NOTICIA JURÍDICA No. 266

Ley de Compañías: SUSCRIPCIÓN DE CONTRATOS AUDITORES EXTERNOS

Conforme lo establecido en el artículo 321 de la Ley de Compañías, las sociedades sujetas a contratar auditoría externa tienen la obligación de designar a un auditor externo calificado con al menos 90 días de antelación al cierre del ejercicio económico.

Dado que el ejercicio económico concluye el 31 de diciembre de 2025, la contratación del auditor deberá efectuarse hasta el 30 de septiembre. Asimismo, la notificación del contrato a la Superintendencia de Compañías, Valores y Seguros (SCVS) debe efectuarse en el plazo de 30 días posteriores a su firma.

Cumplir con este requisito no solo garantiza que los informes se emitan a tiempo y con plena validez legal, sino que además evita la imposición de multas, la imposibilidad de registrar estados financieros, restricciones para participar en licitaciones públicas o contratar con el Estado, entre otras.

DURINI & GUERRERO ABOGADOS

NOTICIA JURÍDICA No. 265

el Acuerdo Ministerial Nro. MDT-2025-102 que contiene la “Norma para la prevención y atención a todo caso de discriminación, violencia y acoso laboral en el sector privado”.

Este acto normativo deroga el anterior Acuerdo sobre la materia (Nro. MDT-2020-244, emitido el 25 de noviembre de 2020) y entre las principales reformas podemos identificar las siguientes:

La norma establece la obligación del empleador de adecuar dos instrumentos para la prevención y atención de discriminación, violencia y acoso laboral:

  1. Protocolo Interno de Prevención y Erradicación de la discriminación, violencia y acoso laboral (en adelante, el “Protocolo”).
  • Programa de Prevención de Riesgos Psicosociales (en adelante, el “Programa”).

El registro en el SUT del Protocolo es obligatorio para todos los empleadores del sector privado.

Los empleadores que cuenten con once (11) trabajadores o más, deberán implementar el Programa, adecuando la prevención de riesgos psicosociales.

Los empleadores del sector privado tendrán hasta el 21 de octubre del 2025 para adecuar el Programa y el Protocolo.

Se establecen medidas concretas que el empleador debe tomar en caso de recibir una denuncia de acoso laboral tales como: separación física del presunto agresor y la presunta víctima o garantizar que las partes tengan acceso a la información del estado de la investigación.

El ámbito de aplicación del Protocolo y del Programa se amplía, pues se aclara que no solo abarca la protección de la mujer, sino que es aplicable a cualquier trabajador, independientemente de su género.

Se prohíbe que durante el proceso de selección de personal se consulte o requiera a los aspirantes: fotografías, pruebas de embarazo, identidad de género, religión, pasado judicial, actividades sindicales, estado civil, edad, pruebas de detección de enfermades y pólizas de seguro por enfermedades degenerativas o catastróficas.

Es importante que el empleador haya activado el Protocolo antes de que el trabajador interponga una denuncia por acoso ante el inspector de trabajo.

En caso de que la autoridad determine la existencia de acoso laboral cometido por parte de:

  1. el empleador, u
  2. otro trabajador

Se podrá iniciar el procedimiento administrativo de visto bueno en contra de quien corresponda.

Podemos concluir que el procedimiento de visto bueno solo se puede iniciar de forma posterior a la activación del Protocolo y a la resolución del Inspector del Trabajo como resultado de una denuncia por acoso, violencia o discriminación.

Se incluye a los trabajadores que desempeñen cargos de confianza o dirección como excepción al derecho de desconexión laboral digital.

Los incumplimientos a este acuerdo pueden ser sancionados por el Director Regional del Trabajo con multas desde mil cuatrocientos diez hasta nueve mil cuatrocientos dólares de los Estados Unidos de América.

DURINI & GUERRERO ABOGADOS

NOTICIA JURÍDICA No. 264

ACUERDO MINISTERIAL Nro. MDT-2025-083
AMPLIACIÓN DEL PLAZO PARA EL REGISTRO DE PLANES DE IGUALDAD EN EL SISTEMA ÚNICO DE TRABAJO (SUT)

Con fecha 30 de julio de 2025, el Ministerio del Trabajo expidió el Acuerdo Ministerial Nro. MDT-2025-083, mediante el cual se reforma el Acuerdo Ministerial Nro. MDT-2024-013, ampliando el plazo para que los empleadores obligados registren sus Planes de Igualdad ante el Ministerio del Trabajo.

Entre las principales disposiciones se destacan las siguientes:

I. Ampliación del plazo para el registro de Planes de Igualdad

  • Los empleadores del sector privado con 50 o más trabajadores en nómina deberán registrar su Plan de Igualdad hasta el 31 de diciembre de 2025, a través del Sistema Único de Trabajo (SUT).

II. Control y sanciones

  • Concluido el plazo, el Ministerio del Trabajo realizará procesos de control y aplicará sanciones en caso de incumplimiento.

III. Excepción para registros físicos previos

  • Los empleadores que ya hayan registrado sus Planes de Igualdad de forma física y cuenten con el documento de registro emitido por el Ministerio no deberán volver a registrarlos en el SUT, salvo que se desee realizar su actualización, conforme lo previsto en el artículo 9 del Acuerdo Ministerial Nro. MDT-2024-013.

DURINI & GUERRERO ABOGADOS

NOTICIA JURÍDICA No. 263

La Superintendencia de Protección de Datos Personales expide un nuevo reglamento para la gestión segura de tu información personal.

La protección de nuestros datos personales es un derecho fundamental garantizado por la Constitución del Ecuador. Para garantizar que este derecho se cumpla de manera efectiva, la Superintendencia de Protección de Datos Personales (SPDP) ha emitido una nueva resolución. Esta nueva normativa busca establecer reglas claras sobre cómo las organizaciones deben manejar nuestra información personal, especialmente cuando ya no es necesaria. El objetivo es brindar un marco normativo que fortalezca la confianza de los ciudadanos en la protección de sus datos.

La Resolución N° SPDP-SPD-2025-0030-R, emitida el 7 de agosto de 2025 por el Superintendente de Protección de Datos Personales, tiene como objetivo principal establecer los lineamientos para la aplicación de medidas como la seudonimización, anonimización, bloqueo y eliminación de datos personales. Esto se hace en concordancia con el ciclo de vida de los datos y para garantizar el ejercicio de los derechos establecidos en la Ley Orgánica de Protección de Datos Personales (LOPDP).

A continuación, te explicamos en detalle cada uno de estos conceptos clave del nuevo reglamento:

  • Seudonimización: Es un proceso que sustituye los datos personales por seudónimos, de forma que los datos no pueden atribuirse a un titular sin el uso de información adicional separada y protegida. Es una medida técnica que preserva la posibilidad de reidentificación de los datos personales bajo condiciones controladas y seguras. Por esta razón, los datos seudonimizados mantienen su estatus como datos personales y siguen sujetos a las obligaciones de la LOPDP. Se puede utilizar en la prestación de servicios, investigaciones científicas o estadísticas, auditorías internas y pruebas de sistemas. Es obligatorio que el responsable del tratamiento realice un análisis de gestión de riesgos antes de aplicar esta medida.
  • Anonimización: Esta es una medida de seguridad técnica que impide la identificación o reidentificación de una persona natural sin esfuerzos desproporcionados. El reglamento permite que todas las categorías de datos personales sean objeto de esta medida. La anonimización debe ser exhaustiva, considerando todos los atributos que podrían llevar a la reidentificación, incluso al combinarse con otra información. A diferencia de la seudonimización, si los datos personales están debidamente anonimizados, no se requiere del consentimiento del titular para su transferencia o comunicación. En el caso de datos de salud, se debe priorizar la anonimización siempre que sea posible, y todo tratamiento de datos de salud anonimizados requerirá la autorización previa de la SPDP.
  • Bloqueo: Es una medida técnica que inhabilita el acceso a los datos personales, de manera que no puedan ser tratados. Los datos bloqueados se conservan de forma segura y con acceso limitado y restringido, sirviendo como respaldo por el plazo determinado por la ley. La decisión de bloquear los datos tras el cumplimiento de la finalidad del tratamiento dependerá de la evaluación del riesgo y la necesidad de mantenerlos accesibles para otras finalidades legítimas.
  • Suspensión: Es la limitación temporal que, sin llevar a la eliminación de los datos personales, restringe o impide al responsable llevar a cabo nuevas actividades de tratamiento por un tiempo específico. El titular de los datos personales tiene la facultad de solicitar al responsable del tratamiento que detenga temporalmente una determinada actividad, y el responsable debe suspenderla en un plazo no mayor a tres días. El responsable solo podrá tratar los datos personales a pesar de la suspensión en casos de reclamaciones, para proteger los derechos de otra persona, por razones de interés público o por obligaciones legales.
  • Eliminación: Es la supresión definitiva de los datos personales de las bases de datos, de manera que ya no sean accesibles ni recuperables. Este derecho es aplicable a todas las categorías de datos personales, siempre que se cumplan los requisitos y procedimientos establecidos en la normativa vigente. El derecho de eliminación se extiende a los datos de personas fallecidas, y puede ser ejercido por los titulares de los derechos sucesorios. Si un titular ejerce este derecho, el responsable debe entregar un documento que acredite la eliminación de los datos de todos los repositorios físicos y/o digitales. Además, el responsable debe notificar a todos los encargados de tratamiento y terceros a quienes se les haya transferido o comunicado los datos, para que también los eliminen de sus sistemas.

La expedición de este nuevo reglamento representa un avance significativo en la protección de nuestros datos personales. Establece pautas claras para las empresas y organizaciones sobre cómo deben manejar la información, asegurando que se apliquen medidas de seguridad adecuadas y que nuestros derechos como titulares de datos sean respetados, incluso después de que la finalidad de su uso haya terminado. Esto tiene un impacto directo en la forma en que interactuamos con servicios que requieren nuestra información, ya que ahora existen normativas específicas que rigen cómo se debe proteger y eliminar nuestra información.

DURINI & GUERRERO ABOGADOS

NOTICIA JURÍDICA No. 262

REFORMA A LAS NORMAS DE ANULACIÓN DE COMPROBANTES ELECTRÓNICOS

RESOLUCIÓN NAC-DGERCGC25-00000017 – SRI

El Servicio de Rentas Internas (SRI), mediante Resolución NAC-DGERCGC25-00000014, estableció las normas para la anulación de comprobantes de venta, retención y documentos complementarios emitidos electrónicamente. Posteriormente, la Resolución NAC-DGERCGC25-00000017, publicada el 29 de julio de 2025, reformó dicha normativa, incorporando ajustes relevantes para su aplicación operativa y control tributario.

  1. Plazo para la anulación en línea

El plazo máximo para anular comprobantes electrónicos en línea se reduce de 10 días a 7 días del mes siguiente a la emisión.

  • Excepción por ISD

El nuevo plazo de 7 días no será aplicable a los comprobantes de retención relacionados con el Impuesto a la Salida de Divisas, conforme el articulo 26 del Reglamento correspondiente.

  • Anulación sin aceptación del receptor

Se permitirá la anulación automática de comprobantes en los siguientes casos:

  • Cuando el receptor tenga identificación extranjera o pasaporte.
  • Cuando el receptor conste como fallecido en el Registro Civil a la fecha de la solicitud.

En estos casos, no se requerirá aceptación del receptor para que proceda la anulación.

  • Anulación de oficio por el Servicio de Rentas Internas

Se incorpora una disposición que faculta a la Administración Tributaria a anular de oficio comprobantes de venta emitidos con la leyenda “consumidor final”, cuando se utilicen en transacciones bajo proceso de control por parte de los fedatarios fiscales.

  • Vigencia

Las reformas al articulo 3 referentes al plazo de anulación y al articulo 4 sobre la aceptación del receptor serán aplicables a los comprobantes emitidos desde el 01 de agosto de 2025.

