Guía práctica del estado actual de la normativa en Protección de Datos

Blog

Elaborado por: Barrera Andrade Abogados & Consultores – BACLAW S.A.

1. ¿Dónde estamos hoy con la protección de datos en el Ecuador?

    • 2021 (La Ley): Se publica la Ley Orgánica de Protección de Datos Personales (LOPDP).
    • 2023 (El Reglamento): Se definen los detalles técnicos de cómo aplicar esa ley.
    • 2024 – Presente: La Superintendencia de Protección de Datos Personales (SPDP) ya está 100% operativa.

¿Qué significa esto para su empresa hoy? Se acabó el periodo de gracia. En 2025, la SPDP ha adoptado un rol proactivo. Ya no solo emiten normas, sino que han empezado a auditar, inspeccionar y sancionar. Este informe resume las nuevas reglas de juego que la autoridad ha emitido recientemente y que son de cumplimiento obligatorio inmediato.

Las 5 nuevas obligaciones clave para el responsable del tratamiento
A continuación, detallamos las nuevas exigencias derivadas de las últimas resoluciones y absoluciones de consulta de la SPDP.

Obligación de realizar una Evaluación de Ponderación para invocar el interés legítimo

Primero, recordemos qué hace que el manejo de datos personales sea legal. La forma más común es obtener el consentimiento del titular para usar sus datos con propósitos específicos.

También se pueden manejar datos sin consentimiento si hay una obligación legal que lo permite o requiere. De manera similar, si la organización tiene un «interés legítimo» (un motivo válido y justificado), no necesita consentimiento, pero solo si se cumplen ciertas condiciones.

Esta obligación se enfoca en ese «interés legítimo». La SPDP emitió la Resolución No. SPDP-SPD-2025-0041-R, que establece reglas claras para usarlo. El objetivo es evitar que se use de forma abusiva o sin control.Ahora, no se puede usar el interés legítimo de manera automática. Hay que hacer una «Evaluación de Ponderación» antes. Esta evaluación debe estar por escrito, bien justificada y respaldada con evidencia que muestre que el manejo de datos es proporcional, necesario y acorde con lo que el titular esperaría razonablemente.

La metodología obligatoria está en el Anexo 1 de la resolución y tiene cinco pasos:

  1. Acreditar la idoneidad del interés legítimo: Demostrar que el interés es legal, real, concreto y ligado a un propósito válido. Por ejemplo, prevenir accesos no autorizados a un edificio después de incidentes de seguridad previos.
  2. Analizar la necesidad del tratamiento: Explicar por qué es imprescindible y si hay alternativas menos invasivas para lograr el mismo objetivo. También considerar qué pasa si no se hace.
  3. Ponderar el interés del responsable contra los derechos del titular: Identificar si se manejan datos sensibles (como datos de salud) y justificar por qué es indispensable.
    Ejemplo: Para la seguridad vial, es necesario hacer pruebas de alcohol y drogas a conductores, aunque involucren datos sensibles. No hay métodos menos invasivos que den la misma certeza, y no hacerlo podría poner en riesgo la seguridad pública.
  4. Definir medidas de seguridad: Pueden ser técnicas (implementación de copias de seguridad), organizativas (políticas internas), administrativas, legales o informativas.
  5. Emitir una conclusión documentada: Decidir si el tratamiento es válido bajo interés legítimo.

Ojo: El documento completo de la evaluación, con anexos, debe guardarse por al menos cinco años y estar disponible si la SPDP lo pide.

2. Obligación de implementar señalética visible y esquema de información por capas en sistemas de videovigilancia

En palabras simples, si tu organización usa cámaras de video, debe colocar carteles visibles que avisen claramente que se está grabando. Ya no basta con tener un letrero genérico que diga «Sonría, lo estamos filmando».

La Nueva Obligación: La SPDP exige un sistema de doble capa informativa para evitar que la vigilancia sea un control excesivo.

