Tratamiento de Datos Personales por entidades con normativa especializada y de jerarquía superior ¿Exclusión o supervisión?

I. Contexto, antecedentes y posturas institucionales

El oficio corresponde a un pronunciamiento por parte de la Procuraduría General del Estado (PGE) mediante el cual se da respuesta a una consulta remitida por la Superintendencia de Protección de Datos Personales (SPDP), relacionada con el ámbito de aplicación de la Ley Orgánica de Protección de Datos Personales (LOPDP) frente a tratamientos de datos personales realizados por entidades públicas. Las interrogantes planteadas por la SPDP son las siguientes:

1. Aquellos tratamientos de datos personales regulados en normativa especializada -de igual o mayor jerarquía que la LOPDP- que fueren realizados sin cumplir u observar los estándares internacionales en materia de derechos humanos, los principios de la Ley, o como mínimo, los criterios de legalidad, proporcionalidad y necesidad ¿podrán considerarse como incluidos dentro del ámbito de aplicación material de la LOPDP?              Si la respuesta a la consulta precedente fuere afirmativa, esas actividades de tratamiento de datos realizadas por  las entidades de derecho público que se rigen por normativa especializada -de igual o mayor jerarquía que la LOPDP- que fueren efectuadas sin cumplir u observar los estándares internacionales en materia de derechos humanos, los principios de la ley o, como mínimo, los criterios de legalidad, proporcionalidad y necesidad:

2. ¿Estarían sujetos a la supervisión, control y evaluación de la SPDP en los términos del numeral 1 del artículo 76 de la LOPDP? y,
3. ¿Estarían sujetas al ejercicio de la potestad sancionadora que el numeral 2 del artículo 76 de la LOPDP le atribuye a la SPDP y, por ende, les serían aplicables las medidas coercitivas, las infracciones y el régimen sancionatorio previsto en el capítulo XI del mencionado cuerpo legal?

 

I.I Criterio jurídico inicial por parte de la SPDP

El pronunciamiento inicial por parte de la SPDP mediante Informe Jurídico INF-SPDP-DAJ-2025-001, sostiene que, si bien la LOPDP contempla excepciones en el ámbito de la aplicación material, excluyendo en casos regulados por normativa especializada en materia de seguridad y defensa del Estado, dicha exclusión no es absoluta, pues: “es imperativo que cualquier tratamiento de datos en la República del Ecuador cumpla con los estándares internacionales, principios generales y específicos de la materia de protección de datos personales, así como los criterios mínimos de legalidad, proporcionalidad y necesidad…”.[1]

Y se enfatiza que: “la especialidad en materia de seguridad nacional y defensa del Estado no es un óbice para que todo tratamiento de datos personales cumpla con los principios previstos en la LOPDP…”.[2]

En este sentido, en caso de incumplimiento, se sostiene que la SPDP tiene plena competencia administrativa y sancionadora incluso respecto a entidades públicas.

I.II Criterios jurídicos de otras instituciones públicas

Ante la complejidad del tema, la Procuraduría solicitó la opinión técnica-jurídica del Ministerio del Interior (MDI), el Ministerio de Defensa Nacional (MIDENA) y la Defensoría del Pueblo (Defensoría), cuyos criterios fueron los que siguen:

a. Defensoría del Pueblo

Alineada con la posición de la SPDP, la Defensoría sostuvo que toda interpretación sobre el derecho a la protección de datos debe observar el principio pro homine, es decir, garantizar la protección más amplia posible del derecho involucrado, y destacó que “el tratamiento de datos personales regulados en normativa especializada de igual o mayor jerarquía que la LOPDP, que no se ajuste a los estándares internacionales de derechos humanos, a los principios fundamentales de la ley, o a los criterios de legalidad, proporcionalidad y necesidad, se encuentra dentro del ámbito de aplicación material de la LOPDP…”

El análisis de la Defensoría también invoca normas constitucionales y de derechos humanos, como los artículos 11[3], 66[4] y 417[5] de la Constitución el Ecuador, y concluye que incluso las entidades públicas sujetas a normativas especiales deben regirse por los principios constitucionales y tratados internacionales de derechos humanos.

b. Ministerio del Interior

El MDI adopta una posición restrictiva, invocando el artículo 2 literal e) de la LOPDP, según el cual esta no sería aplicable a tratamientos de datos personales regulados por normativa especializada en materia de seguridad. En consecuencia “la SPDP no tendría competencia sancionadora. Como es en el caso de la información proveniente del COSEPE”.[6]

Además, enfatiza que dicha información está sujeta a una regulación técnica y autónoma del Estado ecuatoriano en materia de seguridad.

c. Ministerio de Defensa Nacional

El MIDENA coincide con el MDI en cuanto a la exclusión del ámbito de la LOPDP en lo que respecta a la información de las Fuerzas Armadas. Argumenta que tal información (referente a la estructura, operaciones militares y personal) es altamente sensible, y su tratamiento responde a niveles de clasificación normativa propios del sector Defensa:

“la exclusión realizada al ámbito de aplicación de la Ley Orgánica de Protección de Datos Personales, al ente administrativo de seguridad y defensa del Estado, tiene su fundamento y justificación…”[7].