El ultimo inciso del articulo 3 respecto de las excepciones por ISD y el numeral 2 de la Disposición Reformatoria Primera, entrarán en vigor a partir del 01 de enero del 2026.

Recomendación

Se recomienda a los contribuyentes y responsables de facturación electrónica:

  • Revisar y actualizar sus sistemas para ajustarse a los nuevos plazos.
  • Verificar los procedimientos de emisión y anulación conforme a los criterios establecidos.
  • Establecer controles internos para evitar errores en la emisión de comprobantes dirigidos a “consumidor final”.

DURINI & GUERRERO ABOGADOS

NOTICIA JURÍDICA No. 261

NUEVAS OBLIGACIONES DE REPORTE A LA UAFE

Resolución NAC-DGERCGC25-00000018

SERVICIO DE RENTAS INTERNAS

El Servicio de Rentas Internas (SRI) ha emitido la Resolución NAC-DGERCGC25-00000018, mediante la cual reforma las Resoluciones NAC-DGERCGC21-00000029 y NAC-DGERCGC21-00000011, incorporando nuevas disposiciones relacionadas con la obligación de reportar a la Unidad de Análisis Financiero y Económico (UAFE).

Puntos principales de la reforma

  1. Actualización del RUC

Ahora, en la información del certificado del RUC se deberá incluir si el contribuyente es o no sujeto obligado a reportar ante la UAFE.

  1. Suspensión de oficio del RUC

El SRI podrá suspender el RUC cuando el contribuyente, siendo sujeto obligado, no obtenga el Código de Registro ante la UAFE en un plazo de 30 días hábiles desde la apertura o actualización del RUC.

  1. Requisito adicional

Para reactivar el RUC suspendido en este caso, se deberá presentar el Certificado de Cumplimiento de Obligaciones emitido por la UAFE, que confirme la obtención del Código de Registro.

Esta medida tiene como objetivo, fortalecer los mecanismos de prevención, detección y combate del lavado de activos, la financiación del terrorismo y otros delitos, asegurando la transparencia y licitud de las operaciones económicas en el país.

Entrada en vigor

La resolución rige desde su publicación en el Registro Oficial.

DURINI & GUERRERO ABOGADOS

NOTICIA JURÍDICA No. 260

Reglas para la figura del Delegado de Protección de Datos Personales

La Superintendencia de Protección de Datos Personales (SPDP) ha emitido la Resolución N° SPDP-SPD-2025-0028-R, un documento clave que establece el Reglamento del Delegado de Protección de Datos Personales. Esta normativa tiene como objetivo principal regular las actividades de los delegados de protección de datos (DPO) en el ejercicio de sus funciones, asegurando que su labor se alinee con la Ley Orgánica de Protección de Datos Personales (LOPDP) y su reglamento general.

El reglamento busca clarificar y garantizar la independencia de los DPO, un aspecto fundamental para que puedan cumplir adecuadamente su rol de supervisión dentro de las organizaciones. Este delegado es la persona natural encargada de informar a la empresa sobre sus obligaciones legales en materia de protección de datos y de cooperar con la Superintendencia, sirviendo como punto de contacto entre la entidad y la autoridad de control.

La Resolución N° SPDP-SPD-2025-0028-R fue emitida el 30 de julio de 2025 por el Superintendente de Protección de Datos Personales, Fabrizio Peralta-Díaz. La normativa define los siguientes puntos clave:

Designación y Registro del DPO

  • El nombramiento del DPO debe ser realizado por el responsable o encargado del tratamiento de datos, ya sea una persona natural o una persona jurídica (pública o privada).
  • El nombramiento debe contener información detallada como la fecha de otorgamiento, datos del responsable (incluyendo RUC si aplica), datos del representante legal y del propio delegado.
  • Si el nombramiento es con firma electrónica, debe inscribirse en el portal web de la SPDP en un plazo de 15 días desde la designación. Si es con firma manuscrita, debe presentarse de manera presencial.
  • Se aceptarán nombramientos extemporáneos, pero esto se considerará un incumplimiento de una medida de seguridad de carácter jurídico.
  • La SPDP mantendrá una lista pública de delegados en su portal web, accesible para la ciudadanía.

