hace referencia no existe en la actualidad, y por ello no podemos ofrecer información detallada sobre el mismo. Además, cabe mencionar que la Superintendencia de Protección de Datos Personales se encuentra en una etapa de arranque de sus funciones y está coordinando acciones para expedir oportunamente normativa que regule los procedimientos y procesos que garanticen el cumplimiento de sus objetivos y fines, y aseguren el goce y ejercicio efectivo de los derechos de los administrados.
Pronunciamiento
En ejercicio de la Resolución N° SPDP-SPDP-2024-0007-R de fecha 30 de septiembre, en donde en su literal c) del artículo 4, en mi calidad de delegado del Superintendente de Protección de Datos Personales, en atención a su petitorio en la consulta que versa sobre el aspecto de un proceso aplicable para acceder al reconocimiento por buenas prácticas, conforme a lo establecido en la disposición transitoria tercera de la Ley Orgánica de Protección de Datos Personales (“LOPDP”), esta autoridad no se pronuncia al respecto, toda vez que la misma es ambigua, vaga e indeterminada, ya que versa sobre normativa inexistente en la actualidad, que no ha sido emitida por esta institución pública, por lo que a la fecha no existe disposición alguna que establezca el procedimiento y requisitos para obtener tal reconocimiento, en cumplimiento del artículo 226 de la Constitución. En este sentido se da contestación a su solicitud, exhortando al consultante a que realice las consultas que sean necesarias cuando la normativa aplicable sea expedida en legal y debida forma.
Oficio N° SPDP-IGRPD-2024-002-O-C
Preguntas
1. Existencia del procedimiento: ¿Existirá un procedimiento de verificación orientado al control de cumplimiento de dicha obligación? En caso afirmativo:
2. Método de verificación: ¿Cuáles serán los métodos y procedimientos específicos que la Superintendencia empleará para verificar si una entidad ha designado a su Delegado?
3. Documentación y requisitos necesarios: ¿Cuáles son los documentos y evidencias que deberán presentarse para sustentar el cumplimiento de la obligación?
4. Plazos de presentación: ¿Cuáles son los plazos aplicables para la presentación de dichos requisitos o documentación?
Análisis
El numeral 23 del artículo 66 de la Constitución de la República del Ecuador (“CRE”) establece el derecho de petición, ya sea de manera individual o colectiva, ante las autoridades y recibir una respuesta fundamentada. En concordancia con lo mencionado, el artículo 32 del Código Orgánico Administrativo (“COA”) señala que “[l]as personas tienen derecho a formular peticiones, individual o colectivamente, ante las administraciones públicas y a recibir respuestas motivadas, de forma oportuna.”. Así mismo, la CRE en su artículo 226 consagra el principio de legalidad, el cual habilita y limita el alcance del ejercicio de las competencias de los servidores públicos que ejercen una potestad estatal; indicando que los mismos deberán ejercer solas aquellas competencias y facultades que estén contempladas en la Constitución y la ley. Además, se insta cumplir con el deber de “coordinar acciones para el cumplimiento de sus fines y hacer efectivo el goce y ejercicio de los derechos reconocidos en la Constitución.”. En concordancia con lo mencionado, el artículo 14 del COA establece el principio de juridicidad, con otro nombre, pero bajo la misma esencia, donde se menciona que las actuaciones administrativas se someten no solo a las normas jerárquicas superiores, CRE y tratados internacionales, sino también a los principios y jurisprudencia; de igual forma las administraciones públicas gozan de potestad discrecional con apego a derecho.En este mismo sentido de ideas, la CRE en su artículo 82 hace referencia al principio a la seguridad jurídica que implica la “…existencia de normas jurídicas previas, claras, públicas y aplicadas por las autoridades competentes.”; y su fundamento es el respeto a la CRE.