Con base en ello, el MIDENA considera que no procede siquiera el análisis de las preguntas formuladas por la SPDP, descartando cualquier competencia sancionadora de dicha Superintendencia en este ámbito.

II Análisis jurídico de la SPDP, competencias de la SPDP y pronunciamiento final

2.1 Principios de la LOPDP y su aplicabilidad frente a normativa especializada

El punto de partida del análisis es el artículo 2 de la LOPDP, que establece su ámbito de aplicación general a todo tratamiento de datos personales, pero a la vez señala una excepción para: “los datos personales cuyo tratamiento se encuentre regulado en normativa especializada de igual o mayor jerarquía en materia de gestión de riesgos por desastres naturales; y, seguridad y defensa del Estado…” (Lo subrayado nos pertenece).

No obstante, el propio artículo 2 aclara que esta excepción no es absoluta, ya que exige que incluso en esos casos “deberá darse cumplimiento a los estándares internacionales en la materia de derechos humanos y a los principios de esta Ley, y como mínimo a los criterios de legalidad, proporcionalidad y necesidad”.

Este criterio se refuerza con el artículo 11 de la LOPDP, que reitera que los principios de la ley son aplicables, en lo posible, incluso cuando haya una regulación especial, en tanto ello resulte favorable al titular de los datos. Además, el artículo 10 de la LOPDP enumera principios como el de juridicidad, transparencia y aplicación favorable al titular, que obligan a interpretar cualquier ambigüedad en favor del individuo y de la protección de sus derechos.

Desde esta perspectiva, la Procuraduría subraya que la existencia de normativa especializada no exonera a las entidades públicas del deber de respetar principios universales de protección de datos personales. Por tanto, cuando la normativa invocada, como la Ley de Seguridad Pública y del Estado (LSPE) no regula expresamente las operaciones técnicas de tratamiento de datos, por lo que, resulta aplicable de forma directa la LOPDP.

Esto se justifica, entre otros motivos, porque “la LSPE no tiene como objeto regular el tratamiento de datos personales en los términos definidos por la LOPDP”8], y porque su contenido no contempla operaciones como la recolección, conservación, cesión o supresión de datos personales, a diferencia de lo exigido por la LOPDP en su artículo 4.

Así, incluso en contextos de seguridad y defensa nacional, no puede prescindirse del cumplimiento de los principios fundamentales de legalidad, proporcionalidad y necesidad, ni de los estándares internacionales en derechos humanos.

2.2 Competencias de la SPDP: control, supervisión y potestad sancionadora

La Procuraduría concluye que, más allá de los límites materiales del artículo 2, la SPDP posee competencia técnica y legal para supervisar, evaluar e imponer sanciones cuando se verifiquen transgresiones a la LOPDP, conforme lo disponen los artículos 76 y 65 de dicha ley.

En concreto, el artículo 76[9] reconoce a la SPDP como “el órgano de control y vigilancia encargado de garantizar a todos los ciudadanos la protección de sus datos personales”, y le atribuye funciones como:

1. “la supervisión, control y evaluación de las actividades efectuadas por el responsable y encargado del tratamiento de datos personales”;
2. la potestad sancionadora respecto de responsables, delegados, encargados y terceros”.

 

El artículo 65 de la LOPDP, por su parte, le faculta a dictar medidas correctivas ante cualquier incumplimiento normativo o vulneración de derechos, sin perjuicio de las sanciones administrativas que puedan imponerse. Este poder no se ve restringido por el tipo de entidad involucrada. La Procuraduría enfatiza que “la SPDP posee la facultad legal y constitucional para requerir información, dictar medidas correctivas y, en su caso, imponer sanciones administrativas cuando se identifique una transgresión a los principios que integran el derecho a la protección de datos personales”[10].

Incluso frente a entidades sujetas a normativa especializada como el MIDENA o el MDI, la SPDP puede intervenir cuando dicha normativa no regula integralmente el tratamiento de datos personales o es incompatible con los principios constitucionales.

