{"id":4619,"date":"2026-02-09T21:42:03","date_gmt":"2026-02-10T03:42:03","guid":{"rendered":"https:\/\/www.dgalegal.com\/?p=4619"},"modified":"2026-02-10T07:49:10","modified_gmt":"2026-02-10T13:49:10","slug":"noticia-juridica-proteccion-de-datos-personales","status":"publish","type":"post","link":"https:\/\/www.dgalegal.com\/en\/noticia-juridica-proteccion-de-datos-personales\/","title":{"rendered":"NOTICIA JUR\u00cdDICA – Protecci\u00f3n de Datos Personales"},"content":{"rendered":"
\"\"<\/figure>\n\n\n

Actualizaciones clave | Febrero 2026<\/strong>
SPDP: Resoluciones SPDP-SPD-2026-0003-R, 0004-R, 0005-R y Oficio SPDP-IRD-2026-0028-O<\/strong><\/h4>\n\n\n\n

Elaborado por: David Morillo (Abogado) – Durini & Guerrero Abogados<\/strong><\/p>\n\n\n\n

Uso empresarial – Informativo (no constituye asesor\u00eda legal)<\/em><\/p>\n\n\n\n

Durante enero y febrero de 2026, la Superintendencia de Protecci\u00f3n de Datos Personales (SPDP) emiti\u00f3 tres normas generales y un pronunciamiento (absoluci\u00f3n de consulta) que impactan el cumplimiento corporativo de la Ley Org\u00e1nica de Protecci\u00f3n de Datos Personales (LOPDP) y su Reglamento. Este bolet\u00edn consolida los principales cambios y aterriza acciones pr\u00e1cticas para empresas.<\/p>\n\n\n\n

1. Actividades familiares o dom\u00e9sticas en entornos digitales (Resoluci\u00f3n SPDP-SPD-2026-0003-R)<\/h4>\n\n\n\n

La norma general aclara el alcance de la excepci\u00f3n por actividades familiares o dom\u00e9sticas en entornos digitales y establece criterios para determinar cu\u00e1ndo un tratamiento deja de ser \u201cdom\u00e9stico\u201d y puede quedar sujeto a control y sanci\u00f3n administrativa.<\/p>\n\n\n\n

1.1 Definiciones relevantes<\/h5>\n\n\n\n
    \n
  • \u201cDifusi\u00f3n p\u00fablica\u201d: puesta a disposici\u00f3n de datos a un n\u00famero indefinido de personas, sin restricci\u00f3n de visualizaci\u00f3n.<\/li>\n\n\n\n
  • \u201cEntorno digital dom\u00e9stico\u201d: entorno digital controlado por una persona natural para uso personal, familiar o dom\u00e9stico, sin finalidad comercial.<\/li>\n<\/ul>\n\n\n\n
    1.2 Criterios para perder el car\u00e1cter dom\u00e9stico<\/h5>\n\n\n\n

    El tratamiento se considera fuera del \u00e1mbito dom\u00e9stico, entre otros, cuando:<\/p>\n\n\n\n

      \n
    • Existe finalidad comercial o profesional del titular del tratamiento.<\/li>\n\n\n\n
    • Se realiza difusi\u00f3n p\u00fablica de datos, sin restricci\u00f3n de acceso.<\/li>\n\n\n\n
    • El tratamiento puede ocasionar un efecto nocivo o desproporcionado sobre los derechos del titular u otras personas.<\/li>\n<\/ul>\n\n\n\n
      1.3 Reforma al procedimiento de denuncias: enfoque escalonado<\/h5>\n\n\n\n

      La resoluci\u00f3n reforma el Reglamento del Procedimiento para la Sustanciaci\u00f3n de Denuncias y Reclamaciones Administrativas, incorporando una regla de \u201cescalamiento\u201d en casos calificados como dom\u00e9sticos: (i) el titular debe presentar primero una solicitud directa al responsable del tratamiento; (ii) si no obtiene respuesta o la respuesta es insatisfactoria, puede presentar requerimiento ante la SPDP, adjuntando el soporte de la gesti\u00f3n previa (p. ej., la solicitud y constancia de env\u00edo\/recepci\u00f3n).<\/p>\n\n\n\n

      1.4 Implicaciones pr\u00e1cticas para empresas<\/h5>\n\n\n\n
        \n
      • Pol\u00edticas internas y c\u00f3digo de conducta digital: ajustar lineamientos para uso de redes sociales y grupos, incluyendo tratamiento de datos de terceros.<\/li>\n\n\n\n
      • Gesti\u00f3n de incidentes reputacionales: documentar medidas de contenci\u00f3n cuando existan publicaciones masivas o con posible da\u00f1o a titulares.<\/li>\n\n\n\n
      • Canales de atenci\u00f3n a titulares: facilitar mecanismos de recepci\u00f3n y respuesta para solicitudes sobre contenidos que circulen en entornos digitales.<\/li>\n<\/ul>\n\n\n\n

        2. Transferencias o comunicaciones nacionales e internacionales (Resoluci\u00f3n SPDP-SPD-2026-0004-R)<\/h4>\n\n\n\n

        La Norma General de Transferencias regula requisitos jur\u00eddicos y t\u00e9cnicos para transferir o comunicar datos personales dentro y fuera del Ecuador. Adem\u00e1s, establece obligaciones de transparencia y registro, y crea un r\u00e9gimen transitorio de regularizaci\u00f3n para transferencias internacionales previas.<\/p>\n\n\n\n

        2.1 Transferencias o comunicaciones nacionales: obligaciones base<\/h5>\n\n\n\n
          \n
        • Base de legitimaci\u00f3n: la transferencia debe sustentarse en una causa de licitud; cuando corresponda, debe existir consentimiento del titular.<\/li>\n\n\n\n
        • Seguridad: el responsable debe garantizar medidas de seguridad y exigirlas al destinatario, seg\u00fan la naturaleza de los datos y los riesgos.<\/li>\n\n\n\n
        • Roles: el destinatario de los datos asume la calidad de responsable respecto de los datos recibidos (sin perjuicio de las responsabilidades contractuales).<\/li>\n<\/ul>\n\n\n\n
          2.2 Transferencias internacionales: jerarqu\u00eda de mecanismos<\/h5>\n\n\n\n

          Para transferencias internacionales, la resoluci\u00f3n estructura una jerarqu\u00eda pr\u00e1ctica de mecanismos:<\/p>\n\n\n\n

            \n
          • Destino con nivel adecuado de protecci\u00f3n (seg\u00fan declaratoria\/reconocimiento aplicable).<\/li>\n\n\n\n
          • R\u00e9gimen especial Intra-CAN (Comunidad Andina), con requisitos espec\u00edficos.<\/li>\n\n\n\n
          • Garant\u00edas adecuadas: cl\u00e1usulas contractuales tipo, normas corporativas vinculantes, c\u00f3digos de conducta o certificaciones (seg\u00fan corresponda).<\/li>\n\n\n\n
          • Supuestos excepcionales (caso a caso), cuando sea aplicable y con la debida documentaci\u00f3n.<\/li>\n<\/ul>\n\n\n\n
            2.3 Registro y transparencia: obligaciones operativas<\/h5>\n\n\n\n
              \n
            • Registro de transferencias: obligaci\u00f3n de registrar transferencias o comunicaciones y reportarlas de manera individual o agrupada.<\/li>\n\n\n\n
            • Reporte previo: si se reporta de forma agrupada, debe informarse con al menos 10 d\u00edas de antelaci\u00f3n a la transferencia.<\/li>\n\n\n\n
            • Reporte anual: se reportar\u00e1 de manera consolidada en el primer trimestre de cada a\u00f1o (seg\u00fan reglas del instrumento).<\/li>\n<\/ul>\n\n\n\n
              2.4 R\u00e9gimen transitorio de regularizaci\u00f3n (12 meses)<\/h5>\n\n\n\n

              Para transferencias internacionales previas a la entrada en vigor de la norma, se establece un plazo de 12 meses para regularizarlas. El procedimiento incluye:<\/p>\n\n\n\n

