ns Seayen UU: ome 254848 nits 2FQVOSHARQ REPUBLICA DEL ECUADOR ASAMBLEA NACIONAL Oficio No. PAN-GR-2016-1692 Quito, 12 de julio de 2016 Sefiora Doctora Rosana Alvarado PRIMERA VICEPRESIDENTA DE LA ASAMBLEA NACIONAL En su despacho.- De mi consideracion: De conformidad con la Ley Organica de la Funcién Legislativa, publicada en el Registro Oficial Nro. 63 de 10 de noviembre de 2009, articulo 54 numeral 1), que establece que la iniciativa para presentar los proyectos de ley corresponde a los asambleistas con el apoyo de una bancada legislativa o de al menos el cinco por ciento de sus miembros, me permito presentar, en calidad de asambleista nacional, el Proyecto de Ley Organica de la Proteccién de los Derechos a la Intimidad y Privacidad sobre los Datos Personales. Este Proyecto cuenta con el respaldo necesario para el tratamiento en el Pleno de la Asamblea Nacional. Ategtamente, PRESIDENTA DE LA ASAMBLEA NACIONALASAMBLEA or EXPOSICION DE MOTIVOS En el contexto de la era informacional, cada dia se registran millones de datos bajo distintos procedimientos. Estos se gestionan y se encuentran expuestos al piblico. A pesar de la existencia de una normativa internacional y nacional dirigids a 1a proteccién de la privacidad e intimidad de las personas, los riesgos surgidos del Hlesarrollo y 1a expansién de las nuevas tecnologias de la informacién y la comunicacién efevan a vulnerabilidad de las personas en el tratamiento de su informacién personal. Por lo tanto, se impone la necesidad de una regulacisn del uso piblico y privado de la informacién personal y un proceso de concienciaciér de la colectividad sobre la misma, | 4 La mayorin de las actividades sociales demandan un intereambio de informaci6n y su debida sistematizacién: abgir una cuenta en el banco, participar ex un concurso, reservar un vuelo 0 un hotel, efectuar un pago con tarjeta de crédito 9 navegar en internet. Basta con googlear el nombre de una persona para tener acceso a Jos datos sobre su estado civil, cuenta telefénica, el objeto de su negocio w otro aspecto de su, yida personal. Nombres y apellidos; fecha de nacimiento; diteccién domiciliaria o de corréo electrénico; némero de identificaci6n; matricula del auto y muchos otros datos que se usan a diario, constituyen informacién que podria permitir identificar a una persona, ya sea directa o indirectaiente. Estos datos que dicen mucho sobre nosotros, nuestra vida y nuestra intimidad personal estin expuestos al libre acceso; carecen de proteccién y pueden ser utilizados para miltiples fines, no siempre licitos. El entorno digital es dinamico y es necesario responder con ritmo similar y con adaptacién al ordenamiento juridico para alcanzar que, en este contexto, los derechos de las individuos sean protegidos y garantizados y por lo tanto no se vean afectados. Si bien es cierto, la Constitucién de 2008 garantiza el derecho a la intimidad personal y familiar (articulo 66), en la prictica, se ha vuelto relativamente simple acceder a la informacién personal, que solo deberia ser proporcionada por el titular. ‘ Ante Ia existencia de bases de datos piblicas y privadas aj j través de las cuales se comercializa y difunde informacién personal, es indispensable una ley que ampare la decisi6n de las personas sobre sus datos y proteger su privacidad ¢ intimidad, tanto en Ia esfera de su vida individual como familiar, dando especial relevancia a los derechos de los mis vulnerables: nifias, niffos y adolescentes. Los datos personales, cor se ha sefialado anteriormente, dicen todo sobre Ia vida privada ¢ intima de Ia persona y phieden revelar la identidad, en consetuercia, deben ser protegidos. El libre acceso a 1a infoimacién puede vulnerar derechos ¢ intidir negativamente en cl bicnestar, seguridad personal y familiar y por esto, la necesidad de regular la captacién, aprovechamiento y flujo de la informacién personal. iAenea ee. La Ley Organica de Proteccién de los Derechos a la Intimidad y Privacidad sobre los Datos Personales que se propona; da repuesta a la problemética ocasicnada en el tratamiento de datos personales en una sta en la que los medios tecnolégicos para su procesamiento y almacenamiento se desarvollan constantemente. Esta Ley Organica de ProtecciGn de los Derechos a la Intimidac y Privacidad sobre los Datos Personales apela al derecho fundamental que tienen Jas personas para disponer y decidir sobre toda la informacién relativa a su privacidad e intimidad. La proteccién de datos para