Casos de Designación Obligatoria

Además de lo ya previsto en la LOPDP, la nueva normativa detalla las siguientes instituciones que están obligadas a nombrar un DPO:

  • Sector público: Todas las entidades del sector público deben designar un delegado de protección de datos. Aquellos que tengan un DPO de nivel jerárquico superior, tienen un plazo de dos meses para designar a una persona que cumpla con los requisitos de la normativa.
  • Sector privado: Se establece una lista específica de organizaciones, con o sin fines de lucro, que deben designar un DPO. Esto incluye instituciones educativas de todos los niveles, empresas financieras y de seguros, agencias de publicidad, entidades del sistema de salud (con excepción de profesionales independientes), establecimientos farmacéuticos, empresas de seguridad privada, federaciones deportivas, gremios profesionales, y proveedores de telecomunicaciones y servicios de videovigilancia o geolocalización.
  • Los responsables o encargados del tratamiento de datos del sector privado que deban contar con un DPO tienen un plazo desde el 1 de noviembre hasta el 31 de diciembre de 2025 para registrar sus nombramientos.

Requisitos, Prohibiciones y Conflicto de Intereses

  • El DPO debe mantener total independencia e imparcialidad en sus funciones.
  • Para ejercer, debe aprobar obligatoriamente el Programa Profesionalizante de Delegados de Protección de Datos oficializado por la SPDP. Esta exigencia entrará en vigencia a partir del 1 de enero de 2029.
  • El delegado tiene prohibido realizar funciones que comprometan su independencia, como tomar decisiones sobre la finalidad del tratamiento de datos, representar a la organización ante la SPDP, o ejercer simultáneamente cargos como oficial de seguridad o de cumplimiento.
  • No pueden ser nombrados como DPO las personas que ya sean oficiales de seguridad o cumplimiento, apoderados especiales de responsables extranjeros o personas en cargos del nivel jerárquico superior en el sector público.
  • Habrá conflicto de interés si el DPO participa en las actividades de tratamiento de datos, asesora a la organización para salvaguardar sus intereses (fuera de sus funciones de delegado) o toma decisiones sobre la gestión interna de la empresa.

Garantía de Independencia y Protección del DPO

  • Los responsables deben garantizar la independencia del DPO con recursos técnicos, financieros y humanos adecuados.
  • El DPO puede denunciar ante la SPDP cualquier situación que menoscabe su independencia o constituya una represalia. La SPDP investigará y, de ser necesario, impondrá sanciones al responsable o encargado.
  • La remoción, cese o sanción injustificada de un DPO será penalizada según el régimen sancionatorio de la LOPDP.

Esta resolución representa un paso fundamental en la consolidación de la protección de datos personales en el país. Al establecer reglas claras y detalladas para la figura del Delegado de Protección de Datos (DPO), la Superintendencia refuerza la independencia y la capacidad de esta figura clave para velar por los derechos de los ciudadanos. El cumplimiento de esta normativa es esencial para evitar sanciones y para demostrar un compromiso real con la seguridad de la información.

En caso de requerir asesoría para la aplicación de los cambios en la normativa, estamos para servirte.

DURINI & GUERRERO ABOGADOS

NOTICIA JURÍDICA No. 259

Nueva normativa fortalece la protección en Ecuador – Resolución N° SPDP-SPD-2025-0024-R

En la era digital, la información personal es un activo valioso y su protección, un derecho fundamental. En este contexto, la Superintendencia de Protección de Datos Personales (SPDP) ha emitido la Resolución N° SPDP-SPD-2025-0024-R. Esta normativa es crucial para establecer la correcta aplicación de la Ley Orgánica de Protección de Datos Personales (LOPDP) y su Reglamento, especialmente en lo que respecta a las transferencias o comunicaciones de datos personales, tanto dentro como fuera del Ecuador.

