Normativa general para la aplicación del interés legítimo como base de legitimación del tratamiento de datos personales

REGISTRO

La Superintendencia de Protección de Datos Personales (SPDP) expidió la Normativa general para la aplicación del interés legítimo como base de legitimación del tratamiento de datos personales en Ecuador.

Objeto y alcance

La Resolución regula el ámbito de aplicación del interés legítimo como base de legitimación para las actividades de tratamiento de datos personales en el sector privado, conforme a la Ley Orgánica de Protección de Datos Personales (LOPDP), el Reglamento General a la Ley Orgánica de Protección de Datos Personales (RGLOPDP) y criterios técnicos de la SPDP.

De igual forma, se define el interés legítimo y la necesidad de una evaluación de ponderación como elementos centrales para prescindir del consentimiento cuando corresponda.

 

Condiciones mínimas del interés legítimo

El interés invocado debe ser: (i) lícito, (ii) real y concreto, (iii) proporcional, y (iv) compatible con las expectativas razonables del titular; además, la necesidad de obtener interés legítimo para el tratamiento debe informarse previamente y en lenguaje claro, accesible, sencillo y en español. La negativa del titular o el ejercicio del derecho de oposición extingue la expectativa razonable.

 

Evaluación de ponderación: requisito previo y obligatorio

Todo tratamiento basado en interés legítimo requiere una evaluación de ponderación previa, motivada y documentada, disponible para la SPDP y para el titular. La omisión de esta evaluación constituye una infracción grave. 

Se puede emitir una versión simplificada solamente de forma excepcional para tratamientos de bajo riesgo y recurrentes u homogéneos, siguiendo los parámetros mínimos del Anexo 1 de la Resolución. Usar indebidamente la versión simplificada en tratamientos de riesgo medio, alto o crítico constituye infracción grave sancionable con la pena más alta del régimen vigente. 

 

  • Contenido mínimo: Idoneidad del interés, necesidad (no hay alternativa menos intrusiva), ponderación (naturaleza de datos, categorías de titulares, contexto y expectativas, volumen de transferencias, gestión de riesgos) y resultado. Puede usarse metodología equivalente si se demuestra equivalencia técnica y trazabilidad. 

 

  • Transparencia y disponibilidad: La evaluación debe mantenerse en formato físico y electrónico; una versión íntegra debe estar siempre disponible para la SPDP y una versión clara para el titular (respetando información reservada o secretos comerciales). Actualización anual obligatoria o cada vez que cambie finalidad, categoría de datos, tipo de titulares o riesgos.

 

Supuestos admisibles 

El interés legítimo podrá constituir una base de legitimación para el tratamiento de datos personales cuando se supere la evaluación de ponderación, y únicamente en los siguientes casos: 

 

1. Mercadotecnia directa:

  • Sin afectar derechos y libertades; sin datos sensibles ni de niños, niñas y adolescentes; dirigida a titulares con relación contractual previa o expectativa razonable de contacto.
  • Información previa al titular (política o aviso) y posibilidad de oposición visible, gratuita e inmediata en cada comunicación.
  • Segmentación y perfiles permitidos si no producen efectos jurídicos significativos ni afectan gravemente derechos. 

 

2. Prevención, detección y reporte de fraudes, lavado de activos, financiamiento del terrorismo y delitos conexos: limitado a datos estrictamente necesarios; observancia de normativa sectorial en datos crediticios; posibilidad de listas de bloqueo por tiempo estrictamente necesario. 

3. Comunicación interna en grupos empresariales:

  • Acreditación del grupo por medios societarios o registrales;
  • Finalidad y proporcionalidad en auditoría, control interno, servicios compartidos, gestión financiera o administrativa;
  • Transparencia para el titular sobre finalidades, responsables y encargados, medidas de seguridad, vías para ejercer derechos;
  • Transferencias internacionales sujetas a reglas de adecuación o garantías adecuadas. 

 

4. Seguridad de redes y sistemas TIC: controles técnicos y organizativos según riesgos; privacidad por diseño y por defecto, Privacy Enchancing Technologies (PETs); protocolos de ciberseguridad para gestión de incidentes, continuidad operativa, control de accesos, detección y respuesta. 

5. Videovigilancia: seguridad de personas, bienes, instalaciones; necesidad y proporcionalidad; mecanismos claros y gratuitos para derechos del titular; prohibida la grabación de audio con interés legítimo (no para supervisión laboral ni para captar conversaciones privadas o sensibles). Zonas íntimas quedan excluidas.

 

Prohibiciones y límites reforzados

Se prohíbe la aplicación del interés legítimo como base de legitimación para el tratamiento de datos personales en los siguientes casos:

  • Datos sensibles. 
  • Categorías especiales: solo se permite si es estrictamente indispensable, la ponderación garantiza los derechos y existen medidas reforzadas de seguridad y protección de derechos.
  • Perfiles totalmente automatizados con efectos jurídicos significativos o impacto grave. Excepción limitada a los sectores financiero, bancario y seguros, con medidas reforzadas, tutela del derecho de oposición y revisión humana. 
  • Niñas, niños y adolescentes: salvo justificación expresa vinculada al interés superior del niño y medidas reforzadas. 

 

Tratamientos masivos o reutilización para finalidades incompatibles con la original (salvo el caso específico de mercadotecnia directa del art. 11 de la Resolución).

 

Derechos del titular y registros del responsable

El tratamiento de datos personales que use interés legítimo como base de legitimación, el responsable debe respetar los derechos del titular y mantener el registro correspondiente:

  • El titular de los datos personales podrá ejercer su derecho de oposición y suspensión, en todo momento; el responsable debe dar atención inmediata a las solicitudes. 
  • El responsable debe mantener un registro ordenado, accesible y actualizado de todas las evaluaciones de ponderación; este registro debe ser entregado al titular en lenguaje claro, sencillo y en español, resguardando información reservada; pero íntegro para la SPDP. La evaluación de ponderación debe ser revisada y actualizada en el plazo de un año contado desde el último registro.

 

Metodología para la evaluación de ponderación

Se expone la metodología de aplicación. Incluye etapas, elementos y evidencias mínimas: datos del responsable; descripción del tratamiento:

  • Etapas: (1) Idoneidad, se define el interés legítimo y su finalidad lícita y específica; (2) Necesidad, se prueba que no hay alternativa menos intrusiva igual de eficaz; (3) Ponderación, se contrasta el interés con los derechos del titular (naturaleza de datos, titulares, contexto/expectativas, volumen/transferencias y riesgos); (4) Medidas de seguridad, se fijan controles técnicos, organizativos, contractuales e informativos proporcionales; y (5) Conclusión, se documenta la admisibilidad del tratamiento bajo interés legítimo.

 

La SPDP podrá actualizar el Anexo 1 de la Resolución con previa justificación técnica.

 

En caso de requerir más información, no dude en contactarnos. 

 

Fuente: Resolución N. SPDP-SPD-2025-0041-R, del 7 de noviembre de 2025

 

Esta información es un resumen de novedades jurídicas de interés, y por tanto no podrá ser considerada como asesoría provista. Cualquier inquietud, comunícate con el equipo de AVL Abogados. 

Comunícate con nosotros​

Áreas de servicios

Comunícate con nosotros
X-twitter Linkedin-in
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.