En concordancia con esto, el COA en su artículo 22 consagra el principio de seguridad jurídica indicando que las “administraciones públicas actuarán bajo los criterios de certeza y previsibilidad.”; es decir, que el administrado sabrá previamente la forma de actuar coherente de la administración pública a través de las normas que contemplen dichas reglas. Adicionalmente, la Jueza ponente constitucional, abogada Karla Andrade Quevedo, en su Sentencia N° 2137-21-EP /21 del caso N° 2137-21-EP del 29 de septiembre del 2021, menciona respecto del artículo 82 CRE que “[d]el texto constitucional se desprende que la Constitución garantiza a las personas el derecho de contar con un ordenamiento jurídico previsible, claro, determinado, estable y coherente que le permita tener una noción razonable de las reglas de juego que le serán aplicables…”.
2 En concordancia con lo mencionado en el párrafo anterior, el Juez ponente constitucional, abogado Enrique Herrería Bonnet, en su Sentencia N° 54-17-IN/22 del caso N° 54-17-IN del 26 de mayo del 2022, menciona que “[l]a Constitución concibe a la seguridad jurídica como un derecho-prerrogativa que ostentan las personas para exigir el respeto de la norma constitucional a través de la formulación de normas jurídicas previas, claras y públicas, obligando al órgano con potestad normativa a respetar estos requisitos.”
3 En este sentido, antes de que los servidores públicos realicen cualquier actuación administrativa, deben contar con la normativa que regule el procedimiento que permita el ejercicio de dicha actuación. Esta normativa debe ser clara y conocida por el administrado, en el marco de los principios constitucionales y administrativos de legalidad (juridicidad) y seguridad jurídica. En caso de que la norma carezca de claridad, es decir, si su articulado no ofrece el grado de certeza suficiente para que los ciudadanos puedan inferir el procedimiento, la prohibición, la permisión o la sanción correspondiente, el ciudadano tiene el derecho de solicitar a la institución pública una respuesta a su consulta sobre el texto de la misma o su aplicación. Así entonces, usted solicita información y plantea varias preguntas sobre el proceso que implementará esta institución pública para verificar el cumplimiento de la obligación relativa a la contratación del Delegado de Protección de Datos Personales, conforme a lo establecido en el numeral 13 del artículo 47 de la Ley Orgánica de Protección de Datos Personales (“LOPDP”).
Al respecto, me permito indicar que, si bien la obligación del responsable del tratamiento de designar a un Delegado de Protección de Datos Personales está establecida por la LOPDP, el proceso al que hace referencia, tal como usted refiere, no existe en la actualidad, y por ello no podemos ofrecer información sobre el mismo. Además, cabe mencionar que la Superintendencia de Protección de Datos Personales se encuentra en una etapa de arranque de sus funciones y está coordinando acciones para expedir oportunamente normativa que regule los procedimientos y procesos que garanticen el cumplimiento de sus objetivos y fines, y aseguren el goce y ejercicio efectivo de los derechos de los administrados.
Pronunciamiento
En ejercicio de la Resolución N° SPDP-SPDP-2024-0007-R de fecha 30 de septiembre, en donde en su literal c) del artículo 4, en mi calidad de delegado del Superintendente de Protección de Datos Personales, en atención a su petitorio en la consulta que guarda relación sobre el proceso que implementará esta institución para verificar el cumplimiento de la obligación relativa a la “contratación” del Delegado de Protección de Datos Personales, de conformidad a lo establecido en el numeral 13 del artículo 47 de la Ley Orgánica de Protección de Datos Personales (“LOPDP”), esta autoridad no se pronuncia al respecto, toda vez que la misma es ambigua, vaga e indeterminada, ya que versa sobre normativa inexistente en la actualidad, que no ha sido emitida por esta entidad, por lo que a la fecha no existe disposición alguna que establezca el procedimiento para verificar el cumplimiento del numeral 13 del artículo 47 de la “LOPD”, en cumplimiento del artículo 226 de la Constitución. Sin perjuicio de lo anterior, hasta que se emita normativa aplicable a la consulta, todos los sujetos regulados SIN EXCEPCIÓN deberán cumplir en forma imperativa todo lo establecido en la LOPDP y su Reglamento en lo que se relaciona al Delegado de Protección de Datos. En este sentido se da contestación a su solicitud, exhortándolo a que realice las consultas que sean necesarias cuando la normativa aplicable sea expedida en legal y debida forma.
