Superintendencia de Protección de Datos Personales exige evaluación de ponderación

Nueva obligación para los responsables, la Superintendencia de Protección de Datos Personales exige evaluación de ponderación documentada antes de invocar el interés legítimo

La Superintendencia de Protección de Datos Personales (SPDP) expidió la Resolución N.º SPDPSPD-2025-0041-R, publicada el 7 de noviembre de 2025, mediante la cual se emite la Normativa general para la aplicación del interés legítimo como base de legitimación para el tratamiento de datos personales dentro del territorio de la República del Ecuador.

Cabe recordar que el interés legítimo constituye una de las bases de legitimación que permite al responsable del tratamiento, ya sea persona natural o jurídica, tratar datos personales sin necesidad de obtener previamente el consentimiento del titular. Tanto la Ley Orgánica de Protección de Datos Personales como su Reglamento General ya contemplaban esta figura, estableciendo que debía ser lícita, proporcional, transparente, informada y necesaria, conforme a los principios generales previstos en la normativa vigente. En esa misma línea, el Reglamento disponía que “en el caso de que sea necesario satisfacer un interés legítimo del responsable del tratamiento o de un tercero interesado, se aplicará la regla de ponderación”, la cual debía realizarse mediante una evaluación meticulosa que atendiera factores como la necesidad, la proporcionalidad y las consecuencias reales o potenciales derivadas del tratamiento. No obstante, el reglamento se limitaba a enunciar la obligación de ponderar, sin detallar los criterios o el procedimiento que debía observarse.

Por otro lado, hasta antes de esta resolución, la realización de una evaluación de ponderación no constituía una obligación expresa; ahora, con la normativa emitida, se introduce una metodología obligatoria de evaluación de ponderación, con carácter previo y documentado, como requisito indispensable para invocar el interés legítimo. Esta evaluación no es meramente declarativa, sino que exige una justificación escrita, motivada y trazable, sustentada en evidencias que demuestren que el tratamiento proyectado es proporcional, necesario y compatible con las expectativas razonables del titular. Con ello, la autoridad convierte al interés legítimo en una base de legitimación sujeta a control técnico y verificable, eliminando la discrecionalidad con que tradicionalmente podía interpretarse este fundamento.

Asimismo, la resolución dispone que el interés legítimo solo puede ser aplicado en el sector privado, excluyendo expresamente a las entidades públicas. Requiere además que el interés invocado sea real, concreto y demostrable, y no una posibilidad futura. Este parámetro marca una diferencia sustancial respecto del texto de la LOPDP y su reglamento, al exigir que el interés esté vinculado a una necesidad actual y comprobable, dentro de las finalidades del responsable del tratamiento.

Adicionalmente, la Superintendencia ha optado por un enfoque práctico ya que, brinda a los responsables un modelo concreto que contiene una metodología estandarizada para la evaluación de ponderación, incluida en el Anexo 1 de la resolución. Esta metodología se estructura en cinco etapas: idoneidad, necesidad, ponderación, medidas de seguridad, conclusión y resultado que deberán ser desarrolladas en cada caso, con documentación probatoria y conservación de registros durante un mínimo de cinco años.

Por otro lado, la norma establece que en los casos para tratamientos de bajo riesgo, se podrá realizar una evaluación de ponderación simplificada; sin embargo, en caso de que la SPDP, en ejercicio de sus facultades de control, determine que un responsable ha aplicado una evaluación de ponderación simplificada en tratamientos de datos personales de riesgo medio, alto o crítico con el propósito de evadir el cumplimiento de la norma, tal actuación será considerada una infracción grave y se sancionará con la máxima multa prevista en el régimen sancionatorio vigente.

Por otra parte, la normativa establece supuestos en los que puede aplicarse el interés legítimo como base de legitimación. En primer lugar, se admite el tratamiento de datos personales con fines de mercadotecnia directa, siempre que no se involucren datos sensibles, ni de menores de edad, y que la comunicación esté dirigida exclusivamente a personas con quienes el responsable mantenga o haya mantenido una relación contractual previa, o respecto de las cuales exista una expectativa razonable de contacto. El responsable deberá informar de manera clara al titular sobre el uso de sus datos y garantizar mecanismos visibles y gratuitos para ejercer el derecho de oposición. Además, se permite la segmentación y elaboración de perfiles con fines de mercadotecnia, siempre que no produzcan efectos jurídicos significativos ni vulneren los derechos del titular.