                \n
              • Notificaci\u00f3n inicial: identificaci\u00f3n del responsable, categor\u00edas de datos, destinatarios, base de legitimaci\u00f3n, nivel de protecci\u00f3n del destinatario y\/o salvaguardas, entre otros datos.<\/li>\n\n\n\n
              • Plan de adecuaci\u00f3n: cronograma, responsable interno, medidas de regularizaci\u00f3n (contractuales, t\u00e9cnicas y organizativas) y hitos de cierre.<\/li>\n\n\n\n
              • Notificaci\u00f3n de avance: reporte del cumplimiento del plan.<\/li>\n\n\n\n
              • Notificaci\u00f3n final: cierre del proceso y evidencia de regularizaci\u00f3n.<\/li>\n<\/ul>\n\n\n\n

                Mientras se cumpla el procedimiento, la SPDP no aplicar\u00e1 sanci\u00f3n por la transferencia previa, salvo que identifique abuso del derecho o un riesgo grave.<\/p>\n\n\n\n

                2.5 Implicaciones pr\u00e1cticas para empresas<\/h5>\n\n\n\n
                  \n
                • Mapear flujos de datos y proveedores (cloud, n\u00f3mina, CRM, anal\u00edtica, soporte), distinguiendo transferencias internas, a encargados y a terceros.<\/li>\n\n\n\n
                • Actualizar contratos (DPA, anexos de seguridad, cl\u00e1usulas internacionales, subencargos) y conservar evidencias de evaluaci\u00f3n de garant\u00edas.<\/li>\n\n\n\n
                • Implementar gobierno de transferencias: registro, criterios de adecuaci\u00f3n\/garant\u00edas y un procedimiento de aprobaci\u00f3n de nuevas transferencias.<\/li>\n\n\n\n
                • Si existen transferencias internacionales hist\u00f3ricas sin soporte suficiente, preparar la regularizaci\u00f3n dentro del plazo transitorio.<\/li>\n<\/ul>\n\n\n\n

                  3. Tratamientos a gran escala (Resoluci\u00f3n SPDP-SPD-2026-0005-R)<\/h4>\n\n\n\n

                  La norma general crea el Modelo T\u00e9cnico de Gran Escala (MTGE) para identificar tratamientos a gran escala. Cuando el puntaje total alcance o supere el umbral, se activan obligaciones reforzadas y expectativas de evidencia (gobernanza, riesgos, auditor\u00edas).<\/p>\n\n\n\n

                  3.1 MTGE y umbral<\/h5>\n\n\n\n

                  El MTGE suma cuatro variables: (A) volumen de titulares; (B) volumen de datos tratados; (C) duraci\u00f3n\/conservaci\u00f3n; y (D) alcance geogr\u00e1fico. Cada variable se valora en 0, 1, 2 o 3 puntos. El tratamiento es \u201ca gran escala\u201d cuando el puntaje total es igual o superior a 6. Si existe zona de cruce entre rangos, se aplica el puntaje superior.<\/p>\n\n\n\n

                  Variable<\/strong><\/td>0 puntos<\/strong><\/td>1 punto<\/strong><\/td>2 puntos<\/strong><\/td>3 puntos<\/strong><\/td><\/tr>
                  A. Titulares<\/td>\u2264 1.000<\/td>1.001\u201310.000<\/td>10.001\u2013100.000<\/td>> 100.000<\/td><\/tr>
                  B. Datos<\/td>\u2264 3.000<\/td>3.001\u201330.000<\/td>30.001\u2013300.000<\/td>> 300.000<\/td><\/tr>
                  C. Duraci\u00f3n<\/td>< 1 a\u00f1o<\/td>1\u20133 a\u00f1os<\/td>3\u20135 a\u00f1os<\/td>> 5 a\u00f1os<\/td><\/tr>
                  D. Alcance<\/td>Local<\/td>Provincial<\/td>Nacional<\/td>Internacional<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
                  3.2 Obligaciones y plazos relevantes<\/h5>\n\n\n\n