Oficio N° SPDP-IGRPD-2024-008-O-C
Preguntas
¿Se afecta el derecho a la protección de datos de carácter personal, previsto en el artículo 66, numeral 19 de la Constitución de la República, por la disposición reglamentaria del uso del código dactilar junto al número de cédula de ciudadanía para la emisión de nombramientos de representantes legales de las sociedades controladas por la Superintendencia de Compañías, Valores y Seguros?
Análisis
Con base en lo previamente señalado, el derecho de protección de datos personales se encuentra reconocido en la Constitución, la cual menciona que se podrán realizar tratamientos a los datos personales de los titulares solo con la autorización de estos, ya sea con el consentimiento, o por mandato legal. En este sentido la protección de la información de los titulares de datos y la garantía del derecho se ha tutelado por la LOPDP, la cual regula el mandato establecido en la norma constitucional. Es así, que la CRE delimita a que solo normas con rango de ley pueden ordenar el tratamiento de datos personales, siempre y cuando dicho tratamiento cumpla con los principios que establece la LOPDP, para que así se garantice en todo momento el derecho a la protección de datos personales de sus titulares. La normativa hace una distinción de categorías de datos personales debido a que no todo dato de una persona natural tiene la misma carga de información identificable. Por ende, los datos que se consideren especiales tienen una mayor carga de información de un titular y pertenecen a la esfera más íntima de la persona, por lo que merecen y se les debe otorgar un mayor nivel de protección y seguridad. En este sentido, la huella dactilar se considera un dato biométrico, por ende, debe tener un mayor nivel de protección y seguridad. Ahora bien, el código dactilar es la codificación de la epidermis del dedo de una persona natural la cual es única e irrepetible, por lo que el código siempre va a ser diferente para cada huella dactilar, en consecuencia, identifica directamente a un titular de datos personales por lo que el código dactilar se considera un dato biométrico. Como se ha mencionado, para poder realizar un tratamiento de datos personales se debe contar con una base legitimadora de tratamiento y, en caso de ser un tratamiento de datos sensibles, se debe contar con bases legitimadoras adicionales previstas en el artículo 26 de la LOPDP. Un tratamiento que contenga la huella dactilar, al ser un dato especial sensible, debe contar con legitimación y, adicionalmente, cumplir con los principios que establece la normativa en protección de datos personales. Es así como se debe realizar un análisis de riesgo respecto al tratamiento con la finalidad de poder identificar los riesgos a los que puede estar sometido el mismo, medidas de mitigación y, si efectivamente es viable llevarlo a cabo. En este sentido, cuando se haya identificado que el tratamiento de datos personales conlleva un alto riesgo para los derechos y libertades del titular o cumple con uno de los supuestos obligatorios mencionados en la LOPDP, se debe realizar una evaluación de impacto de tratamiento, con la finalidad de evaluar el impacto potencial del tratamiento de datos personales sobre la privacidad y los derechos de los individuos. Cabe mencionar que la normativa establece como obligatorio la evaluación de impacto cuando sea un tratamiento a gran escala de categorías especiales de datos y, el RLOPDP dispone que, entre lo que se considera gran escala, se encuentran los tratamientos que afecten a una gran cantidad de datos de varios titulares en proporción de la población correspondiente. Es necesario realizar el análisis de riesgo y la evaluación de impacto, en los casos que corresponda, debido a que se puede identificqr la proporcionalidad del tratamiento y el impacto que el mismo puede tener sobre los derechos del titular de datos. De acuerdo con la normativa antes señaladas, todas las sociedades tienen la obligación de designar un administrador que tenga la representación legal de cada sociedad y, se deberá inscribir su nombramiento con la razón de aceptación. Cabe recalcar que la aceptación que da el representante legal es sobre el cargo, y ésta no versa sobre un tratamiento de datos específico debido a que no cumple con los requisitos normativos para ser considerado como un consentimiento válido y, en el caso específico, la base legitimadora no sería el consentimiento. Adicionalmente, cabe mencionar que a los datos personales de representantes legales no les aplica la LOPDP, siempre y cuando se trate de información identificativa, de contacto o referente al giro de negocio, competencias, facultades, atribuciones o cargo; sin perjuicio de que los datos de los representantes legales que se publiquen estén sometidos a una evaluación de proporcionalidad y efectivamente sean los mínimos necesarios para cumplir con las obligaciones del negocio. Es menester mencionar que los nombramientos tienen “vocación” de publicidad por lo que se incorporan en registros públicos con la finalidad de que la sociedad pueda tener acceso a la información y así protegerse de posibles confusiones o engaños que se puedan realizar en actividades de comercio. En este sentido, la publicidad es uno de los pilares básicos de las actividades de comercio ya que la esencia de esta es que se pueda identificar a la persona del comercio correspondiente con información razonable y relevante para las actividades mercantiles. De acuerdo con lo previamente mencionado se considera una base legitimadora al mandato legal contenido en normativa que tenga el nivel jerárquico de ley el cual ordene un determinado tratamiento de datos personales. Esto, sin perjuicio que la ley que ordene el tratamiento esté de acuerdo con los principios constitucionales y los contemplados en la LOPDP, especialmente el de finalidad, pertinencia y minimización y el de proporcionalidad. La solicitud e inclusión del código dactilar en los nombramientos de representantes legales de las distintas sociedades, de acuerdo con la normativa y los criterios jurídicos presentados, tiene como finalidad la identificación inequívoca de los representantes legales para actividades de comercio. Sin embargo, al ya incluirse el número de identificación se logra cumplir con la misma finalidad, por lo que la solicitud de un dato biométrico se considera que no cumple con los principios de proporcionalidad y necesidad respecto a la finalidad determinada.
Pronunciamiento
En atención a los términos de la consulta realizada mediante Oficio N° SCVS-INC-DNCDN-2024-00125858-O del 7 de noviembre de 2024 y al análisis realizado, se concluye que la Resolución N° SCVS-INC-DNCDN-2022-0008 del 21 de junio de 2022 que solicita el código dactilar de los representantes legales de las sociedades junto con el número de cédula de identidad en los nombramiento de estos, es desproporcionado con relación a su finalidad, toda vez que se puede identificar de manera inequívoca a una persona a través del número de cédula de identidad; más aún que los nombramientos se inscriben ante la autoridad competente para que en esencia se cumpla con el principio de publicidad de la Ley de Compañía y el Código de Comercio, lo cual genera un mayor riesgo de vulneración a los derechos de los titulares de datos personales; motivos por los cuales la resolución mencionada vulnera los principios de finalidad, pertinencia y minimización de datos personales, y de proporcionalidad contemplados en los literales d., e. y f. del artículo 10 LOPDP. En respuesta a la interrogante planteada por el consultante de que si: ¿Se afecta el derecho a la protección de datos de carácter personal, previsto en el artículo 66, numeral 19 de la Constitución de la República, por la disposición reglamentaria del uso del código dactilar junto al número de cédula de ciudadanía para la emisión de nombramientos de representantes legales de las sociedades controladas por la Superintendencia de Compañías, Valores y Seguros? Determinamos que la Constitución reconoce y protege el derecho a la protección de datos personales, el cual se garantiza con los principios desarrollados en la LOPDP. Es así que, como se menciona en el párrafo anterior, al vulnerarse los principios que garantizan la protección de datos personales, este derecho se ve afectado en forma directa. El presente pronunciamiento deberá ser entendido en su integridad y se limita a la consulta específica presentada por la SCVS, siendo de exclusiva responsabilidad de la entidad consultante su aplicación.