La Superintendencia de Protección de Datos Personales mediante Resolución Nº SPDP-SPD-2025-0030-R, expide el Reglamento para la Seudonimización, Anonimización, Bloqueo, Suspensión y Eliminación de Datos Personales.
Este reglamento desarrolla procedimientos y medidas técnicas para que responsables y encargados del tratamiento de datos fortalezcan la seguridad de la información y garanticen los derechos reconocidos en la Ley Orgánica de Protección de Datos Personales y su Reglamento General.
Puntos Claves
Su cumplimiento es obligatorio para todos los integrantes del sistema de protección de datos personales y establece criterios claros para reducir riesgos, proteger la privacidad y asegurar la integridad de los datos.
Ámbito de Aplicación
Las disposiciones del reglamento se aplican a:
- Todas las categorías de datos personales, incluyendo datos sensibles y de salud.
- Cualquier tratamiento realizado por entidades públicas o privadas.
- Casos en los que sea necesario transformar, limitar, suspender o eliminar la información para cumplir con la normativa de protección de datos.
Medidas Técnicas y Procedimentales
SEUDONIMIZACIÓN
- Definición: Sustitución de datos personales por seudónimos, permitiendo la reidentificación solo con información adicional protegida.
- Uso permitido: Prestación de servicios donde no sea necesaria la identificación directa, investigaciones científicas o estadísticas, auditorías internas.
- Requisito: Análisis de gestión de riesgos previo para asegurar que la medida no afecte la finalidad del tratamiento.
ANONIMIZACIÓN
- Definición: Transformación de datos para impedir la identificación o reidentificación del titular.
- Prioridad: Especialmente en datos de salud, previa autorización de la SPDP.
- Efecto: Una vez anonimizados, no requieren consentimiento para su transferencia.
- Obligación: Evaluar exhaustivamente los atributos que puedan permitir la reidentificación.
BLOQUEO
- Definición: Inhabilitación del acceso a los datos tras cumplir la finalidad del tratamiento.
- Objetivo: Mantener los datos en acceso restringido mientras exista base legal para su conservación.
- Aplicación: Según el tiempo y requisitos determinados por la ley o finalidades legítimas adicionales.
SUSPENSIÓN
- Definición: Interrupción temporal del tratamiento de datos, a solicitud del titular o por mandato legal.
- Plazo de ejecución: Máximo tres días desde la solicitud.
- Excepciones: Defensa de derechos, protección de terceros, interés público o cumplimiento de obligaciones legales.
ELIMINACIÓN
- Definición: Supresión definitiva de los datos, imposibilitando su acceso o recuperación.
- Procedimiento: Documento que acredite la eliminación y notificación a terceros o encargados que tengan copia de los datos.
- Alcance: Aplica también a datos de personas fallecidas y datos crediticios, con las excepciones que reconoce la LOPDP.
PROCEDIMIENTO Y CUMPLIMIENTO
- Identificación de la naturaleza de la transferencia: Se debe determinar si es nacional o internacional.
- Aplicación de los capítulos pertinentes:
- Para nacionales, aplicar Capítulo V de la LOPDP y Capítulo V del Reglamento.
- Para internacionales, aplicar Capítulos V y IX de la LOPDP junto con Capítulos V y XII del Reglamento.
- Documentación y respaldo: El responsable del tratamiento debe contar con evidencias documentales de que se cumplieron los requisitos legales.
- Evaluación de equivalencia legal: En transferencias internacionales, verificar que el país receptor tenga un nivel adecuado de protección de datos o aplicar salvaguardas adicionales.
Recomendaciones
- Actualización de políticas internas: Las organizaciones deben revisar y adaptar sus políticas de protección de datos para incluir estos lineamientos.
- Capacitación del personal: Es esencial que responsables, encargados y delegados de protección de datos conozcan en detalle las disposiciones de la normativa.
- Auditorías periódicas: Verificar cumplimiento y detectar riesgos.
- Evaluación de riesgos: Antes de cualquier transferencia internacional, valorar los riesgos y establecer mecanismos de mitigación.