Delegado de Protección de Datos: Nueva Obligación en Ecuador

La Superintendencia de Protección de Datos Personales (SPDP) ha emitido el nuevo Reglamento para el Nombramiento y Ejercicio de los Delegados de Protección de Datos Personales (DPD). Esta normativa establece un marco jurídico crucial para todas las entidades que manejan datos personales en Ecuador, siendo de especial relevancia para el sector de la salud y de seguros debido a la naturaleza sensible de la información que procesan.

Delegado de Protección de datos

1. ¿Quién está Obligado a Designar un Delegado de Protección de Datos (DPD)?

El Reglamento, en línea con la Ley Orgánica de Protección de Datos Personales (LOPDP), establece la obligatoriedad de nombrar un DPD para las entidades cuyas actividades principales impliquen el tratamiento a gran escala de categorías especiales de datos, como los datos relativos a la salud.

Por definición, prácticamente todas las organizaciones del sector salud y seguros caen bajo esta obligación, incluyendo:

• Hospitales, clínicas y centros médicos.

• Laboratorios clínicos y farmacéuticos.

• Empresas de seguros, brókers e intermediarios que manejen pólizas de salud y vida.

• Cualquier proveedor que procese historiales clínicos, resultados de exámenes, datos genéticos, información sobre siniestros de salud, etc.

El no cumplimiento de esta designación y su posterior registro se considera una falta en la aplicación de medidas de seguridad jurídica, lo que puede acarrear sanciones bajo la LOPDP.

2. Funciones Clave del DPD en el Sector Salud y Seguros

El DPD no es solo un cargo nominal; es una figura central con funciones de asesoramiento y supervisión. Sus responsabilidades más importantes en su sector incluyen:

• Asesorar sobre la correcta gestión de la información de pacientes y asegurados, garantizando que los protocolos internos (ej. custodia de historias clínicas, transferencia de datos para análisis, gestión de pólizas) cumplan con la normativa.

• Supervisar el cumplimiento de la LOPDP dentro de la organización. Esto implica verificar la legitimidad en el tratamiento de datos para fines como diagnósticos, investigación, facturación a aseguradoras y telemedicina.

• Ser el punto de contacto entre su organización, los titulares de los datos (pacientes/clientes) y la Superintendencia de Protección de Datos Personales.

• Cooperar con la Superintendencia y actuar como su nexo en cualquier procedimiento de investigación o fiscalización.

• Gestionar y comunicar violaciones de seguridad de los datos personales, un riesgo crítico cuando se trata de información de salud.

3. Requisitos de Independencia y Cualificación del DPD

El Reglamento es enfático en que el DPD debe operar con total independencia funcional y sin conflictos de interés. Esto significa que:

• El DPD no puede ser removido o sancionado por el desempeño de sus funciones. Cualquier acción injustificada en su contra será penalizada conforme al régimen sancionatorio de la LOPDP.

• No debe recibir instrucciones en lo que respecta al ejercicio de sus funciones y debe reportar directamente al más alto nivel jerárquico de la organización.

• Debe contar con conocimientos acreditados en derecho, protección de datos y normativas específicas del sector salud.

4. Plazos Críticos para el Registro

El Reglamento establece plazos impostergables que requieren acción inmediata.

• Plazo de Registro: Las entidades del sector privado obligadas a tener un DPD deberán realizar la inscripción de su nombramiento ante la SPDP entre el 1 de noviembre y el 31 de diciembre de 2025.

• Incumplimiento: La falta de registro del DPD dentro de este plazo será considerada una infracción.

• Sistema de Registro: La SPDP habilitará un aplicativo digital para realizar esta inscripción. Inicialmente, el registro podrá realizarse de manera física o digital.