Esta Resolución se fundamenta en el derecho constitucional a la protección de datos personales, reconocido en el artículo 66, numeral 19 de la Constitución de la República del Ecuador. Además, la SPDP, como organismo técnico de vigilancia y control, tiene la atribución de emitir normativa general o técnica para garantizar este derecho. La elaboración de esta resolución fue un proceso que incluyó informes técnicos, validación jurídica y un período de socialización pública entre el 30 de abril y el 30 de mayo de 2025, para recoger observaciones y aportes de la ciudadanía.

La Resolución N° SPDP-SPD-2025-0024-R, suscrita por el Superintendente de Protección de Datos Personales, Fabrizio Peralta-Díaz, el 25 de julio de 2025, busca establecer pautas claras para el manejo de datos personales. Su Artículo 1 especifica que tiene como objeto la correcta aplicación de los capítulos de la LOPDP y su Reglamento relacionados con las transferencias o comunicaciones de datos personales.

Esta normativa es aplicable a todos los integrantes del sistema de protección de datos personales que realicen transferencias o comunicaciones de datos personales. Estos integrantes incluyen al titular de los datos, el responsable del tratamiento, el encargado del tratamiento, el destinatario, la Autoridad de Protección de Datos Personales y el delegado de protección de datos personales.

Uno de los puntos más relevantes de la Resolución es la aclaración sobre la aplicación de los Capítulos V y IX de la LOPDP. El Capítulo V de la LOPDP regula las «Transferencia o Comunicación y Acceso a Datos Personales por Terceros”, mientras que el Capítulo IX se denomina «Transferencia o Comunicación Internacional de Datos Personales». La Resolución establece explícitamente que el Capítulo V regula las relaciones jurídicas relacionadas con transferencias de datos tanto a nivel nacional como internacional, y que las disposiciones del Capítulo IX deben aplicarse de forma concordante con todas las disposiciones del Capítulo V.

En la práctica, esto significa que toda comunicación o transferencia internacional de datos personales deberá aplicar obligatoriamente las disposiciones de ambos capítulos, el V y el IX de la LOPDP. Además, en estos casos de transferencias internacionales, también deberán aplicarse de forma concordante los capítulos V y XII del Reglamento General de la LOPDP.

Es importante recordar que, según el Reglamento de la LOPDP, la transferencia o comunicación de datos personales a un tercero o encargado requiere el consentimiento del titular, a menos que los datos hayan sido disociados o se hayan utilizado mecanismos de cifrado robustos. No se considera transferencia cuando un encargado accede a datos personales para prestar un servicio al responsable del tratamiento, pero dicho acceso debe estar regulado por un contrato que especifique que los datos solo serán tratados según las instrucciones del responsable y no se utilizarán para fines diferentes o se transferirán a otras personas. Una vez cumplida la prestación contractual, los datos deben ser destruidos o devueltos al responsable.

Para las transferencias internacionales, la LOPDP prevé la posibilidad de transferir datos a países, organizaciones o personas jurídicas que ofrezcan niveles adecuados de protección, lo cual es declarado por la Autoridad de Protección de Datos Personales mediante resolución motivada. En ausencia de un nivel adecuado de protección, se requieren «garantías adecuadas» para el titular, como instrumentos jurídicamente vinculantes o normas corporativas vinculantes aprobadas por la Autoridad.

La Resolución N° SPDP-SPD-2025-0024-R representa un hito en la protección de datos personales en Ecuador, al brindar claridad sobre la aplicación de la normativa existente en el ámbito de las transferencias de datos. Al unificar y reforzar la aplicación de los Capítulos V y IX de la LOPDP, así como los capítulos relacionados de su Reglamento, se busca asegurar un nivel de protección homogéneo y robusto para tu información personal, tanto a nivel nacional como internacional. Esta medida contribuye a generar mayor confianza en el manejo de datos y refuerza el compromiso del país con la privacidad digital de sus ciudadanos.

Evita futuros inconvenientes, estamos para solventar tus inquietudes. En caso de requerir asesoría para la aplicación de los cambios en la normativa, estamos para servirte.

DURINI & GUERRERO ABOGADOS

NOTICIA JURÍDICA No. 258

La Superintendencia de Protección de Datos Personales establece nuevas reglas para el cálculo de multas – Resolución N° SPDP-SPD-2025-0022-R

En un paso significativo hacia la protección efectiva de nuestros datos personales, la Superintendencia de Protección de Datos Personales (SPDP) ha publicado la Resolución N° SPDP-SPD-2025-0022-R. Esta nueva normativa, junto con sus modelos de cálculo, busca establecer un marco claro y proporcional para la imposición de multas ante el incumplimiento de la Ley Orgánica de Protección de Datos Personales (LOPDP). El objetivo principal es garantizar que las sanciones sean justas y reflejen la gravedad de las infracciones, considerando factores clave como la intencionalidad y el impacto generado.

La SPDP, como organismo técnico de vigilancia y control en materia de datos personales en Ecuador, con potestad sancionatoria, ha cumplido con su facultad de emitir normativa general o técnica para el ejercicio de sus competencias. Esta iniciativa responde a la necesidad de detallar la metodología para el cálculo de multas, tanto para infracciones leves como graves, las cuales ya estaban tipificadas en los artículos 67, 68, 69 y 70 de la LOPDP.

La Resolución N° SPDP-SPD-2025-0022-R y su Anexo I, denominado «Modelos para Calcular el Monto de las Multas Administrativas: MPRIV-1 y MPUB-1”, establecen dos modelos principales para el cálculo de estas multas, dependiendo si la entidad infractora es de derecho privado o pública.

  • Para el sector privado (MPRIV-1): Este modelo está diseñado para instituciones privadas con fines de lucro. Las multas se calcularán en función del volumen de negocio de la empresa infractora, correspondiente al ejercicio inmediatamente anterior al de la imposición de la multa. El rango de las multas por infracciones leves oscilará entre el 0.1% y el 0.7% de dicho volumen, mientras que para infracciones graves, el rango será entre el 0.7% y el 1%. Este modelo considera el «Peso de la Infracción (PDI)» y la «Seriedad de la Infracción (SDI)». La SDI, a su vez, evalúa el «Impacto en los Derechos (IED)» (con un peso del 60%), la «Intencionalidad (INT)» (con un peso del 40%), y de manera opcional, la «Reiteración y Reincidencia (RER)» (como agravante adicional con un peso del 20%). El impacto en los derechos (IED) se estima en función de cuatro factores: (1) tipos de datos personales, (2) número de titulares afectados y volumen de datos, (3) naturaleza de la vulneración, y (4) grupos de titulares especialmente vulnerables.
  • Para el sector público (MPUB-1): Este modelo se aplica a sanciones para servidores o funcionarios del sector público. Las multas se basarán en el Salario Básico Unificado (SBU). Para infracciones leves, las multas pueden ir de uno a diez SBU, y para infracciones graves, de diez a veinte SBU. Al igual que en el modelo privado, se consideran el «Peso de la Infracción (PDI)» y la «Seriedad de la Infracción (SDI)”, con sus respectivos componentes de impacto en los derechos (IED), intencionalidad (INT), y reiteración o reincidencia (RER).

Ambos modelos utilizan la fórmula PERT (Program Evaluation and Review Technique) para la estimación de los valores cuando existe discrecionalidad, definida como (a+4b+c) /6, donde ‘a’ es el valor mínimo, ‘b’ el más probable y ‘c’ el máximo. Esto permite establecer rangos de sanción objetivos y calibrar las multas en intervalos de acierto. Además, contemplan la posibilidad de realizar un análisis de Monte Carlo para generar múltiples escenarios aleatorios, sobre todo cuando la incertidumbre sea alta y los intervalos entre el valor mínimo y el máximo sean grandes. Esto ayuda a la autoridad a contar con un intervalo confiable de acierto para la multa.