que sea integral, debe actuar en dos sentidos: por un lado, establecer los derechos del titular, como son otorgar y revocar el consentimiento de! uso de su informacién personal, actualizarla y rectificarla; y, por otto, establecer las regulaciones en el procesamiento y teatamiento de la informacién personal por parte de entidades piblicas y privadas cuya finalidad sea exclusivamente financiera o mercantil. i Esta Ley Orgfnica de Proteccién de los Derechos a la Intimidad y Privacidad sobre los Datos Personales surge sobre la base del principio de autonomia de la persona, mediante la cual se establece un marco de regulacién para la administraci6n y gestién de los datos personales. LA ASAMBLEA NACIONAL EL PLENO CONSIDERANDO Que el articulo 12 de 1a Declaracién Universal de los Derechos Humanos dispone que “nadie seré objeto de injeréncias arbitrarias en su vida privada, su familia, su domicilio 0 su correspondencia, ni de ataques a su honra o a su reputacién”; Que el articulo 17 numeral 1 del Pacto Internacional de Derichos Civiles y Politicos establece que “nadie ser4,objeto de injerencias arbitrarias o ilegz'es en su vida privada, su familia, su domicilio o su correspondencia ni de ataques ilegales a su honra y reputacién; y, su numeral 2 determina que toda persona tiene derecho a la proteccién de la ley contra esas injerencias 0 esos ataques”; Que el articulo 11 numeral 2 de la Convencién Interamericana sobre Derechos Humanos determina que “nadie puede ser objeto de injerencias arbitrarias 0 abusivas en su vida privada, en la de su familia, en su domicilio o en su correspondencia, ni de ataques ilegales a su honra o reputaci6n; y su numeral 3, sostiene que toda persona tiene derecho a la protecciGn de la ley contra esas injerencias 0 esos ataques”;4 ; = heen ey NACIONAL # Que el articulo 66 numerdl 3 de la Constitucién de la Repiiblica! garantiza el derecho a la intégridad personal que intuye In integridad fisia, psiguics, morgly sexual Que el articulo 66 numerd! 19 de Ia Norma Suprema “garantiza bi derecho a ia proteccién de datos de caracter persofal, que incluye el acceso y la decisién Sobre informacién y datos de ese cardcter, asf como la correspondiente proteceiGn”; Que el articulo 66 numeral 20 de a Norma Suprema “garantiza'el derecho a la intimidad personal y familiar”; Que le articulo 6 de la Ley Orginica de Garantias Constitucionales y Control Constitucional dispone que “las garantfas jurisdiccionales tienen como finalidad la proteccién eficaz e inmediata de los derechos reconocidos en:la Constitucién y en los instrumentos internacionales de derechos humanos, la declaraci6n de la violacién de uno 0 varios derechos, asi como la reparaciGn integral de los dafios causados por su violacién”; Que el articulo 2 literal d) de la Ley Organica de Transparencia y Acceso a ta Informacién Paiblica “garantiza la proteccién de la informacién personal en poder del sector piblico y/o privado”; Que el-articulo 78 de la Ley Orgénica de Comunicaci6n establece que “para la plena vigencia del derecho a Ig intimidad, establecido en el articulo 66, numeral 20, de la Constitucién de la Reptblica, las y los prestadores de servicios de telecomunicaciones debern garantizas, en elygjercicio de su actividad, la protecci6s| de los datos de carécter personal”; : i Que el articulo 53 del Cébigo de la Nifiez y Adolescencia dispone que “sin perjuicio de le natural vigilancia de los padres y maestros, los nifios, niias y adolescentes tienen derecho a que se respete Ia intimided de su vida privada y familiar; y la privacidad e inviolabilidad de su domicilio, correspondeyicia y comunicaciones telefénicas y electrénicas, de conformidad con la ley. Se prohibe las injerencias arbitrarias o ilegales en su vitia privada”; Que el articulo 4 de la Ley del Sistema Nacional de Registro de Datos Pablicos dispone que “as instituciones del sector pablico y privado y las personas naturales que actualmente o en el futuro administren bases o registros de datos pablicos, son responsables de la integridad, protecciGn y control de los registros y bases de datos a su cargo”; Que ef articulo 6 de Ia Ley del Sistema Nacional de Registro de Datos Péblicos manifiesta que “son confidenciales fos datos de cardcter personal, tales como: idcologia, afiliacién politica 0 sindical, etnia, estado de salud, orientacién sexual, teligi6n, condicion migratoria yy los demas atinentes a la intimidad personal y en especial aquella informacién cuyo uso Piiblco