  1. Primera Capa (El Cartel): Señalética visible en el lugar (cámaras) que advierta claramente que se está grabando.
  2. Segunda Capa (El Detalle): Ese cartel debe tener un mecanismo (como un Código QR o un enlace web visible) que se explique lo requerido por el artículo 12 de la LOPDP: quién graba, para qué, por cuánto tiempo y cómo reclamar.

Nota importante: El objetivo es que la videovigilancia no sea un control constante o general, sino una medida específica, necesaria y proporcional. Las cámaras deben colocarse solo donde sea justificado por un análisis de riesgos, y las grabaciones no deben guardarse indefinidamente, solo el tiempo necesario para el propósito.

3. Obligación de informar íntegramente los aspectos previstos en el artículo 12 de LOPDP.

Relacionado con lo anterior, la Autoridad de Protección de Datos absolvió la consulta acerca de si se podía omitir parte de la información requerida por el artículo 12 de la LOPDP. La respuesta es no, ya que, el titular debe entender todo: quién maneja sus datos, para qué, bajo qué base legal, por cuánto tiempo y qué derechos tiene.

Omitir esto viola principios de lealtad y transparencia, y puede invalidar el consentimiento. Además, la política de protección de datos debe estar implementada y disponible, reflejando exactamente cómo se manejan los datos, e incluyendo al menos lo del artículo 12. Debe compartirse antes o al recolectar los datos, o antes de manejarlos si no se recolectan directamente.

Se recomienda que los titulares acepten expresamente la política, para probar que se informó correctamente.

4. Obligación de verificar el nivel adecuado de protección en transferencias nacionales e internacionales

Mediante Resolución No. SPDP-SPD-2026-0004-R, la SPDP expidió la Norma General de Transferencias o Comunicaciones Nacionales e Internacionales de Datos Personales. Esto establece reglas para cuando se comparten datos con terceros.

La presente Resolución nos plantea una obligación en concreta: Verificar que el tercero al que se transfieran los datos personales esté en el listado de países y entidades que cumplan con el nivel adecuado de protección conforme a la normativa vigente. Esta lista se encuentra publicada en la página de la SPDP.

Si el tercero no consta en el listado de nivel adecuado, el responsable deberá implementar garantías adecuadas, como las cláusulas contractuales tipo reconocidas por la SPDP, las cuales constan en el Anexo I de la norma referida.

Caso especial para Grupos Empresariales (Holdings): Si transfieren datos entre empresas del mismo grupo en diferentes países, pueden usar «Normas Corporativas Vinculantes» (reglas internas del grupo) para facilitar el flujo de datos sin firmar un contrato por cada transferencia, siempre que estas normas sean aprobadas por la SPDP.

5. Obligación de aplicar el Modelo Técnico de Gran Escala (MTGE) para determinar si el tratamiento califica a gran escala.

Antes era subjetivo definir qué es «Gran Escala». Ahora existe una calculadora oficial: el Modelo Técnico de Gran Escala (MTGE).

La Nueva Obligación: Debemos aplicar una fórmula matemática que suma puntos en base a 6 variables:

  1. Número de personas afectadas.
  2. Volumen.
  3. Sensibilidad de los datos (ej. salud, biométricos).
  4. Frecuencia (¿es diario o una sola vez?).
  5. Permanencia (¿cuánto tiempo guardo el dato?).
  6. Alcance geográfico (¿local, nacional o mundial?).

El Resultado:

  • Si la suma es 6 puntos o más: Se considera oficialmente «Gran Escala».
  • Consecuencia: Esto da apertura a nuevas obligaciones, como realizar una Evaluación de Impacto obligatoria. Este cálculo debe constar en su Registro de Actividades (RAT).

Conclusión:

Las recientes resoluciones y respuestas a consultas de la Superintendencia de Protección de Datos Personales muestran que la autoridad está en una fase activa de regulación y control. Ya no son solo guías generales, sino obligaciones concretas que deben documentarse, implementarse y probarse si se pide.

Por eso, las organizaciones que manejan datos personales deben integrar estas obligaciones en su gobernanza corporativa: revisar políticas, registros, bases legales, contratos y modelos de transferencia