Ley ORGÁNICA de Protección de Datos Personales en Ecuador

La Ley de Protección de Datos Personales en Ecuador busca otorgar el derecho constitucional que tienen todos los ciudadanos ecuatorianos a que sus datos personales se resguarden de la manera adecuada. La ley se publico en mayo del 2021 y su aplicación es exigible desde mayo del 2023.

Los datos personales son un insumo fundamental en diferentes aspectos de la vida del individuo, mismos que son requeridos al momento de emitir una factura, aplicar a un trabajo, al crear una historia clínica, etc. El grado de detalle y confidencialidad de la información compartida varían dependiendo del tipo de transacción que la persona realiza.

El titular de los datos debe dar un consentimiento libre y voluntario de su acuerdo respecto al tipo de tratamiento de datos de la información que está entregando: recogida, registro, organización, conservación, custodia, adaptación, modificación, eliminación, indexación, extracción, consulta, elaboración, utilización, posesión, aprovechamiento, distribución, cesión, comunicación o destrucción.

El uso indebido de la información sin la autorización otorgada por parte del titular puede generar importantes multas que pueden llegar hasta montos del 2% de las ventas del período fiscal en que se dé el hecho.

El consentimiento para el tratamiento de datos personales

El consentimiento otorgado por el titular al responsable del tratamiento de datos es fundamental en el proceso ya que en forma expresa indica qué tipo de tratamiento de datos está aprobando y otorgado el titular al receptor. Este consentimiento debe ser expreso y comprobable.

La opción más confiable para obtención del consentimiento es a través de un contrato o convenio entre las partes, que obviamente implican una firma de responsabilidad de los implicados y que dé la formalidad del caso.

A fin de evitar multas respecto del tratamiento de datos las empresas deben demostrar que han implementado un proceso para la gestión de datos que pruebe la trazabilidad y documentación necesaria.

Por ello, uno de los retos más grandes en el aspecto del tratamiento de datos personales es la obtención del consentimiento por parte del titular en favor del responsable que gestiona la información. Las empresas deben solicitar este consentimiento a aplicantes a procesos de contratación laboral, a trabajadores, a proveedores, a clientes, a pacientes, entre otros, lo que puede representar una gestión administrativa muy tediosa y abrumadora.

Otro aspecto fundamental es la seguridad en el resguardo de la información compartida por el titular. El responsable debe garantizar que esos datos no puedan ser accedidos por entidades o personas no autorizadas para el efecto. Así como también debe proteger los datos de cualquier tipo de fuga de información.

CRM en el tratamiento de datos personales

Un CRM robusto es fundamental para garantizar el resguardo de la información que el titular accede a entregar a las empresas. CRM hace referencia a una plataforma tecnológica para gestionar las relaciones con los clientes (Customer Relationship Management) que permite registrar datos clave, facilitando así a las empresas el tener más cercanía con éstos. El CRM fortalece esta relación generando comunicaciones de marketing, apalancando las ventas y mejorando el nivel de servicio basado en información y la automatización.

Los CRM modernos ofrecen plataformas en la nube, en un esquema SAAS (Software as a Service), es decir, en un modelo de suscripción, que permite explotar su tecnología e infraestructura a través de internet, sin necesidad de instalar servidores o aplicaciones locales.

La ventaja de este esquema es que el CRM se encarga de proveer todas las capas de seguridad de acceso a la información necesarias, mismas que la plataforma administra, con los más altos niveles de protección y garantizados a través de múltiples certificaciones requeridas por los más exigentes entes de control.

Adicionalmente, estas plataformas gestionan perfiles que permiten la personalización del acceso que tienen los usuarios a la información a niveles tan detallados como objetos, campos, reportes, exportación, etc.

Finalmente, un CRM se convierte en la herramienta ideal para la gestión documental, donde a nivel de ficha del cliente, queda registrado el consentimiento otorgado y su tipo, además de anexar los archivos necesarios como respaldo del proceso.

La firma digital como herramienta de captura de consentimiento de tratamiento de datos personales

La mejor forma de contrarrestar el esfuerzo que implicaría la captura de firmas de tantos involucrados en el levantamiento de documentación del tratamiento de datos personales es la firma digital.

Una firma digital es una herramienta electrónica que utiliza mecanismos de autenticación para sustituir a la firma autógrafa o física en papel. Garantiza con diferentes estrategias tecnológicas la validez del proceso. Normalmente este tipo de firmas digitales son provistas por plataformas alojadas en la nube lo que facilita su gestión y seguridad, sobre todo, el acceso a los firmantes desde cualquier lugar. La ley de comercio electrónico vigente en Ecuador habilita este tipo de firmas. (Es importante mencionar que este proceso no consiste en un “Certificado Electrónico” como el que demanda el SRI para formalizar las facturas, la firma digital no requiere la solicitud de emisión de un ente autorizado, solamente con los mecanismos de autenticación provistos ya convierte los documentos firmados en válidos y legales).

La firma digital provee un flujo de captura de las diferentes personas que suscribirán los documentos en un esquema muy sencillo e intuitivo, lo que permite integraciones y/o cargas de datos para la realización de solicitudes tanto en forma individual como masiva.

Por ejemplo, puede integrarse con el CRM para que cuando se emita una proforma se lance un flujo que envíe automáticamente la solicitud de firma vía correo electrónico personalizado o vía SMS/WhatsApp utilizando un link. En este caso el proceso podría cumplir dos objetivos: la obtención del consentimiento del tratamiento de datos y, tal vez, la conformidad y aceptación de los valores ofertados. Por supuesto, lo mismo puede suceder en caso de emisión de una factura y otros documentos.

Obviamente se pueden generar campañas de correo electrónico con el único fin de realizar la solicitud de firma. En un proceso de mezcla de datos (merge) en base a una audiencia segmentada se envía el mailing que solicita la firma de manera personal e individual, es decir, a nombre de cada miembro de la campaña masiva. Así la plataforma de firma digital captura los documentos suscritos y los alberga en sus plataformas en la nube de forma segura.

Gerenciall es partner oficial de DocuSign y Salesforce CRM en Ecuador

¿Quieres saber cómo aprovechar las plataformas de tecnología líderes a nivel mundial para automatizar tus procesos relativos al tratamiento de datos personales?

¿Requieres integraciones para automatizar la captura de los consentimientos de tratamiento de datos personales de tus clientes, proveedores, empleados, colaboradores, pacientes y más?

¿Tus sistemas actuales ERP, EHR (Historias clínicas), financieros, contables, de facturación, son rígidos y dificultan la personalización para adaptarse a los procesos requeridos por la Ley de protección de datos personales del Ecuador?

¡Consúltanos! Regístrate aquí.

www.gerenciall.com

info@gerenciall.com

Francisco Andrade Marin E6-24 y Eloy Alfaro

Edificio Carolina Milenium - Of. 1404

Código Postal 170518

Teléfono: (593) 2 500 1606 / WhatsApp: (593) 98 684 2440

Quito - Ecuador