atente contra los derechos humanos consagrados en le Consttucion e instrumentos internacionales”; ,Que el articulo 9 de Ia Ley de Comercio Electrénico, Firmas Electrénicas y Mensajes de Datos “determina que para la elaboracién, transferencia o utilizacién de bases de datos, obtenidas directa o indirectamente del uso 0 transmisién de mensajes de datos, se requeriré el consentimiento expresy del titular de estos, quien podra seleccionar la informacion a compartirse con terceros”; i Que el articulo 178 del CSdigo Orgénico Integral Penal tipifica el delito de violacién a la intimidad y determina cue “la persona que, sin contar con el consentimiento 0 1a autorizacién legal, acceda, intercepte, examine, retenga, grabe, reproduzca, difunda 0 publique datos personales, mensajes de datos, voz, audio y video, objetos postales, informacién contenida en soportes informiticos, comunicaciones privadas 0 reservadas de otra persona por cualquier medio, sera sancionada con pena privativa de libertad de uno a tres afios”; Que el articulo 229 del Cédigo Orgénico Integral Penal tipifica eljdelito de revelacién ilegal de base de datos y determina que “la persona que, en provech) propio o de un tercero, tevele informacién registrada, contenida en ficheros, archivos; bases de datos o medios semejantes, a través 0 dirigidas a un sistema electr6nico, informético, telemético 0 de telecomunicaciones; matetializando voluntaria e intencionalmente la violacién del secreto, 1a intimidad y ta privacidgd de las personas, seré sancionada coni pena privativa de libertad de uno a tres afios”; y, : 4 Que el artfoulo 475 numeral 1 del Cédigo Orgénico Integral ‘Penal establece que “la correspondencia fisica, electrénica 0 cualquier otro tipo 0 foima de comunicacién, es inviolable, salvo los casos expresamente autorizados en la Constifuci6n y en este Codigo”. Por lo expuesto, la Asamblea Nacional, en ejercicio de sus atribuciones constitucionales y legales, expide la siguiente: LEY ORGANICA DE PROTECCION DE LOS DERECHOS A LA INTIMIDAD Y PRIVACIDAD SOBRE LOS DATOS PERSONALES TITULOL GENERALIDADES Articulo 1. Objeto. La presente Ley tiene por objeto proteger y garantizar el derecho de todas las personas a la intimidad y privacidad en el tratamiento de datos personales que se encuentren en bases o bincos de datos, ficheros, archivos, en forma fisica o digital, en instancias pablicas o privédas. z { *ASAMBLEA NACIONAL Articulo 2.- Ambito de aplicacién. Los principios y disposiciones contenidas en la presente Ley serdn aplicables a los datos personales registrados en cualquier base de datos que los haga susceptibles de tratamiento por entidades de naturajeza piblica o privada, en todo el territorio nacional. | Las limitaciones a los principios y derechos previstos en esta Ley, en cuanto a su observancia y ejercicio, cerresponderén a Ia protecci6n de la seguridad nacional, el orden, a seguridad y la salud pablicos, ast como los derechos de terceros. Articulo 3.- Principios generales, Todos los involucrados en Ia formacién, administracién y manejo de bases 0 bancys de datos, ficheros, archivos, en forna fisica y/o digital, o que tengan relaci6n con datos personales de terceros, estin obligados a observar y respetar los siguientes principios: i 1. Legalidad: 1a formacién de bases de datos seré licita cuando se encuentren debidamente inscrita y la informacién haya sido obtenida por medios legitimos, en stricta observancia a la normativa en el Ambito relativo a esta materia. 2. Pertinencia: los datos personales no podran ser utilizados para fines distintos a los gue motivaron su obtencidn. 3. Veracidad: Ia recoleccién de datos personales debera ser veraz y no excesiva; no podré obtenerse por medios fraudulentos, abusivos o en forma contraria a la presente Ley. : 4. Consentimiento informados el titular de los datos deberd presiar su consentimiento libre, expreso, previo e informado para Ja entrega de los ;nismos. Se exceptiian los datos que provengan de fuentes piblicas de informaci6n; se recaben para el cjercicio de fanciones propias de las instituciones del Estado; deriven de relaciones contractuales, cientificas 0 profesionales del titular de los datos y sean necesarias para su cumplimiento; y, se realicen por personas naturales para su uso exclusivo personal o doméstico. | . Confidencialidad: tanto el responsable como el usuario de bases de datos debe adoptar medidas para resguardar de manera confidencial los datos personales, con el objeto de evitar su adulteracién, pérdida 0 tratamiento no autorizado. Adicionalmente, 10s datos deberdn ser almacenados de forma que permitan el acceso al titular. | - 6. Reserva: las personas naturales o juridicas que ‘obtengan legitimamente informacién proveniente de una base de datos estan obligadas a utilizarla en forma reservada y exchusivamente para lus operaciones habithales de sus actividades, siendo prohibida la difusién a terceros. Articulo 4.- Definiciones: Para los efectos de la presente Ley se entiende por: 1. Base 0 banco de datos: conjunto organizado de datos personales que es objeto de tratamiento o procesamiento, digital o no, cualquiera que sea la modalidad de su formacién, almacenamiento, organizacién o acceso,2. ‘Consentimiento del titular: toda manifestacién de voluntad, libre, inequfvoca, especifica ¢ informada, mediante la cual el titular autoriza el tratamiento de datos personales. : 3.. Dato personal: caalquier informacién vinculada o que! pueda asociarse a una 0 varias personas naiurales identificadas o identificables: nombre y apellido, fecha de nacimiento, direcq.6n domiciliaria, correo electr6nico, mimero de teléfono, néimero de oédula, matricula vehicular, informaci6n patrimonial ¢ informacién académica 0 ‘cualquier otra infoymacién vinculada con la identidad del jitular. 4, Datos sensibles: datos que se refieren a las caracteristicaa fisicas de 1a persona que revelan el origen racial y étnico, las convicciones ideol6gi¢as, filos6ficas 0 morales, las opiniones politicas, creencias religiosas, los datos genéticos, la informacién seferente a la salud y a la vida sexual o cualquier ojf0 dato vinculado con la timidad del titular. 5. Disociacién de datos: procedimiento mediante el cual los datos personales no puedan vincularse;a una persona determinada 0 determinable, 6. Proteccién de datos personales: facultad que otorga la Ley para que el duefio de los datos personales, decida a quién proporciona su informacién, eémo y para qué. Este derecho permite acceder, rectificar, cancelar y oponerse al tratamiento de su informacién personal. 7. Responsable del: tratamiento de la informacién: persona natural 0 juridica, piiblica o privadaique sola o conjuntamente con otros, administra el sistema de tratamiento de datos personales por cuenta del responsable del archivo, registro, base 0 banco de datos. Toda operacién de informacién que comprometa datos personales, en procedimiento mecénico 0 automatizado que tenga como fin la recoleccién, ordenamiento, conservacién, almacenamiento, _ modificaci6n, evaluaci6n, destruccién, procesamiento de datos, asf como el acceso de terceros por cualquier medio, deberd observar estrictamente la normativa prevista, bajo los derechos de protecci6n y salvaguardia de identidad. 8. Responsable del archivo, registro, base o banco de datos: persona natural 0 juridica, péblica 6 privada que es titular de un archivo, ‘registro, base o banco de datos como custodio y operador dela informacion, 9. Titular de los Catos: persona natural cuyos datos personales son objeto de tratamiento. 7 10. Tratamiento dej datos: cualquier operacién 0 conjunto de operaciones 0 procedimientos téenicos, de carécter automatizado 0 noyque permitan recolectar, almacenar, grabir, organizar, elaborar, sclecciona’, extraer, _confrontar, interconectar, discciar, comunicar, ceder, transferir, transmitir 0 cancelar datos de cardcter personal o utilizarlos en cualquier otra forma. 11, Usuario de datos: persona natural o juridica, piblica o privada, que realiza el tratamiento de dates, ya sea en una base de datos propia o a través de conexi6n con losmismos. — ;d 1 { j ASAMMLEA od , & Articulo 5.-Tratamiento Ye datos sensibles, Se probibe el tratamiento de datos sensibles en todo aquello que puedy afectar el derecho a la intimidad de la persona. Nadie podré ser obligado a proporcionar dftos sensibles, salvo las siguientes circupstancias: 1. BI titular autoriza expresamente y por escrito el tratamiento de datos sensibles.. 2. El tratamiento es necesario para salvaguardar el interés vital del titular si este se encuentra fisica 0 juridicamente incapacitado. En estos eventos, los representantes legales deberan otorgar su autorizacin. 3. Bl tratamiento se refiere a datos que son indispensables pata el'reconocimiento, ejercicio 0 defensa de un derecho en un proceso judicial. 