Ley Orgánica de Protección de datos personales

La Ley Orgánica de Protección de Datos Personales de Ecuador fue publicada en el Registro Oficial Suplemento No. 459 el 26 de mayo de 2021 y sigue siendo la versión vigente, complementada por su Reglamento General, publicado el 6 de noviembre de 2023 mediante Decreto Ejecutivo No. 904. No existe una versión posterior que reemplace o modifique sustancialmente el texto original de la ley, según la información disponible hasta abril de 2025.

Dado que el texto completo de la ley y su reglamento es extenso (la ley tiene 77 artículos divididos en 12 capítulos, y el reglamento añade disposiciones adicionales), le proporcionamos un resumen detallado de su contenido, estructura y puntos clave, y te indico cómo acceder al texto completo.

Resumen y Estructura de la Ley Orgánica de Protección de Datos Personales

Objetivo principal: Garantizar el derecho constitucional a la protección de datos personales (Art. 66, numeral 19 de la Constitución de Ecuador), regulando el acceso, uso, tratamiento, almacenamiento y transferencia de datos personales para proteger la privacidad y los derechos de los ciudadanos.

Ámbito de aplicación:

• Aplica a personas naturales y jurídicas, públicas y privadas, que traten datos personales en Ecuador, ya sea de manera automatizada o no.
• Incluye datos que identifiquen o hagan identificable a una persona natural (excluye datos de empresas o personas fallecidas, salvo excepciones).
• También cubre tratamientos de datos de no residentes si se realizan en territorio ecuatoriano o por responsables domiciliados en el país.

Estructura:

1. Capítulo I – Disposiciones Generales: Define conceptos clave (dato personal, consentimiento, responsable, encargado, etc.) y principios rectores (legalidad, transparencia, consentimiento informado, minimización, seguridad, confidencialidad).
2. Capítulo II – Principios: Establece la responsabilidad proactiva, calidad de datos, finalidad legítima y proporcionalidad.
3. Capítulo III – Derechos de los Titulares: Incluye derechos de acceso, rectificación, eliminación, oposición, portabilidad, limitación del tratamiento, consulta pública y educación digital. No incorpora el derecho al olvido tras debates legislativos.
4. Capítulo IV – Consentimiento: Exige consentimiento explícito, informado y libre, con excepciones para obligaciones legales o interés público.
5. Capítulo V – Tratamiento de Datos: Regula las bases legítimas para el tratamiento, como contratos, interés vital o mandato legal.
6. Capítulo VI – Categorías Especiales: Protege datos sensibles (salud, religión, orientación sexual), datos de menores, personas con discapacidad y salud.
7. Capítulo VII – Transferencias Internacionales: Permite transferencias a países con niveles adecuados de protección o con garantías contractuales.
8. Capítulo VIII – Responsables y Encargados: Define obligaciones, como implementar medidas de seguridad, notificar brechas y designar un Delegado de Protección de Datos en ciertos casos.
9. Capítulo IX – Registro Nacional de Protección de Datos: Crea un registro obligatorio para responsables del tratamiento.
10. Capítulo X – Infracciones y Sanciones: Establece multas de 0.7% a 1% del volumen de negocios anual para entidades privadas o públicas, y sanciones de 10 a 20 salarios básicos para funcionarios públicos por infracciones graves. El régimen sancionatorio entró en vigor el 26 de mayo de 2023.
11. Capítulo XI – Procedimientos: Detalla procesos administrativos y judiciales para reclamos.
12. Capítulo XII – Autoridad de Protección de Datos: Crea la Superintendencia de Protección de Datos Personales como entidad de control independiente.

Reglamento General (2023):

• Desarrolla procedimientos para ejercer derechos, notificar brechas de seguridad y operar el Registro Nacional.
• Detalla atribuciones de la Superintendencia, como emitir resoluciones, atender consultas y sancionar.
• Aclara requisitos para transferencias internacionales y el rol del Delegado de Protección de Datos.

Puntos clave:

• Consentimiento: Obligatorio salvo excepciones legales. Debe ser claro y revocable.
• Seguridad: Las organizaciones deben implementar medidas técnicas y organizativas (anonimización, cifrado, etc.) para proteger datos.
• Brechas de seguridad: Notificación obligatoria a la Autoridad y titulares afectados en plazos establecidos.
• Delegado de Protección de Datos: Requerido para entidades que manejen grandes volúmenes de datos o datos sensibles.
• Sanciones: Multas significativas desde mayo de 2023, además de posibles daños reputacionales o demandas civiles.

Cómo Acceder al Texto Completo

1. Registro Oficial:
   • Ley: Busca el Suplemento No. 459 del 26 de mayo de 2021 en el portal oficial del Registro Oficial (www.registroficial.gob.ec).
   • Reglamento: Decreto Ejecutivo No. 904, publicado el 6 de noviembre de 2023, también disponible en el mismo portal.
2. Páginas gubernamentales:
   • La Superintendencia de Protección de Datos Personales (www.datospersonales.gob.ec, si operativa) ofrece acceso a la ley y reglamento.
   • El portal www.gob.ec tiene enlaces a ambos documentos bajo la sección de trá́mites y servicios.
3. Organizaciones especializadas:
   • Deltech Audit le facilita la ley completa y su reglamento al final del artículo.
4. Bibliotecas jurídicas:
   • Plataformas como vLex Ecuador (vlex.ec) o Derecho Ecuador (derechoecuador.com) tienen el texto íntegro.

Notas Importantes

• La ley está vigente desde mayo de 2021, pero el régimen sancionatorio comenzó a aplicarse en mayo de 2023, dando a las organizaciones dos años para adaptarse.
• No se han reportado reformas sustanciales al texto original hasta abril de 2025, pero el Reglamento de 2023 es esencial para su aplicación práctica.