Centro de Recursos LOPDP

¿Por qué el secretario NO puede ser DPD?

• Conflicto de intereses: El secretario es subordinado del rector/director, no puede auditar decisiones de la directiva
• Falta de formación profesionalizante: La SPDP exige programa oficial especializado en derecho de datos, ciberseguridad, gestión de riesgos y auditoría
• Carga de trabajo incompatible: El DPD necesita tiempo dedicado con independencia funcional
• Responsabilidad legal: El DPD es personalmente responsable ante la SPDP, no puede ser operador del sistema

¿Quién puede ser DPD según normativa oficial?

• Abogado con programa profesionalizante oficial en protección de datos
• Ingeniero en sistemas con capacitación certificada LOPDP
• Consultor externo especializado (outsourcing válido legalmente)
• Personal interno con formación completa y autonomía garantizada

Importante: La normativa SPDP establece requisitos muy específicos de formación y perfil. No cualquier persona puede ser DPD.

Recomendación: Si su institución no tiene recursos para un DPD interno calificado, considere outsourcing con una consultora especializada.

Los 5 errores más frecuentes:

1. Instalar primero, regularizar después: La ley exige hacer EIPD ANTES de implementar
2. No solicitar consentimiento: Se necesita autorización expresa de padres, no basta con matrícula
3. No ofrecer alternativas: Debe haber opción no biométrica (carné, código)
4. Almacenar huellas sin cifrado: Los datos biométricos deben estar encriptados
5. No definir retención: ¿Qué pasa con huellas de estudiantes graduados?

Cómo implementar biometría legalmente:

1. Realizar Evaluación de Impacto (EIPD) completa
2. Diseñar formulario de consentimiento informado
3. Obtener autorizaciones firmadas de padres
4. Implementar sistema con cifrado end-to-end
5. Registrar tratamiento en RAT institucional
6. Definir política de retención (ejemplo: 1 año post-graduación)
7. Capacitar a personal sobre uso adecuado

Criterios de selección para auditoría:

• Datos sensibles: Biometría, salud, videovigilancia
• Menores de edad: Colegios, escuelas, guarderías
• Uso de tecnología: Plataformas extranjeras, IA, sistemas masivos
• Denuncias: Quejas de padres o titulares
• Impacto social: Instituciones grandes o con visibilidad pública

Documentos que solicitan:

• Política de Privacidad (publicada y actualizada)
• Registro de Actividades de Tratamiento (RAT)
• Evaluaciones de Impacto para biometría/videovigilancia
• Formularios de consentimiento (muestra aleatoria)
• Contratos con encargados de tratamiento
• Designación formal del DPD
• Política de retención y eliminación
• Registro de incidentes de seguridad

Inspecciones técnicas:

• Verifican señalización de cámaras
• Revisan ubicación de cámaras (NO puede haber en baños)
• Solicitan acceso a sistemas biométricos
• Verifican medidas de seguridad en archivos físicos
• Revisan logs de acceso a sistemas

Entrevistas:

• Hablan con el DPD (si no existe, multa automática)
• Entrevistan a personal administrativo
• Verifican conocimiento de procedimientos para ejercicio de derechos del titular (acceso, rectificación, actualización, supresión, portabilidad)

Dato importante: Si no tienen listo el 80% de la documentación, la multa es casi segura.

Consecuencias legales en Ecuador:

• Multa administrativa: Entre USD $10,000 y USD $50,000 según LOPDP, calculada con base en ingresos anuales de la institución
• Criterios de cálculo SPDP: Daño causado, reincidencia, intencionalidad, tamaño de la institución
• Multa diaria: USD $500 por cada día de incumplimiento después de notificación de la SPDP
• Suspensión temporal: La SPDP puede ordenar cierre hasta regularizar
• Responsabilidad personal: Rector/Director puede ser procesado penalmente según normativa ecuatoriana

Consecuencias operativas:

• Pérdida de confianza de padres de familia
• Imposibilidad de implementar nuevos sistemas (biometría, plataformas)
• Riesgo de demandas civiles por violación de privacidad
• Daño reputacional irreparable

¿Cómo regularizar urgentemente?

1. Designar DPD interno o contratar externo (1-2 semanas)
2. Notificar a la SPDP (inmediato)
3. Capacitar al DPD (si es interno)
4. Iniciar diagnóstico de cumplimiento (1 mes)

Importante: El outsourcing de DPD es válido legalmente y más económico que contratar personal interno.

¿Por qué necesito cláusulas LOPDP específicas?

Cuando usas una plataforma externa (Google, Microsoft, sistemas académicos), ellos son "encargados de tratamiento". La normativa SPDP establece que toda transferencia internacional debe cumplir requisitos específicos con garantías y contratos. Hay cláusulas mínimas obligatorias.

Cláusulas obligatorias según normativa SPDP:

• Objeto y alcance: Qué datos procesa la plataforma (correos, nombres, calificaciones)
• Ubicación de servidores: Dónde se almacenan los datos (transferencia internacional desde Ecuador)
• Medidas de seguridad: Cifrado, autenticación, respaldos
• Subencargados: Si la plataforma usa otros proveedores
• Derechos del Titular: Cómo ejercer acceso, rectificación, actualización, supresión y portabilidad
• Notificación de brechas: Plazo para informar incidentes a la SPDP (24-48h)
• Auditorías: Derecho de la institución ecuatoriana a auditar
• Finalización: Qué pasa con los datos al terminar contrato

¿Google/Microsoft ya cumplen con LOPDP Ecuador?

Sí, tienen certificaciones ISO 27001 y cláusulas modelo. PERO debes cumplir requisitos ecuatoranos:

1. Activar el Acuerdo de Procesamiento de Datos (DPA - Data Processing Agreement) en español
2. Configurar residencia de datos en región apropiada (verificar transferencias internacionales desde Ecuador)
3. Notificar a padres de familia ecuatorianos sobre uso de plataformas extranjeras
4. Registrar plataforma en tu RAT institucional según formato SPDP
5. Verificar que el proveedor cumpla estándares de la LOPDP Ecuador

Zonas permitidas vs. zonas prohibidas:

Requisitos obligatorios:

• Señalización: Carteles visibles en TODAS las áreas con cámaras
• EIPD: Evaluación de Impacto antes de instalar sistema
• Retención limitada: Máximo 30 días (salvo investigación legal)
• Acceso controlado: Solo personal autorizado con log de consultas
• Seguridad técnica: Cifrado de video, respaldo seguro

Casos de incumplimiento en Ecuador:

Caso real: Colegio instaló cámaras en baños "por seguridad". Resultado: proceso penal por violación de privacidad + multa de USD $50,000 según LOPDP + cierre temporal ordenado por SPDP Ecuador.