4, El tratamiento tiene una finalidad estadfstica, cientifica 0 académica. En este evento deberan adoptarse las medidas conducentes a la supresién de identidad de Ios titulares. TITULO I DERECHOS Y OBLIGACIONES EN LA PROTECCION DE DATOS Articulo 6.- Derechos de los Titulares. El titular de los dasos personales tendré los siguientes derechos: ‘+ ‘ \ L 1. Conocer, actualizar y} rectificar sus datos personales frente a los responsables o encatgados del tratamiento. ’ i i 2. Set informado por el :responsable o el cncargado del tratimiento, previa solicitud, respecto del uso que le ha tlado a sus datos personales. ( 3, Acceder en forma gratuita a sus datos personales que han sidg objeto de tratamiento en instancias ptiblicas y privadas. 4, Solicitar prueba de Ia autorizaci6n otorgada al responsable del. tratamiento salvo cuando exista orden de autoridad competente. 5, Revocar el consentimiento, oponerse y/o solicitar la supresién del dato cuando en el tratamiento no se respeten los principio, derechos y garantias Consttucionaes y legeles, previo el trémite legal pertinente. 6. Presentar reclamos por incumplimiento a lo dispuesto en Ja presente Ley. Articulo 7.- Derechos de las nifas, nifios y adolescentes, Se aseguraré el respeto al derecho a la intimidad de las nifias, nifios y adolescentes, por lo que se prohibe eltratamiento de sus datos personales, salvo aquellos datos que sean de naturaleza piblica, Es deber del Estado y de las entidades educativas de todo tipo prover informaci6n y capacitar a los representantes legales y tutores sobre los eventuales riesgos a los que se enfrentan las ias, niffos y adolescentys respecto del tratamiento indebido de sus datos personales; y, proveer de conocimiento acetca del uso responsable y seguro por parte de nifias, nifios y adolescentes de sus datos personales, su derecho a la intimidad y proteccién de su informacion personal y a !a de los demas. Articulo 8. Obligaciones del responsable del tratamiento de la_informacién. Constituyen obligaciones del responsable de! tratamiento de la informacién, las siguientes: 1, Requerir y obtenes el consentimiento del titular de los datos personales, previo a su obtencién y tratamiento, 2, Informar al titular de los datos, en forma expresa y clara, previamente a recabar informaci6n referida a su persona, acerca de: a) La existencia del archivo, registro, base 0 banco de datos, electrénico 0 de cualquier otro tipo, de que se trate y la identidad y domicitio de su responsable. b) La finalidad pa‘a la que serdn tratados y quienes pueden ser sus destinatarios © categorfas de destinatarios, ©) El cardcter obligatorio 0 facultativo de la respuesta a:'as preguntas que le sean formuladas. =, 4d) Las consecuencias que se deriven por proporcionar los datos, por la negativa a hacerlo o por la inexactitud de los mismos. e) La facultad y modo de ejercer los derechos de acceso, rectificacién, actualizacion y supresién de los datos que le confiere la presente Ley. 3. Respetar en todo. momento los principios generales de 1a proteccién de datos personales, =: 4, Proceder en forma inmediata a la rectificacién, actualizacién 0 supresién, de los datos personales cuando fueran total o parcialmente inexactos, incompletos 0 desactualizados, 5, Inscribir sus archivos, registros, bases o bancos de datos en el Registro Nacional de Bases de Datos creado por el organismo de control. Articulo 9,- Obligaciones del responsable de las bases 0 bancos de datos, ficheros, archivos. Le cortesponde al responsable de las bases 0 bancos de datos, ficheros 0 archivos cumplir con las mismas obligaciones exigidas al responsable del tratamiento de la informaci6n tanto respecto de In confidencialidad y reserva que debe mantener sobre laASAMBLEA NACIONAL informacién obtenida, como del respeto y cumplimiento de los principios generales de la proteccién de datos personales. i El encargado de las bases de datos solo actuard segtin las instrucciones del responsable del tratamiento de datos y no podré, bajo ningiin concepto, ceder Ios datos personales sometidos a tratamiento, nfiaun para su conservaci6n. Articulo 10.- Obligaciones del usuario de datos. Todas las personas que actin, trabajen, © presten servicios de cuaiquier tipo en o para algin 6rgano'delésector ptiblico o privado, solo podrén tratar los datos personales incorporados en las bases 0 bancos de datos, ficheros, archivos, de titularidad del érgano para o en el que desempefien su tarea, cuando asi lo disponga el responsable del tratamiento de la informacién eh virtud de una obligacién legal. 