Intranet
Escríbanos Aquí
(5932) 450 5535

Puente & Asociados

Nuevas resoluciones emitidas por la Superintendencia de Protección de Datos Personales de Ecuador

19 May 2025
0

La Superintendencia de Protección de Datos Personales (SPDP), ha publicado cuatro resoluciones para mejorar la gestión y el control de los datos personales en Ecuador, representando un avance significativo en el marco legal de protección de datos. 

 Estas resoluciones demuestran que la Superintendencia de Protección de Datos ha tomado acciones concretas para implementar la Ley Orgánica de Protección de Datos Personales (LOPDP), evidenciando que no solo hay que sancionar, sino prevenir, educar y estructurar procesos institucionales sostenibles, lo cual es coherente con la visión moderna de protección de datos, a continuación, se explicaran los puntos principales de cada resolución:  

 

1. Guía para la Gestión de Riesgos y Evaluación de Impacto (Resolución SPDP-SPD-2025-0003-R) 

29 de abril de 2025 

Esta resolución aprueba la Guía de Gestión de Riesgos y Evaluación de Impacto del Tratamiento de Datos Personales, que establece lineamientos para identificar, analizar y mitigar riesgos derivados del tratamiento de datos personales, así como para realizar evaluaciones de impacto que sean obligatorias conforme a la Ley Orgánica de Protección de Datos Personales (LOPDP) y su Reglamento General. 

Los responsables y encargados del tratamiento de datos deben realizar un análisis de riesgos y, cuando corresponda, una evaluación de impacto antes de iniciar actividades que puedan implicar alto riesgo para los derechos de los titulares. 

La guía contiene dos capítulos: el primero, de cumplimiento obligatorio, establece directrices mínimas para el análisis y evaluación de riesgos; el segundo, de carácter referencial, ofrece metodologías aplicables de manera optativa. 

Obligatoriedad de la evaluación de impacto: 

  • Cuando existan tratamientos automatizados que conlleven decisiones con efectos jurídicos. 
  • En caso de tratamientos a gran escala de categorías especiales de datos. 
  • Cuando se realice observación sistemática de zonas de acceso público. 
  • Cuando lo disponga la SPDP. 

Los informes deben incluir: 

  • Descripción sistemática de las operaciones de tratamiento. 
  • Justificación de la necesidad y proporcionalidad del tratamiento. 
  • Evaluación de los riesgos para los derechos de los titulares. 
  • Medidas técnicas y organizativas previstas para mitigarlos. 

La guía será revisada y actualizada por la SPDP en un plazo de un año desde su publicación, con el fin de garantizar su mejora continua y adecuación normativa. 

 

2. Programa profesionalizante de Delegados de Protección de Datos Personales (DPD) (Resolución SPDP-SPD-2025-0004-R) 

29 de abril de 2025 

Esta resolución regula el perfil profesional mínimo y la formación exigida para quienes sean designados como Delegados de Protección de Datos (DPD), figura clave dentro del sistema nacional de protección de datos.  

El DPD debe ser una persona natural que actúe como enlace entre la organización y la SPDP, y que tenga la capacidad técnica y jurídica para: 

  • Asesorar al responsable o encargado del tratamiento sobre el cumplimiento normativo. 
  • Supervisar la implementación de medidas de protección de datos. 
  • Promover una cultura organizacional de privacidad y seguridad. 
  • Atender los requerimientos de titulares y de la SPDP. 

Requisitos mínimos del DPD: 

  • Formación en derecho, tecnologías de la información y sistemas de gestión. 
  • Capacitación avalada por instituciones de educación superior conforme al programa oficial aprobado. 
  • Registro del certificado o título obtenido ante la SPDP. 

El contenido del programa profesionalizante aprobado por la SPDP incluye: 

  • Derecho comparado y nacional de protección de datos. 
  • Derechos de los titulares y obligaciones de los responsables. 
  • Transferencias internacionales de datos. 
  • Implementación de sistemas de gestión, incluyendo análisis de riesgos y evaluación de impacto. 
  • Normas ISO/IEC aplicables, medidas de seguridad y procedimientos ante brechas. 

La designación de un DPD que no cumpla con este perfil, o la ausencia de dicha figura en organizaciones obligadas, constituye una infracción sancionable conforme a la LOPDP. 

 

3. Plan Anual de Auditorías de la SPDP (Resolución SPDP-SPD-2025-0005-R) 

 29 de abril de 2025 

Esta resolución regula el procedimiento mediante el cual la SPDP elaborará y ejecutará anualmente el Plan Anual de Auditorías (PAA) a organizaciones públicas y privadas que traten datos personales. El PAA es un instrumento técnico que permite a la SPDP ejercer su potestad de vigilancia y control. 