También se autoriza el tratamiento de datos personales para la prevención y detección de fraudes, lavado de activos, financiamiento del terrorismo y delitos conexos, limitándose a la información estrictamente necesaria para identificar o reportar operaciones sospechosas. En el caso de datos crediticios, el tratamiento deberá ajustarse a la normativa sectorial aplicable.

Otro supuesto admisible corresponde a la comunicación interna de datos personales dentro de grupos empresariales, siempre que se acredite formalmente la existencia del grupo mediante documentos verificables, tales como certificaciones de actos societarios, nóminas de accionistas, declaraciones del representante legal respaldadas por registros mercantiles o cualquier otro documento que demuestre control directo o indirecto. La resolución exige que las transferencias o comunicaciones se limiten estrictamente a los datos necesarios para la ejecución de gestiones legítimas, como procesos de auditoría, control interno, servicios corporativos compartidos o administración financiera.

En este ámbito, la SPDP hace especial énfasis en la transparencia hacia el titular. El responsable del tratamiento debe garantizar que la persona conozca claramente cómo circulan sus datos dentro del grupo empresarial, explicando el flujo de datos dentro de la organización y las finalidades específicas que lo motivan. Asimismo, el titular debe ser informado, de manera previa y accesible, sobre las finalidades del tratamiento, la identidad de los responsables y encargados involucrados, las medidas de seguridad aplicables y los mecanismos disponibles para ejercer sus derechos.

Asimismo, se contempla la posibilidad de tratar datos personales con fines de seguridad de redes y sistemas tecnológicos, siempre que se adopten medidas de ciberseguridad proporcionales a los riesgos identificados y que se apliquen los principios de privacidad desde el diseño y por defecto. De igual modo, se autoriza el uso del interés legítimo para la implementación de sistemas de videovigilancia exclusivamente con finalidades de seguridad de personas, bienes o instalaciones, siempre que se respeten los principios de necesidad y proporcionalidad. No obstante, se prohíbe expresamente la grabación de audio y la videovigilancia en zonas que comprometan la intimidad o privacidad, tales como baños, vestidores o comedores.

En contraste con lo anterior, la resolución establece prohibiciones taxativas. No podrá invocarse el interés legítimo para el tratamiento de datos sensibles ni de categorías especiales de datos personales, salvo que resulte estrictamente indispensable, se adopten medidas reforzadas de seguridad y la evaluación de ponderación garantice plenamente los derechos de los titulares. Tampoco podrá utilizarse esta base de legitimación para la elaboración de perfiles automatizados que generen efectos jurídicos significativos o afecten de forma grave los derechos de las personas, salvo de manera excepcional en los sectores financiero, bancario y de seguros, y únicamente cuando se cuente con supervisión humana y mecanismos de oposición efectivos.

De igual modo, queda vedada su aplicación respecto del tratamiento de datos de niñas, niños y adolescentes, salvo que exista una justificación expresa vinculada al interés superior del menor, debidamente documentada en la evaluación de ponderación o, cuando corresponda, en una evaluación de impacto.

Con estas disposiciones, la Superintendencia delimita con precisión los casos en que el interés legítimo puede ser invocado por los responsables del tratamiento, frente a posibles abusos de esta base de legitimación. Cabe destacar que, dentro de esta nueva obligación impuesta a los responsables, se establece que toda evaluación de ponderación debe conservarse y mantenerse disponible tanto en formato físico como digital, a fin de garantizar su revisión por parte de la Superintendencia de Protección de Datos Personales y del propio titular cuando este lo solicite.

Nueva obligación para los responsables, la Superintendencia de Protección de Datos Personales exige evaluación de ponderación documentada antes de invocar el interés legítimo

2 de marzo de 2026Norma para el establecimiento de las medidas mínimas de seguridad para la operación y funcionamiento de las oficinas, puntos de atención y cualquier otro de las entidades del sistema financiero nacional

2 de marzo de 2026Reglamento General a la Ley Orgánica de Prevención, Detección y Combate del Delito de Lavado de Activos y de la Financiación de Otros Delitos

27 de febrero de 2026Cuestionamiento de un acta de mediación vía acción de protección

20 de febrero de 2026Boletín Legal - Área bancaria

13 de febrero de 2026Presentación de Información de Socios o Accionistas Extranjeros de las Compañías sujetas al Control de la Ley de Compañías

Let’s Talk