4 Quedan sujetos, al igual: que los encargados del tratamiento, a los mismos deberes y obligaciones exigidos al responsable de las bases 0 bancos de datos, ficheros, archivos, tanto respecto de la confidencialidad y reserva que debe mantener sobre Ia informacion obtenida, como det respeio y cumplimiento a los principios generales de la protecci6n de datos personales. El usuario de datos solo podra ceder los datos personales sometidos a tratamiento siguiendo expresas instrucciones del responsable del tratamiento. TITULO UL TUTEL A DE Dien Articulo 11.- Autoridad Nacional de Proteccién de Datos Personales. La Direccién Nacional de Registro de Datos Péblicos adscrita al Ministerio de Telecomunicaciones y Sociedad de la Informaci6n seré la Autoridad Nacional de Proteccién de Datos Personales y @jercerd Ia vigilancia y coptrol para garantizar que en el tratamiento de datos personales se respeten los principio, deiechos, garantias y procedimientos previstos en la presente Ley. Articulo 12.. Atribucives de la Autoridad Nacional dé Proteccién de Datos Personales. Ademés de fis atribuciones sefialadas en otros cuetpos legales, la Direccién Nacional de Registro de Datos Pablicos ejercerd las siguientes: * 1. Velar por el cumplimiento de Ia legislacién en materih de proteceién de datos personales. + 2. Promover y divulgar los derechos de las personas en relacién con el tratamiento de datos personales ¢ implementar mecanismos de difusién acerca del éjercicio y garantia del derecho constitucional de la proteccién de datos.ASAMBLEA NACIONAL 3. Disponer el bloqueo temporal o definitivo de los sistemas de informacién cuando exista un riesgo cierto de afectacién de derechos constitucionales, en caso de incurrir en infracciones contempladas en esta ley. 4, Solicitar a los responsables del tratamiento y responsables de las bases o bancos de datos, ficheros, archivos, la informaci6n necesaria para el ejercicio efectivo de sus funciones. 4 5. Realizar las declaraciones sobre las transferencias internacionales de datos, ejercer el control y adontar las autorizaciones que procedaa en relacién con estas transferencias y 2ooperar en materia de proteccién internacional de datos person : i 6, Implementar un sistema de resguardo de la informaci6n’para evitar su deterioro 0 desaparicién. 7. Crear un Registro Nacional de Bases de Datos Personales y emitir las Grdenes y los actos necesarios pera su administraci6n y funcionamicnto, 8. Determinar la responsabilidad de las infracciones e imiponer las sanciones a los responsables del tratamiento y responsables de las bases o bancos de datos, ficheros y archivos, previo el debido proceso correspondiente. 9, Realizar la vigilangia y control de las bases o bancos de datos, ficheros 0 archivos fisicas o digitales. ' 10. Realizar campaiias de concientizacién a la poblacién sobre la necesidad de proteccién de datos personales y sensibles, 11, Las demés que le sean designadas por ley. Articulo 13.- Tutela de los derechos. Las actuaciones contrarias a lo dispuesto en la presente ley sern objeto de accién constitucional de habeas data, conforme con lo establecido en la Ley Orgiinica de Garantias Jurisdiccionales y Control Constitucional, TITULO IV REGISTRO NACIONAL DE BASES DE DATOS FERSONALES Articulo 14.- Definicién, #1 Registro Nacional de Bases de Datos Personales es el conjunto organizado de bases 0 bancos de datos, ficheros, archivos, en forma fisica o digital, de instancias piblicas 0 privsdas, que operan en el pais, sujetos a traamiento. Articulo 15.- Administrdcién, El Registro seré administrado pcr la Autoridad Nacional de Protecci6n de Datos Perscnales, Articulo 16.- Inseripcién registral. Todas las base o bancos de datos, ficheros 0 archivos, en forma fisica 0 digital, de instancias piblicas y las base 0 bancos de datos, ficheros, 0 archivos, en forma fisica o digital de empresas e instituciones privadas con fines exclusivamente financieros y mercantiles deberdn inscribirse en cl Registro Nacional deASAMBLEA NACIONAL ASAMBLES NACIONAL 4 Bases de Datos Personaleé de acuerdo con los procedimientos y criterios que la Direccién Nacional de Registro de Datos Publicos establezca para el efecto Articulo 17. Tratamiento de datos efectuado por terceros. Si él responsable de archivo, registro, base de datos debe encargar a un fercero este servicio, requeriré de autorizacién expresa de la autoridad competente para que se realice el respectiyo control, Articulo 18,- Requisitos para la inscripeién. Las bases 0 bancos de datos, ficheros, archivos, en forma fisica o digital, en instancias piblicas o privadas, para su inscripcién en el Registro Nacional de Bases de Datos, deberan contener: Identificaci6n de la base de datos y el responsable de la misma, Naturaleza de los datos que contiene, Procedimientos de obtencién y tratamientos de los datos. Medidas de seguridad y descripci6n técnica de fa base de datos. Declaraci6n sobre Ia protecci6n de datos personales. Destino de los datos y personas fisicas 0 juridicas a las que puedan ser transmitidos. Tiempo de conservacién de los datos. Forma y condiciones en que las personas pueden acceder a los datos, Procedimientos para la rectificaciGn o actualizaci6n de los datos. Yerayaene v ‘ El incumplimiento de esto$ requisitos daré lugar a la sancién prevjsta en esta Ley. Articulo 19. Autorizacién de Operaciones. Las bases 0 bancos de datos, ficheros, archivos, en forma fisicz o digital provenientes del sector privado, para ejecutar sus actividades, ademas de la ‘hscripcién obligatoria en el Registro Nacional de Bases de Datos contardn con una autorizaci6n de operaciones. La Autoridad Nacional de Proteccién de Datos Personales estableceré mediante reglamento los requisitos y procedimientos para la obtencién de la autorizacién, TITULO V TRANSFERENCIA INTERNACIONAL DE DATOS Articulo 20.- Prohibicién. Se prohibe la transferencia de datos personales de cualquier tipo 1 paises u organismos internacionales que no proporcionen niveles de proteccién de datos, conforme con las normas de derecho internacional o regional en Ia materia. Articulo 21,- Excepciones. La prohibici6n a la que se refiere el articulo anterior no sera de aplicacién en los siguientes casos:AS =e Z, \ [eee 1. Cuando el titular’ haya otorgado su autorizacién exprésa e inequivoca para la transferencia de datos personales. é 2. Cuando la transferencia sea necesaria para la prevencién 0 para el diagnéstico médico, la prestacién de asistencia sanitaria o tratamiento médico. 3. Cuando se refiera a transferencias bancarias o bursétiles, conforme con la Iegislacién aplicabje. 4, Cuando la transferpncia internacional de datos resulte de la aplicacién de tratados 0 convenios internagionales en los cuales Ecuador sea parte, con fundamento en el principio de reciprocidad. 5. Cuando la transferencia sea necesaria o legalmente exigida para salvaguardar el interés piblico. + 6. Cuando Ia transfetencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial. 7. Cuando la transferencia sea necesaria para la ejecucién de un contrato entre el titular y el responsable del tratamiento, 0 para la ejecucién de medidas precontractuales siempre y cuando se cuente con la autorizacién del titular. i TITULO VI , INFRACCIONES Y SANCIONES ! Articulo 22.- Responsab lidad. Sin perjuicio de incurrir en infracciones penales, en caso de incumplimiento con lo‘previsto sobre Ia protecci6n de datos personales, los responsables de tratamiento, los responables de las bases 0 bancos de datos, fizheros, archivos, en forma fisica o digital y los usuacios, en instancias pablicas y privadas, estarén sujetos al régimen sancionatorio, conforme ¢yn el presente Titulo. Articulo 23.- Clasificacién de las infracciones. Segin su magnitud ¢ importancia, las infracciones se clasifican en leves y graves, ‘ Articulo 24.- Infracciones leves. Son las siguientes: 1. No insctibir el banlco de datos en el Registro Nacional de Bases de Datos. 2. Proceder a recoger datos de carécter personal sin proporcionar 1a debida informacién conforme con lo establecido en el articulo 8, numeral 2, de esta Ley. 3. Mantener datos dg cardcter personal inexactos, pese la solicitud de rectificacién de los mismos. i 4, Mal manejo administrativo del archivo y tratamiento de bases de datos. Artfculo 25.- Infracciones graves, Se determinan como infracciones graves las siguientes: 1. Recoger datos en forma engafiosa o fraudulenta. 2. Recabar y tratar datos sensibles, sin consentimiento expreso del titular y no guarcar la respectiva confidencialidad,3. Crear bases 0 bancos de datos, ficheros y archivos con dats sensibles. 4. No atender Ia solicitud dot titular de los datos o de la Autoridad Nacional de Proteccién de Datos Personales sobre la supresién, rectificacién y actualizacién de los datos personales cuando legalmente proceda. 5. Realizar transferencia temporal o definitiva de dalos de ardcter personal hacia el extranjero, que hayan sido recogides u objeto de tretamiento, con destino a organismos gubernamentales, organismos internacionales, ONG, empresas transnacionales pablicas y privadas y cualquier otra entidad que no proporcionen ningiin nivel de proteccién, de acuerdo con las normas regionales o internacionales correspondientes. 6. Obstruir Ins funcipnes que por esta Ley se le reconoce ala Autoridad Nacional de Proteccién de Datos. 7. Tralar los datos descarécter personal de un modo que lesicne, violente o desconozca los derechos a la ‘ntimidad, imagen, identidad y honor; asi como cualquier otro derecho de que sean titulares las personas naturales. 8. Obstruir las funciones de vigilancia y control de la: Autoridad Nacional de Proteccién de Datos. : 9. Crear bases o banbos de datos, ficheros, archivos, en forma fisica o digital sobre datos personales sin el cumplimiento de los requisitos establecidos en esta Ley. 10. Iniciar el tratamiento de los datos de carécter personal 0 usarlos conculcando principios y garantias determinadas en la Constitucién y en esta Ley. 11.No guardar la debida confidencialidad sobre los datos de cardcter personal incorporados a bases 0 bancos de datos, ficheros y archivos. 12. Reincidir en cualquier infraccién leve. Articulo 26,- Sanciones. Las sanciones que se impondriin a causa del cometimiento de las infracciones sefialadas en los articulos precedentes seréin: 1. Amonestacién por escrito 2. Multa de uno a diez salarios basicos unificados. 3. Inmovilizacién de las bases 0 bancos de datos, ficheros 0 atchivos. 4, Retiro temporal de las bases o bancos de datos, ficheros o archivos. 5. Retiro definitivo de las bases 0 bancos de datos, ficheros 0 archivos. Articulo 27.- Graduacién de las sanciones. Las sanciones se graduarin segin los siguientes lineamientos: Valoracién de derechos constitucionales afectados. Volumen de los tratamientos efectuados. i Beneficios econémiicos obtenidos. Grado de intencionalidad. ‘ Reincidencia en ta'comisi6n de la infraccién. Daiios y perjuicios;causados a titulares o terceras personas. f yee auaAyASAMBLEA NACIONAL. 7. Reconocimiento o aceptacién expresa sobre Ia infraccién investigada, antes de Ia imposicién de la sqncién, Articulo 28. Procedimiento. La Autoridad Nacional de Proteccién de Datos Personales determinard las condiciones y procedimientos para la aplicacién de las sanciones previstas, las que deberin graduarse' en relacién con la gravedad y extensién de la violacién y de los perjuicios derivados de la infracci6n, garantizando el principio del debido proceso. La maxima autoridad del Ministerio de Telecomunicaciones y Sociedad de la Informacién, serf quien resuelva en Giltiina y definitiva instancia los recursos que se presenten. En caso de verificarse Ia posible existencia de infraccién penal,ila Autoridad Nacional de ProtecciGn de Datos Perscnales comunicaré a las autoridades pentles correspondientes para Th su debida investigacion. * 4 » DISPOSICION REFORMATORIA, UNICA.- Aiiddase a continuacién del numeral 1 del articulo 31 de la Ley del Sistema Nacional de Registro de Datos Pablicos el siguiente numeral: 1 “1.1 Bjercer las funciones como Autoridad Nacional de Proteccién de Datos Personales conforme a lo dispuesto en la Ley de Proteccién de Datos Personales.” DISPOSICION TRANSITORIA PRIMERA.- La Autoridad Nacional de Proteccién de Datos Personales debers crear el Registro Nacional de Bases de Datos en el plazo méximo de cienjo ochenta dias a partir de la publicacién de la presente Ley. SEGUNDA. Para la aplicaci6n de la presente Ley, se dictaré el comespondiente Reglamento en el plazo de 90 dias. i DISPOSICION FINAL ‘ La presente Ley entraré ex vigencia a partir de su publicacién en H1 Registro Oficial. a ’ A Suscrito en Quito, Distrité Metropolitano, a losCUADOR tA NACIONAL FIRMAS DE RESPALDO AL PROYECTO DE LEY ORGANICA DE PROTECCION DE LOS DERECHOS A LA INTIMIDAD Y PRIVACIDAD. SOBRE LOS DATOS PERSONALES NOMBRE FIRMA 2 Mey feof ED ee eed RENE AzZA ce vere daar Ari an SF GueEero Ccangnig re Piawa MoreeREPUBLICA DEL ECUADOR ASAMBLEA NACTONAL FIRMAS DE RESPALDO AL PROYECTO DE LEY ORGANICA DE PROTECCION DE LOS DERECHOS A LA INTIMIDAD Y PRIVACIDAD SOBRE LOS DATOS PERSONALES NOMBRE FIRMA Masago he Ano ea ; Bera eee ventlely Us, wonez. ean Agusne Yodel 0 | Rose Potee Hoviee betty poenee= Rrvul ABon velee | i— ae VO aren sitsREPUBLICA DEL ECUADOR ASAMBLEA NACIONAL FIRMAS DE RESPALDO AL PROYECTO DE LEY ORGANICA DE PROTECCION DE LOS DERECHOS A LA INTIMIDAD) Y PRIVACIDAD SOBRE LOS DATOS PERSONALES NOMBRE FIRMA OnAlie Vtllecresen,