Actualizaciones clave | Febrero 2026
SPDP: Resoluciones SPDP-SPD-2026-0003-R, 0004-R, 0005-R y Oficio SPDP-IRD-2026-0028-O

Elaborado por: David Morillo (Abogado) – Durini & Guerrero Abogados

Uso empresarial – Informativo (no constituye asesoría legal)

Durante enero y febrero de 2026, la Superintendencia de Protección de Datos Personales (SPDP) emitió tres normas generales y un pronunciamiento (absolución de consulta) que impactan el cumplimiento corporativo de la Ley Orgánica de Protección de Datos Personales (LOPDP) y su Reglamento. Este boletín consolida los principales cambios y aterriza acciones prácticas para empresas.

1. Actividades familiares o domésticas en entornos digitales (Resolución SPDP-SPD-2026-0003-R)

La norma general aclara el alcance de la excepción por actividades familiares o domésticas en entornos digitales y establece criterios para determinar cuándo un tratamiento deja de ser “doméstico” y puede quedar sujeto a control y sanción administrativa.

1.1 Definiciones relevantes
  • “Difusión pública”: puesta a disposición de datos a un número indefinido de personas, sin restricción de visualización.
  • “Entorno digital doméstico”: entorno digital controlado por una persona natural para uso personal, familiar o doméstico, sin finalidad comercial.
1.2 Criterios para perder el carácter doméstico

El tratamiento se considera fuera del ámbito doméstico, entre otros, cuando:

  • Existe finalidad comercial o profesional del titular del tratamiento.
  • Se realiza difusión pública de datos, sin restricción de acceso.
  • El tratamiento puede ocasionar un efecto nocivo o desproporcionado sobre los derechos del titular u otras personas.
1.3 Reforma al procedimiento de denuncias: enfoque escalonado

La resolución reforma el Reglamento del Procedimiento para la Sustanciación de Denuncias y Reclamaciones Administrativas, incorporando una regla de “escalamiento” en casos calificados como domésticos: (i) el titular debe presentar primero una solicitud directa al responsable del tratamiento; (ii) si no obtiene respuesta o la respuesta es insatisfactoria, puede presentar requerimiento ante la SPDP, adjuntando el soporte de la gestión previa (p. ej., la solicitud y constancia de envío/recepción).

1.4 Implicaciones prácticas para empresas
  • Políticas internas y código de conducta digital: ajustar lineamientos para uso de redes sociales y grupos, incluyendo tratamiento de datos de terceros.
  • Gestión de incidentes reputacionales: documentar medidas de contención cuando existan publicaciones masivas o con posible daño a titulares.
  • Canales de atención a titulares: facilitar mecanismos de recepción y respuesta para solicitudes sobre contenidos que circulen en entornos digitales.

2. Transferencias o comunicaciones nacionales e internacionales (Resolución SPDP-SPD-2026-0004-R)

La Norma General de Transferencias regula requisitos jurídicos y técnicos para transferir o comunicar datos personales dentro y fuera del Ecuador. Además, establece obligaciones de transparencia y registro, y crea un régimen transitorio de regularización para transferencias internacionales previas.

2.1 Transferencias o comunicaciones nacionales: obligaciones base
  • Base de legitimación: la transferencia debe sustentarse en una causa de licitud; cuando corresponda, debe existir consentimiento del titular.
  • Seguridad: el responsable debe garantizar medidas de seguridad y exigirlas al destinatario, según la naturaleza de los datos y los riesgos.
  • Roles: el destinatario de los datos asume la calidad de responsable respecto de los datos recibidos (sin perjuicio de las responsabilidades contractuales).
2.2 Transferencias internacionales: jerarquía de mecanismos

Para transferencias internacionales, la resolución estructura una jerarquía práctica de mecanismos:

  • Destino con nivel adecuado de protección (según declaratoria/reconocimiento aplicable).
  • Régimen especial Intra-CAN (Comunidad Andina), con requisitos específicos.
  • Garantías adecuadas: cláusulas contractuales tipo, normas corporativas vinculantes, códigos de conducta o certificaciones (según corresponda).
  • Supuestos excepcionales (caso a caso), cuando sea aplicable y con la debida documentación.
2.3 Registro y transparencia: obligaciones operativas
  • Registro de transferencias: obligación de registrar transferencias o comunicaciones y reportarlas de manera individual o agrupada.
  • Reporte previo: si se reporta de forma agrupada, debe informarse con al menos 10 días de antelación a la transferencia.
  • Reporte anual: se reportará de manera consolidada en el primer trimestre de cada año (según reglas del instrumento).
2.4 Régimen transitorio de regularización (12 meses)

Para transferencias internacionales previas a la entrada en vigor de la norma, se establece un plazo de 12 meses para regularizarlas. El procedimiento incluye:

  • Notificación inicial: identificación del responsable, categorías de datos, destinatarios, base de legitimación, nivel de protección del destinatario y/o salvaguardas, entre otros datos.
  • Plan de adecuación: cronograma, responsable interno, medidas de regularización (contractuales, técnicas y organizativas) y hitos de cierre.
  • Notificación de avance: reporte del cumplimiento del plan.
  • Notificación final: cierre del proceso y evidencia de regularización.

Mientras se cumpla el procedimiento, la SPDP no aplicará sanción por la transferencia previa, salvo que identifique abuso del derecho o un riesgo grave.

2.5 Implicaciones prácticas para empresas
  • Mapear flujos de datos y proveedores (cloud, nómina, CRM, analítica, soporte), distinguiendo transferencias internas, a encargados y a terceros.
  • Actualizar contratos (DPA, anexos de seguridad, cláusulas internacionales, subencargos) y conservar evidencias de evaluación de garantías.
  • Implementar gobierno de transferencias: registro, criterios de adecuación/garantías y un procedimiento de aprobación de nuevas transferencias.
  • Si existen transferencias internacionales históricas sin soporte suficiente, preparar la regularización dentro del plazo transitorio.

3. Tratamientos a gran escala (Resolución SPDP-SPD-2026-0005-R)

La norma general crea el Modelo Técnico de Gran Escala (MTGE) para identificar tratamientos a gran escala. Cuando el puntaje total alcance o supere el umbral, se activan obligaciones reforzadas y expectativas de evidencia (gobernanza, riesgos, auditorías).

3.1 MTGE y umbral

El MTGE suma cuatro variables: (A) volumen de titulares; (B) volumen de datos tratados; (C) duración/conservación; y (D) alcance geográfico. Cada variable se valora en 0, 1, 2 o 3 puntos. El tratamiento es “a gran escala” cuando el puntaje total es igual o superior a 6. Si existe zona de cruce entre rangos, se aplica el puntaje superior.

Variable0 puntos1 punto2 puntos3 puntos
A. Titulares≤ 1.0001.001–10.00010.001–100.000> 100.000
B. Datos≤ 3.0003.001–30.00030.001–300.000> 300.000
C. Duración< 1 año1–3 años3–5 años> 5 años
D. AlcanceLocalProvincialNacionalInternacional
3.2 Obligaciones y plazos relevantes
  • RAT: debe mantenerse actualizado; la norma prevé una actualización anual mínima y la revisión ante cambios relevantes del tratamiento.
  • Gestión de riesgos: se fortalecen expectativas sobre evaluaciones de impacto, controles y medidas de mitigación cuando corresponda.
  • Auditorías y reportes: se promueve evidencia periódica (interna o externa) para demostrar cumplimiento.
  • DPD: disposición transitoria fija 90 días para designación y registro, salvo sujetos ya obligados por el RGLOPDP.
3.3 Implicaciones prácticas para empresas
  • Calcular el MTGE por proceso/servicio (clientes, empleados, proveedores, videovigilancia, marketing, analítica).
  • Si el tratamiento califica: priorizar DPIA, matriz de riesgos, revisión de conservación/minimización y controles de acceso.
  • Alinear gobierno corporativo: comité, DPD, roles y responsabilidades, indicadores y repositorio de evidencias.

4. Oficio SPDP-IRD-2026-0028-O: deber de información y consentimiento

En absolución de consulta, la SPDP recuerda que el consentimiento (cuando sea la base legitimadora) debe ser libre, específico, informado e inequívoco y que el deber de información del artículo 12 de la LOPDP contiene un mínimo obligatorio de 17 elementos. La autoridad enfatiza que estos elementos no pueden omitirse de forma arbitraria y que solo podrían excluirse aquellos que, por la naturaleza del tratamiento, no sean aplicables.

4.1 Checklist mínimo del Art. 12 LOPDP (17 elementos)

Checklist para verificar avisos de privacidad, formularios, cláusulas y políticas:

Elemento mínimo (Art. 12)Evidencia / DocumentoObservaciones
1. Fines del tratamiento  
2. Base legal para el tratamiento  
3. Tipos de tratamiento  
4. Tiempo de conservación  
5. Existencia de una base de datos  
6. Origen de los datos (si no se obtuvieron del titular)  
7. Otras finalidades y tratamientos ulteriores  
8. Identidad y datos de contacto del responsable  
9. Identidad y datos de contacto del DPD (cuando aplique)  
10. Transferencias/comunicaciones (destinatarios/clases, finalidades y garantías)  
11. Consecuencias de entregar o negar los datos  
12. Efecto de suministrar datos erróneos o inexactos  
13. Posibilidad de revocar el consentimiento  
14. Derechos y forma de ejercerlos (acceso, eliminación, rectificación, oposición, etc.)  
15. Mecanismos para portabilidad (cuando se solicite)  
16. Dónde y cómo reclamar ante el responsable y la SPDP  
17. Valoraciones o decisiones automatizadas (incluidos perfiles)  

Plazos del deber de información: si los datos se obtienen directamente del titular, la información debe proporcionarse de forma previa (en la recogida). Si no se obtienen directamente o provienen de fuente accesible al público, el titular debe ser informado dentro de 30 días o en la primera comunicación, lo que ocurra primero.

Comentario final

Estas actualizaciones elevan el estándar de evidencia esperado por la autoridad: mapear transferencias, justificar mecanismos internacionales, y demostrar transparencia (Art. 12) y gobernanza (RAT, DPD, auditorías). Recomendamos priorizar un plan 30/60/90 días: (i) inventario de transferencias y proveedores; (ii) revisión de avisos/políticas y formularios; (iii) cálculo del MTGE por proceso; y (iv) cierre de brechas contractuales y de seguridad.

Referencias (APA 7)

  • Asamblea Nacional del Ecuador. (2021). Ley Orgánica de Protección de Datos Personales. Registro Oficial.
  • Presidencia de la República del Ecuador. (2023). Reglamento General a la Ley Orgánica de Protección de Datos Personales (Decreto Ejecutivo).
  • Superintendencia de Protección de Datos Personales. (2026, 26 de enero). Resolución No. SPDP-SPD-2026-0003-R: Norma general para el tratamiento de datos personales en actividades familiares o domésticas. [PDF].
  • Superintendencia de Protección de Datos Personales. (2026, 28 de enero). Resolución No. SPDP-SPD-2026-0004-R: Norma general de transferencias o comunicaciones nacionales e internacionales de datos personales. [PDF].
  • Superintendencia de Protección de Datos Personales. (2026, 2 de febrero). Resolución No. SPDP-SPD-2026-0005-R: Norma general sobre el tratamiento de datos personales a gran escala. [PDF].
  • Superintendencia de Protección de Datos Personales. (2026). Oficio No. SPDP-IRD-2026-0028-O (absolución de consulta).

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *