El pasado 1 de mayo, la Superintendencia de Protección de Datos Personales (SPDP) de Ecuador marcó un hito significativo en la implementación de la Ley Orgánica de Protección de Datos Personales (LOPDP) y su reglamento, al emitir cuatro resoluciones que buscan, de manera proactiva y demostrada, mejorar la gestión y el control de los datos personales en el país.
En Ecuador, al igual que en muchos otros países, la protección de los datos personales de los ciudadanos ha cobrado una importancia creciente. La Superintendencia de Protección de Datos Personales, dirigida por su máxima autoridad Fabrizio Peralta Díaz, se ha establecido como la entidad reguladora clave encargada de velar por el cumplimiento de la normativa en esta materia y de fortalecer los derechos de los ciudadanos. En este contexto, la emisión de cuatro resoluciones clave por parte de la Superintendencia representa un avance significativo en la consolidación de un marco de protección de datos más robusto en el país que favorece la transparencia y el cumplimiento de los derechos ciudadanos en el ámbito digital.
1. Resolución N.º SPDP-SPP-2025-0003-R: Guía de Gestión de Riesgos y Evaluación de Impacto
Con esta resolución, la SPDP aprobó una guía que establece metodologías obligatorias para el análisis de riesgos y la evaluación de impacto en el tratamiento de datos personales. El Capítulo I de la guía es obligatorio y busca garantizar que los datos sean tratados de manera responsable y conforme a los principios de la LOPDP. Además, se exige una revisión anual para asegurar su mejora continua.
Por ejemplo, si una empresa almacena datos como números de pasaporte o registros médicos, debe aplicar metodologías para identificar posibles riesgos, como tratamientos sin base legal, incumplimiento de finalidades o accesos no autorizados, y tomar medidas preventivas o mitigantes. Asimismo, establece la obligatoriedad de realizar evaluaciones de impacto para aquellos tratamientos que presenten un mayor riesgo para los derechos y libertades de las personas,
2. SPDP-SPP-2025-0005-R: Reglamento para la Elaboración del Plan Anual de Auditorías
La segunda resolución establece un reglamento para la elaboración y aprobación del Plan Anual de Auditorías (PAA), el cual define los procedimientos y criterios para auditar a los actores que tratan datos personales. Este reglamento, diseñado para garantizar la transparencia, incluye la publicación de un Boletín Informativo y especifica el contenido mínimo que debe tener el Plan Anual de Auditorias. La elaboración de dicho Plan la realiza la Intendencia de Control y Sanción de la SPDP y la aprueba el Superintendente.
Un ejemplo práctico sería la selección de sectores prioritarios para auditar, basándose en el volumen y la sensibilidad de los datos que manejan.
3. Resolución N.º SPDP-SPP-2025-0004-R: Programa Profesionalizante para Delegados de Protección de Datos
En un esfuerzo por profesionalizar a quienes supervisan el cumplimiento de la LOPDP, la SPDP emitió un reglamento que establece la creación de programas de formación para Delegados de Protección de Datos. Estos programas, que solo podrán ser ofrecidos por Instituciones de Educación Superior, incluirán formación en derecho, tecnologías de la información y sistemas de gestión de riesgos en derechos y libertades individuales.
Por ejemplo, un delegado capacitado bajo este programa podría ser responsable de revisar las políticas de protección de datos de una empresa y garantizar su cumplimiento legal.
4. Resolución N.º SPDP-SPP-2025-0006-R: Cláusulas de Protección de Datos en Contratos
La última resolución establece la obligación de incluir cláusulas específicas de protección de datos personales en documentos contractuales que regulen relaciones en las que se realice tratamiento de datos personales. Estas cláusulas deben garantizar el respeto a los principios de la LOPDP y evitar defectos como ambigüedad, falta de legitimación o insuficiencia en la forma de facilitar el acceso de las personas a recibir atención a sus derechos, entre otros. Se incluye un anexo con varias cláusulas modelo.
Por ejemplo, un contrato de servicios podría incluir cláusulas que estipulen que los datos personales de los clientes solo serán utilizados para el propósito o finalidad específica.
La emisión de estas resoluciones marca un hito importante en el desarrollo de una cultura de protección de datos personales en Ecuador. Reflejan el compromiso del Superintendente de Protección de Datos Personales por garantizar que los derechos de los ciudadanos estén protegidos en todos los sectores y fortalece la transparencia y la responsabilidad de las personas naturales, jurídicas, públicas o privadas con o sin finalidad de lucro que en su gestión ordinaria realizan tratamiento de datos personales.
Al fortalecer los mecanismos de consentimiento; la necesidad de medidas de administrativas, organizativas, jurídicas, técnicas y tecnológicas; el análisis de riesgos, la evaluación de impacto de forma obligatoria; y, la supervisión interna a través de los delegados de protección de datos personales; se contribuye a una mayor transparencia en el tratamiento de datos, a una mayor capacidad de los ciudadanos para ejercer sus derechos y a una mayor rendición de cuentas por parte de las organizaciones que manejan información personal.
Todos los integrantes del sistema de gestión de datos personales: responsables, corresponsables, encargados, terceros, destinatarios, delegados de protección de datos y en especial, los titulares de datos personales, es decir cada una de las personas que entrega su información para recibir bienes o servicios, están invitados a informarse más sobre el contenido de estas resoluciones que consolidan la implementación efectiva de la LOPDP y representan un avance significativo hacia la construcción de una sociedad digital más segura y ética.
Los documentos completos están disponibles para consulta en el sitio oficial de la Superintendencia: https://spdp.gob.ec/resoluciones_spdp/