A pocas semanas de finalizar su mandato, el lunes 6 de noviembre el presidente Guillermo Lasso emitió dos decretos ejecutivos, 903 y 904, con los reglamentos que darán operatividad a la Ley Orgánica para el Desarrollo, Regulación y Control de los Servicios Financieros Tecnológicos (Fintech) y a la Ley Orgánica de Protección de Datos Personales, respectivamente.
En el caso de la Ley Fintech, que está en vigencia desde diciembre de 2022, el reglamento contiene diez artículos.
La norma dispone que las actividades fintech serán reguladas por la Junta de Política y Regulación Monetaria y por la Junta de Política y Regulación Financiera. En tanto que el Banco Central del Ecuador (BCE) y a las superintendencias de Compañías y de Bancos, dentro de sus competencias, serán responsables de la calificación, supervisión y control de las compañías.
Asimismo, se establece que las empresas dedicadas a actividades fintech no podrán efectuar otras distintas. Podrán prestar uno o varios servicios, siempre y cuando tengan la correspondiente autorización; con excepción de las sociedades especializadas de depósitos y pagos electrónicos, cuyo objeto único es la recepción de recursos confines exclusivos de facilitar pagos y traspasos de recursos mediante medios de pago electrónicos autorizados, dice el reglamento.
Se implementarán sistemas informáticos estandarizados para los reportes de las compañías involucradas en el campo.
Con el fin de prevenir el lavado de activos y financiamiento de delitos, así como regular aspectos de ciberseguridad y seguridad de la información, las entidades competentes deberán emitir las regulaciones pertinentes.
Lasso justificó en el Decreto 903 que es necesario emitir las disposiciones normativas para la aplicación de la Ley Fintech, “permitiendo el desarrollo del mercado fintech local, y precautelando los derechos de los usuarios de dicho mercado”.
En cuanto a la Ley de Protección de Datos, vigente desde mayo de 2021, el reglamento es más extenso, ya que contiene 90 artículos, una disposición general y dos transitorias. Aplica a todas las personas naturales y jurídicas, nacionales y extranjeras, del sector público y privado, que realicen tratamiento de datos personales dentro o fuera del país.
Ahí se establecen, entre otros temas, las reglas que deberán cumplir los responsables y encargados del tratamiento de datos personales no establecidos en Ecuador.
En todos los casos que se requiera el consentimiento explícito del titular para el tratamiento de sus datos personales, el responsable del manejo de los datos deberá informar previa y detalladamente el tratamiento que tendrán los datos, la finalidad, el tiempo de conservación, las medidas de protección, las consecuencias de la entrega y otros aspectos.
Se determina que los plazos de conservación de los datos personales no deberán exceder aquellos que sean estrictamente necesarios para el cumplimiento de las finalidades que justificaron el tratamiento. Dichos plazos serán regulados por la Autoridad de Protección de Datos.
El reglamento dedica un capítulo a los derechos, en el cual se establecen los medios para el ejercicio de los derechos, contenido de la solicitud, requerimiento de información adicional, registro de solicitudes y reclamo ante la Autoridad de Protección de Datos Personales.
También se norma el tratamiento de los datos de personas fallecidas, datos crediticios, datos de menores de edad y del interés superior del niño.
Otros capítulos del reglamento abordan transferencia o comunicación de datos a terceros, vulneración a la seguridad de datos personales, evaluación de impacto, responsable del tratamiento, responsabilidad proactiva y autorregulación, códigos de conducta, entre otros.
La norma dispone que la Autoridad de Protección de Datos Personales goza de autonomía administrativa, técnica, operativa y financiera. Estará a cargo del superintendente de Protección de Datos Personales y tendrá su sede en Quito.
Entre las atribuciones que tendrá la Autoridad está registrar las bases de datos que contengan datos personales en el Registro Nacional de Protección de Datos Personales; dirigir y administrar el Registro Único de Responsables y Encargados Incumplidos; emitir regulaciones e informes técnicos.
También se establece un régimen sancionatorio para casos en que se presuma el cometimiento de alguna de las infracciones contenidas en la ley.
En las disposiciones transitorias del reglamento se dispone que la implementación y funcionamiento de la Superintendencia de Protección de Datos Personales estará sujeta a la disponibilidad presupuestaria, previo dictamen favorable del Ministerio de Finanzas.
También se impuso el plazo máximo de un año, desde el funcionamiento de la Superintendencia, para que la entidad desarrolle capacitaciones técnicas y cursos de formación dirigidos al público en general.
En el Decreto 904, el presidente apuntó en el texto que es necesario “establecer con claridad los preceptos y procedimientos para la ejecución de la ley”. (I)