La Superintendencia de Protección de Datos Personales podrá modificar la metodología en cualquier momento con la finalidad de mejorar su aplicación. Además, se ha establecido una disposición transitoria que otorga un plazo de tres meses a partir de la publicación de este reglamento en el Registro Oficial para que la Intendencia General de Innovación Tecnológica y Seguridad de Datos Personales desarrolle e implemente el sistema informático institucional que permitirá la aplicación del Anexo I en los procesos administrativos sancionadores.

Es fundamental destacar que esta resolución, firmada en Quito, D.M., el 16 de julio de 2025, entrará en vigor a partir de su suscripción, sin perjuicio de su publicación en el Registro Oficial.

La emisión de esta resolución y sus modelos de cálculo representa un avance significativo en la consolidación del régimen sancionatorio en materia de protección de datos personales en Ecuador. Si bien busca otorgar claridad y objetividad en la determinación de las multas, el impacto para las organizaciones radica en la necesidad imperante de reforzar sus políticas y prácticas de tratamiento de datos personales para asegurar el cumplimiento de la LOPDP. Evita futuros inconvenientes, estamos para solventar tus inquietudes y guiarte en la adaptación a estos cambios. En caso de requerir asesoría para la aplicación de los cambios en la normativa, estamos para servirte.

DURINI & GUERRERO ABOGADOS

NOTICIA JURÍDICA No. 257

REGLAMENTO A LA LEY ORGÁNICA DE SOLIDARIDAD NACIONAL

Con fecha 15 de julio de 2024, se publicó en el Suplemento del Registro Oficial No. 87 el Reglamento General a la Ley Orgánica de Solidaridad Nacional. A continuación, se detallan los aspectos más relevantes en el ámbito tributario:

  1. Creación del Comité de Calificación y Certificación de Solidaridad

Se dispone la conformación del Comité de Calificación y Certificación de Solidaridad para el Fortalecimiento de las Fuerzas del Orden, instancia encargada de coordinar e instrumentar los procedimientos vinculados a la rebaja del impuesto a la renta por concepto de donaciones. Estas donaciones deberán consistir en bienes inmuebles, equipamiento o suministros nuevos, destinados a la Policía Nacional o a las Fuerzas Armadas.

  • Determinación del monto máximo de donaciones

El Ministerio de Economía y Finanzas, en coordinación con el Servicio de Rentas Internas, establecerá anualmente el monto máximo permitido por concepto de donaciones, el cual será publicado oportunamente para conocimiento de los contribuyentes.

  • Elaboración de catálogos de bienes donables

Corresponderá al Ministerio de Defensa Nacional y al Ministerio del Interior, según su ámbito de competencia, elaborar los catálogos de bienes muebles, equipamiento y/o suministros nuevos que puedan ser objeto de donación. Estos deberán encontrarse en condiciones óptimas para su uso y responder a las necesidades institucionales de las Fuerzas del Orden o de las entidades adscritas. Dichos catálogos deberán contar con la aprobación previa del Comité de Calificación y serán publicados en los portales institucionales de los ministerios referidos.

  • Procedimiento para la realización de donaciones

Se establece el siguiente procedimiento para canalizar las donaciones:

a) El donante deberá remitir una carta de intención al Ministerio del Interior o al Ministerio de Defensa Nacional, según corresponda.

b) Las entidades receptoras (Policía Nacional o Fuerzas Armadas) evaluarán la pertinencia de la propuesta de donación.

c) Una vez aprobada la solicitud, las máximas autoridades de los ministerios competentes suscribirán el contrato de donación o el correspondiente instrumento legal.

d) La entidad beneficiaria notificará al Servicio de Rentas Internas, hasta el 15 de enero del ejercicio fiscal siguiente, el detalle de las donaciones efectivamente recibidas en el periodo fiscal anterior, a efectos de su reconocimiento tributario.

e) Una vez recibidos los bienes, los ministerios respectivos procederán a su distribución equitativa mediante los instrumentos jurídicos aplicables.

DURINI & GUERRERO ABOGADOS