Nueva normativa fortalece la protección en Ecuador – Resolución N° SPDP-SPD-2025-0024-R
En la era digital, la información personal es un activo valioso y su protección, un derecho fundamental. En este contexto, la Superintendencia de Protección de Datos Personales (SPDP) ha emitido la Resolución N° SPDP-SPD-2025-0024-R. Esta normativa es crucial para establecer la correcta aplicación de la Ley Orgánica de Protección de Datos Personales (LOPDP) y su Reglamento, especialmente en lo que respecta a las transferencias o comunicaciones de datos personales, tanto dentro como fuera del Ecuador.
Esta Resolución se fundamenta en el derecho constitucional a la protección de datos personales, reconocido en el artículo 66, numeral 19 de la Constitución de la República del Ecuador. Además, la SPDP, como organismo técnico de vigilancia y control, tiene la atribución de emitir normativa general o técnica para garantizar este derecho. La elaboración de esta resolución fue un proceso que incluyó informes técnicos, validación jurídica y un período de socialización pública entre el 30 de abril y el 30 de mayo de 2025, para recoger observaciones y aportes de la ciudadanía.
La Resolución N° SPDP-SPD-2025-0024-R, suscrita por el Superintendente de Protección de Datos Personales, Fabrizio Peralta-Díaz, el 25 de julio de 2025, busca establecer pautas claras para el manejo de datos personales. Su Artículo 1 especifica que tiene como objeto la correcta aplicación de los capítulos de la LOPDP y su Reglamento relacionados con las transferencias o comunicaciones de datos personales.
Esta normativa es aplicable a todos los integrantes del sistema de protección de datos personales que realicen transferencias o comunicaciones de datos personales. Estos integrantes incluyen al titular de los datos, el responsable del tratamiento, el encargado del tratamiento, el destinatario, la Autoridad de Protección de Datos Personales y el delegado de protección de datos personales.
Uno de los puntos más relevantes de la Resolución es la aclaración sobre la aplicación de los Capítulos V y IX de la LOPDP. El Capítulo V de la LOPDP regula las «Transferencia o Comunicación y Acceso a Datos Personales por Terceros”, mientras que el Capítulo IX se denomina «Transferencia o Comunicación Internacional de Datos Personales». La Resolución establece explícitamente que el Capítulo V regula las relaciones jurídicas relacionadas con transferencias de datos tanto a nivel nacional como internacional, y que las disposiciones del Capítulo IX deben aplicarse de forma concordante con todas las disposiciones del Capítulo V.
En la práctica, esto significa que toda comunicación o transferencia internacional de datos personales deberá aplicar obligatoriamente las disposiciones de ambos capítulos, el V y el IX de la LOPDP. Además, en estos casos de transferencias internacionales, también deberán aplicarse de forma concordante los capítulos V y XII del Reglamento General de la LOPDP.
Es importante recordar que, según el Reglamento de la LOPDP, la transferencia o comunicación de datos personales a un tercero o encargado requiere el consentimiento del titular, a menos que los datos hayan sido disociados o se hayan utilizado mecanismos de cifrado robustos. No se considera transferencia cuando un encargado accede a datos personales para prestar un servicio al responsable del tratamiento, pero dicho acceso debe estar regulado por un contrato que especifique que los datos solo serán tratados según las instrucciones del responsable y no se utilizarán para fines diferentes o se transferirán a otras personas. Una vez cumplida la prestación contractual, los datos deben ser destruidos o devueltos al responsable.
Para las transferencias internacionales, la LOPDP prevé la posibilidad de transferir datos a países, organizaciones o personas jurídicas que ofrezcan niveles adecuados de protección, lo cual es declarado por la Autoridad de Protección de Datos Personales mediante resolución motivada. En ausencia de un nivel adecuado de protección, se requieren «garantías adecuadas» para el titular, como instrumentos jurídicamente vinculantes o normas corporativas vinculantes aprobadas por la Autoridad.
La Resolución N° SPDP-SPD-2025-0024-R representa un hito en la protección de datos personales en Ecuador, al brindar claridad sobre la aplicación de la normativa existente en el ámbito de las transferencias de datos. Al unificar y reforzar la aplicación de los Capítulos V y IX de la LOPDP, así como los capítulos relacionados de su Reglamento, se busca asegurar un nivel de protección homogéneo y robusto para tu información personal, tanto a nivel nacional como internacional. Esta medida contribuye a generar mayor confianza en el manejo de datos y refuerza el compromiso del país con la privacidad digital de sus ciudadanos.
Evita futuros inconvenientes, estamos para solventar tus inquietudes. En caso de requerir asesoría para la aplicación de los cambios en la normativa, estamos para servirte.
DURINI & GUERRERO ABOGADOS