Las auditorías tienen como fin evaluar el nivel de cumplimiento normativo en materia de protección de datos y verificar la existencia de políticas, registros, medidas de seguridad y procedimientos adecuados. 

Criterios de selección de las entidades auditadas: 

  • Naturaleza y tamaño de la organización. 
  • Volumen, tipo y sensibilidad de los datos personales tratados. 
  • Cantidad y criticidad de denuncias o brechas de seguridad recibidas. 
  • Impacto del tratamiento en derechos fundamentales de los titulares. 
  • Uso de tecnologías emergentes. 
  • Disponibilidad presupuestaria y de recursos para la ejecución del PAA. 

Requisitos para las entidades auditadas: 

  • Permitir acceso a información y documentación relevante. 
  • Designar puntos de contacto internos. 
  • Presentar registros, políticas y medidas de cumplimiento adoptadas. 
  • Facilitar inspecciones físicas y técnicas. 

Los resultados de las auditorías podrán dar lugar a recomendaciones, observaciones o incluso procedimientos sancionatorios, según la gravedad del incumplimiento detectado. 

 

4. Incorporación obligatoria de cláusulas de protección de datos personales en contratos (Resolución SPDP-SPD-2025-0006-R) 

 29 de abril de 2025  

Esta resolución establece que todos los contratos que conlleven tratamiento de datos personales, ya sea con encargados, proveedores, terceros o destinatarios, deberán incorporar cláusulas específicas de protección de datos personales que garanticen el cumplimiento de la LOPDP y su normativa secundaria. 

El objetivo de esta regulación es evitar que los datos personales sean tratados sin control contractual ni garantías mínimas. Por tanto, las cláusulas contractuales deben contemplar: 

  • Finalidades específicas y legítimas del tratamiento de datos personales. 
  • Bases de legitimación (consentimiento, cumplimiento legal, relación contractual, interés legítimo). 
  • Identificación precisa del responsable y/o encargado del tratamiento. 
  • Plazo de conservación de los datos personales conforme a la finalidad. 
  • Derechos del titular: mecanismos de acceso, rectificación, cancelación, oposición, portabilidad y supresión. 
  • Compromiso expreso de implementar medidas técnicas y organizativas adecuadas para proteger los datos. 
  • Limitaciones para la transferencia nacional o internacional de datos sin garantías adecuadas o sin informar al titular. 
  • Distribución de responsabilidades frente a vulneraciones de seguridad, incluyendo derecho de repetición. 

Adicionalmente, se prohíbe expresamente el uso de cláusulas que: 

  • Presenten redacción vaga, confusa o ambigua. 
  • Omitan identificar al responsable/encargado del tratamiento. 
  • Limiten indebidamente los derechos del titular. 
  • Incluyan exenciones excesivas de responsabilidad. 
  • Omita medidas de seguridad, bases legales o plazos de conservación. 

La SPDP ha emitido cláusulas modelo referenciales (Anexo I de la resolución), cuya incorporación es optativa pero recomendable como estándar de buenas prácticas. 

Las cuatro resoluciones, confirman que actualmente el régimen de protección de datos en Ecuador ha iniciado su fase de implementación, en la cual el cumplimiento normativo en esta área pasa de ser una recomendación para convertirse obligatoria. 

Sugerimos a nuestros clientes proceder con: 

  1. La revisión y ajuste inmediato de los contratos vigentes que impliquen tratamiento de datos personales. 
  2. La inclusión de cláusulas específicas y detalladas conforme a los lineamientos establecidos por la SPDP. 
  3. La eliminación de cláusulas genéricas, incompletas o ambiguas que pudieran exponer a la organización a incumplimientos o sanciones.
  4. La implementación de estas cláusulas dentro de un sistema de cumplimiento integral, como respaldo documental ante auditorías o requerimientos de la autoridad. 

La nueva implementación de las cuatro resoluciones en los distintos ámbitos de las organizaciones garantizara, un correcto tratamiento y manejo de datos personales, verificando siempre que los lineamentos sean acordes a los parámetros establecidos por la SPDP, para una efectiva ejecución.  

 

Para PUENTE & ASOCIADOS Estudio Jurídico es un gusto mantenerlo informado y ofrecerle los servicios legales derivados de esta Circular, puede contactar a gpuente@puenteasociados.com y a mishells@puenteasociados.com 

Atentamente, 

PUENTE & ASOCIADOS

Soluciones Jurídicas Para Personas Jurídicas

Este documento es de carácter informativo, no constituye una opinión legal o criterio de Puente & Asociados, ni sus miembros.

 

, , , ,
Puente & Asociados
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.