La Superintendencia de Protección de Datos Personales expide un nuevo reglamento para la gestión segura de tu información personal.

La protección de nuestros datos personales es un derecho fundamental garantizado por la Constitución del Ecuador. Para garantizar que este derecho se cumpla de manera efectiva, la Superintendencia de Protección de Datos Personales (SPDP) ha emitido una nueva resolución. Esta nueva normativa busca establecer reglas claras sobre cómo las organizaciones deben manejar nuestra información personal, especialmente cuando ya no es necesaria. El objetivo es brindar un marco normativo que fortalezca la confianza de los ciudadanos en la protección de sus datos.

La Resolución N° SPDP-SPD-2025-0030-R, emitida el 7 de agosto de 2025 por el Superintendente de Protección de Datos Personales, tiene como objetivo principal establecer los lineamientos para la aplicación de medidas como la seudonimización, anonimización, bloqueo y eliminación de datos personales. Esto se hace en concordancia con el ciclo de vida de los datos y para garantizar el ejercicio de los derechos establecidos en la Ley Orgánica de Protección de Datos Personales (LOPDP).

A continuación, te explicamos en detalle cada uno de estos conceptos clave del nuevo reglamento:

  • Seudonimización: Es un proceso que sustituye los datos personales por seudónimos, de forma que los datos no pueden atribuirse a un titular sin el uso de información adicional separada y protegida. Es una medida técnica que preserva la posibilidad de reidentificación de los datos personales bajo condiciones controladas y seguras. Por esta razón, los datos seudonimizados mantienen su estatus como datos personales y siguen sujetos a las obligaciones de la LOPDP. Se puede utilizar en la prestación de servicios, investigaciones científicas o estadísticas, auditorías internas y pruebas de sistemas. Es obligatorio que el responsable del tratamiento realice un análisis de gestión de riesgos antes de aplicar esta medida.
  • Anonimización: Esta es una medida de seguridad técnica que impide la identificación o reidentificación de una persona natural sin esfuerzos desproporcionados. El reglamento permite que todas las categorías de datos personales sean objeto de esta medida. La anonimización debe ser exhaustiva, considerando todos los atributos que podrían llevar a la reidentificación, incluso al combinarse con otra información. A diferencia de la seudonimización, si los datos personales están debidamente anonimizados, no se requiere del consentimiento del titular para su transferencia o comunicación. En el caso de datos de salud, se debe priorizar la anonimización siempre que sea posible, y todo tratamiento de datos de salud anonimizados requerirá la autorización previa de la SPDP.
  • Bloqueo: Es una medida técnica que inhabilita el acceso a los datos personales, de manera que no puedan ser tratados. Los datos bloqueados se conservan de forma segura y con acceso limitado y restringido, sirviendo como respaldo por el plazo determinado por la ley. La decisión de bloquear los datos tras el cumplimiento de la finalidad del tratamiento dependerá de la evaluación del riesgo y la necesidad de mantenerlos accesibles para otras finalidades legítimas.
  • Suspensión: Es la limitación temporal que, sin llevar a la eliminación de los datos personales, restringe o impide al responsable llevar a cabo nuevas actividades de tratamiento por un tiempo específico. El titular de los datos personales tiene la facultad de solicitar al responsable del tratamiento que detenga temporalmente una determinada actividad, y el responsable debe suspenderla en un plazo no mayor a tres días. El responsable solo podrá tratar los datos personales a pesar de la suspensión en casos de reclamaciones, para proteger los derechos de otra persona, por razones de interés público o por obligaciones legales.
  • Eliminación: Es la supresión definitiva de los datos personales de las bases de datos, de manera que ya no sean accesibles ni recuperables. Este derecho es aplicable a todas las categorías de datos personales, siempre que se cumplan los requisitos y procedimientos establecidos en la normativa vigente. El derecho de eliminación se extiende a los datos de personas fallecidas, y puede ser ejercido por los titulares de los derechos sucesorios. Si un titular ejerce este derecho, el responsable debe entregar un documento que acredite la eliminación de los datos de todos los repositorios físicos y/o digitales. Además, el responsable debe notificar a todos los encargados de tratamiento y terceros a quienes se les haya transferido o comunicado los datos, para que también los eliminen de sus sistemas.

La expedición de este nuevo reglamento representa un avance significativo en la protección de nuestros datos personales. Establece pautas claras para las empresas y organizaciones sobre cómo deben manejar la información, asegurando que se apliquen medidas de seguridad adecuadas y que nuestros derechos como titulares de datos sean respetados, incluso después de que la finalidad de su uso haya terminado. Esto tiene un impacto directo en la forma en que interactuamos con servicios que requieren nuestra información, ya que ahora existen normativas específicas que rigen cómo se debe proteger y eliminar nuestra información.

DURINI & GUERRERO ABOGADOS

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *