El Uso de la Inteligencia Artificial (IA) y el Tratamiento de Datos Personales en el Ecuador

El vertiginoso avance de la IA ha transformado la gestión de la información global, y Ecuador no es la excepción. La proliferación de algoritmos de aprendizaje automático, el procesamiento de lenguaje natural y la automatización de procesos plantean profundos desafíos éticos y legales en relación con el derecho a la privacidad.

La Estrategia para el Fomento del Desarrollo y Uso Ético y Responsable de la Inteligencia Artificial en el Ecuador (EFIA-EC), oficializada a inicios de 2026 por el Ministerio de Telecomunicaciones y de la Sociedad de la Información, marca un hito en la política digital del país con una proyección de ejecución a cuatro años.

Para alcanzar un ecosistema digital competitivo y seguro, la EFIA-EC se articula en tres ejes esenciales: Gobernanza, Capacidad y Tecnología, y Adopción y Desarrollo.

En el mes de febrero, se dictó la Norma General para la Garantía del Derecho de Protección de Datos Personales en el Uso de Sistemas de Inteligencia Artificial emitida por parte de la Superintendencia de Protección de Datos Personales (SPDP ) mediante la Resolución N° SPDP-SPD-2026-0009-R, para equilibrar el fomento de la innovación tecnológica con el respeto irrestricto a los derechos fundamentales de los ciudadanos ecuatorianos.

El numeral 19 del artículo 66 de la Carta Magna garantiza a los ciudadanos el derecho a la protección de datos de carácter personal, otorgándoles la potestad de decidir sobre el acceso, uso y destino de su información económica, social o privada.

La SPDP, creada bajo el amparo de la Ley Orgánica de Protección de Datos Personales (LOPDP), funge como el organismo técnico de control y vigilancia encargado de garantizar que las actividades digitales se sujeten al ordenamiento jurídico.

La norma establece un principio de obligatoriedad riguroso, aplicando sus directrices a cualquier responsable o encargado del tratamiento que desarrolle, entrene, implemente o provea sistemas de IA dirigidos a titulares ecuatorianos.

Para atribuir responsabilidades jurídicas claras, la normativa técnica segmenta el ecosistema de la IA en cuatro figuras operativas diferenciadas; los desarrolladores, encargados del diseño y creación original del sistema ; los despegadores, que ejecutan la prestación de servicios a través de la IA ; los distribuidores, responsables de la comercialización dentro de la cadena de suministro ; y los implementadores, que configuran la IA en procesos internos corporativos o públicos.

En este sentido, una arquitectura de IA que procese datos personales en el país debe ceñirse estrictamente a los principios de la LOPDP, entre ellos la lealtad, transparencia, finalidad y minimización.

El principio de minimización adquiere especial relevancia en la IA, puesto que obliga a los ingenieros de datos a restringir el volumen de entrenamiento al estrictamente necesario para el fin específico.

El principio de confidencialidad y exactitud técnica evita que los modelos de aprendizaje profundo perpetúen sesgos cognitivos o manejen datos desactualizados que perjudiquen al usuario.

Los responsables técnicos están obligados a proveer mecanismos que garanticen la supervisión humana, la explicabilidad del algoritmo y el derecho a la impugnación u oposición por parte del ciudadano afectado.

Uno de los requisitos más exigentes de la norma es la obligatoriedad de realizar una gestión de riesgos y una evaluación de impacto de manera previa al desarrollo técnico o entrenamiento de cualquier IA.

La evaluación de impacto se define como un análisis preventivo de naturaleza puramente técnica mediante el cual el responsable valora los impactos reales del tratamiento y define salvaguardas.

El Reglamento General de la LOPDP y la norma secundaria de IA exigen la adopción permanente de medidas técnicas, jurídicas, administrativas y organizativas idóneas.

Los conceptos de privacidad desde el diseño y por defecto obligan a configurar los sistemas de IA para que, mediante ajustes predeterminados, solo procesen los datos estrictamente necesarios para su finalidad específica.

Las organizaciones deben aplicar mecanismos avanzados como la anonimización, la seudonimización y el cifrado robusto de los datos de entrenamiento, garantizando que la información no sea accesible de forma automatizada a un número indefinido de personas.

La transparencia corporativa se materializa a través de la inclusión explícita de los procesos de IA dentro del Registro de Actividades de Tratamiento (RAT) de cada entidad.

Las empresas, organizaciones o instituciones del sector público que incumplan con estas directrices técnicas se exponen a las sanciones de gravedad económica y administrativa legalmente previstas en el régimen sancionatorio de la LOPDP.

La expedición de la Norma General para la Garantía del Derecho de Protección de Datos Personales en el Uso de Sistemas de IA constituye un hito fundamental en el desarrollo digital del Ecuador.

Al integrar las recomendaciones de la Red Iberoamericana de Protección de Datos (RIPD) y de la UNESCO, el marco regulatorio ecuatoriano se posiciona en una línea de compatibilidad global, dotando al país de coherencia técnica y legitimidad internacional.

Para cumplir con las exigencias normativas vigentes en el 2026, las entidades públicas y privadas ecuatorianas deben dar un paso urgentemente hacia una cultura de responsabilidad proactiva y demostrada.

En última instancia, la gobernanza efectiva de la IA en Ecuador dependerá de la capacidad de los responsables para fusionar el desarrollo de software de vanguardia con los principios inalienables de la privacidad humana.