Estimados Prestadores de Servicios de Telecomunicaciones:

En caso de que exista una vulneración de la seguridad de datos personales se debe considerar lo establecido en la Ley Orgánica de Protección de Datos Personales que en su artículo 43 señala:

“(…) Artículo 43.- Notificación de vulneración de seguridad.- El responsable del tratamiento deberá notificar la vulneración de la seguridad de datos personales a la Autoridad de Protección de Datos Personales y la Agencia de Regulación y Control de las Telecomunicaciones, tan pronto sea posible, y a más tardar en el término de cinco (5) días después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la Autoridad de Protección de datos no tiene lugar en el término de cinco (5) días, deberá ir acompañada de indicación de los motivos de la dilación. El encargado del tratamiento deberá notificar al responsable cualquier vulneración de la seguridad de datos personales tan pronto sea posible, y a más tardar dentro del término de dos (2) días contados a partir de la fecha en la que tenga conocimiento de ella. (…)”

Así también en el Reglamento General de la Ley Orgánica de Protección de datos Personales, en los artículos 24, 25 y 26 señalan:

“(…) Artículo 24.- De la notificación de vulneración de seguridad. – De conformidad con lo dispuesto en la Ley, el responsable del tratamiento deberá notificar a la Autoridad de Protección de Datos Personales y a la Agencia de Regulación y Control de Telecomunicaciones cualquier vulneración a la seguridad de los datos personales, siempre que sea probable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas naturales.

Se entiende que la vulneración o violación a la seguridad constituye un riesgo para los derechos y las libertades de las personas naturales cuando concurre cualquiera de las siguientes causales:

1. Cuando los datos fueron destruidos, ya no existen o no están disponibles de una forma que sea de utilidad para el responsable del tratamiento;
2. Cuando los datos personales han sido alterados. Corrompidos o dejan de estar completos;
3. Cuando el responsable del tratamiento ha perdido el control o el acceso a los datos, o ya no obran en su poder; o,
4. Cuando el tratamiento no ha sido autorizado o es ilícito, lo cual incluye la divulgación de datos personales o el acceso por parte de destinatarios que no están autorizados a recibir o acceder a los datos o cualquier otra forma de tratamiento que se ejecuta contrariando las disposiciones de la Ley.

Artículo 25.- Finalidad de la notificación. – Las notificaciones de las vulneraciones de seguridad de datos personales tendrán como finalidad principal que la Autoridad de Protección de Datos Personales y la Agencia de Regulación y Control de Telecomunicaciones lleven un registro estadístico sobre vulneraciones para determinar posibles medidas de seguridad para cada una de ellas. así como identificar sectores o instituciones más vulnerables y promover la adaptación de estándares internacionales y mejores prácticas en la gestión de incidentes y vulnerabilidades.

Artículo 26.- Contenido de la notificación. – La notificación de vulneración de seguridad deberá contener lo siguiente:

1. La naturaleza y tipo de vulneración;
2. Identificar los titulares o interesados afectados;
3. El detalle inicial de los sistemas vulnerados;
4. La causa presunta de la vulneración:
5. El volumen y tipos de datos expuestos o comprometidos:
6. Las medidas adoptadas y previstas para responder y remediar la vulneración con la finalidad de mitigar las consecuencias presuntas;
7. La evaluación del riesgo que la vulneración implica para los derechos y libertades de los titulares: y.
8. Otros aspectos determinados por la Autoridad de Protección de Datos Personales. (…)”

Para más información sobre vulnerabilidades, avisos de seguridad, consejos y servicios que presta el EcuCERT le invitamos a ingresar a nuestra página Web:

https://www.ecucert.gob.ec/

Quedamos atentos a sus dudas, o en el caso de presentarse algún incidente de ciberseguridad comunicar a la dirección de correo electrónico.

Sus dudas a: alertas@ecucert.gob.ec

Reporte de incidentes: incidente@ecucert.gob.ec

Nota de descargo: La presente comunicación fue dirigida a su correo electrónico, toda vez que se encuentra registrado como punto de contacto del Prestador de Servicio de Telecomunicaciones ante la ARCOTEL.