 

 

2.3 Pronunciamiento final de la Procuraduría

Con base en todo lo anterior, la Procuraduría responde afirmativamente a las tres consultas planteadas por la SPDP. En particular, concluye que:

1. El tratamiento de datos personales efectuado por entidades públicas sujetas a normativa especializada sí puede estar incluido en el ámbito de aplicación de la LOPDP, cuando se incumplan los estándares internacionales en derechos humanos o los principios básicos de legalidad, proporcionalidad y necesidad.
2. Estas entidades están sujetas a la supervisión, control y evaluación de la SPDP, incluso si se rigen por normativa de igual o mayor jerarquía.
3. Finalmente, la SPDP tiene potestad sancionadora y puede imponer las medidas correctivas y sanciones previstas en la ley, conforme a los artículos 65 y 76 de la LOPDP.

 

• Análisis y conclusiones:

El pronunciamiento de la Procuraduría General del Estado frente a la consulta de la SPDP constituye un hito relevante en el desarrollo del sistema de protección de datos personales en el Ecuador, particularmente por su clara defensa de la primacía de los derechos humanos frente a interpretaciones restrictivas de las normas.

En este sentido, la Procuraduría establece con firmeza que incluso en los casos en que el tratamiento de datos personales se realice bajo el amparo de normativa especializada de igual o mayor jerarquía —como en los ámbitos de seguridad y defensa— existe un límite ineludible: en todos estos casos deberá darse cumplimiento a los estándares internacionales en materia de derechos humanos y a los principios establecidos en la LOPDP, y como mínimo, observar los criterios de legalidad, proporcionalidad y necesidad. Este límite es clave porque, de no existir, se abriría la puerta a que ciertas entidades públicas —por el solo hecho de actuar bajo normativa especializada— queden al margen de toda supervisión, control o sanción, lo cual podría derivar en un tratamiento indiscriminado de datos personales, sin ningún tipo de responsabilidad o rendición de cuentas, poniendo en riesgo derechos fundamentales.

Más bien, al contrario, tratándose de entidades que manejan información altamente sensible, muchas veces con implicaciones en la seguridad de las personas o en su esfera íntima, debería esperarse que cuenten con los más altos estándares técnicos, jurídicos y éticos en protección de datos personales.

La pregunta entonces no es si estas entidades pueden eludir la aplicación de la LOPDP, sino precisamente ¿cuál es el marco normativo específico y los principios concretos que rigen sus prácticas de tratamiento de datos? Si no cuentan con un cuerpo normativo detallado que regule cómo recogen, almacenan, usan y comparten la información, entonces no puede sostenerse que una ley especializada suple esa función de forma efectiva.

En ausencia de esa regulación técnica, la LOPDP no solo se aplica, sino que se convierte en el instrumento principal para garantizar que el tratamiento de datos personales se realice dentro de un marco de respeto a los derechos fundamentales. La Procuraduría, al confirmar que la SPDP tiene competencia para supervisar, evaluar e incluso sancionar estos tratamientos, fortalece el rol institucional de la SPDP y protege el principio pro-persona, conforme al cual toda ambigüedad o vacío normativo debe resolverse a favor de la persona titular del dato, no de la administración. En todo caso, frente a la sensibilidad de la información tratada por entidades como las del sector Defensa, lo que correspondería no es eximirlas del control de la SPDP, sino que la esta diseñe e implemente planes de supervisión reservados, técnicamente sólidos y respetuosos del carácter confidencial de ciertos datos, pero que garanticen la vigilancia efectiva de los principios fundamentales de la LOPDP.

 

Esta información es un resumen de novedades jurídicas de interés y por tanto no podrá ser considerada como una asesoría provista por AVL. Cualquier inquietud comunícate con el equipo de AVL Abogados.

 

---

[1]Art. 76.- Funciones atribuciones y facultades.- La Autoridad de Protección de Datos Personales es el órgano de control y vigilancia encargado de garantizar a todos los ciudadanos la protección de sus datos personales, y de realizar todas las acciones necesarias para que se respeten los principios, derechos, garantías y procedimientos previstos en la presente Ley y en su reglamento de aplicación, para lo cual le corresponde las siguientes funciones, atribuciones y facultades:
1) Ejercer la supervisión, control y evaluación de las actividades efectuadas por el responsable y encargado del tratamiento de datos personales;

2) Ejercer la potestad sancionadora respecto de responsables, delegados, encargados y terceros, conforme a lo establecido en la presente Ley;

[2] Procuraduría General del Estado, Oficio No. 11264, p. 11.

[3] Procuraduría General del Estado, Oficio No. 11264, p. 8.

[4] Procuraduría General del Estado, Oficio No. 11264, p. 5.

[5] Procuraduría General del Estado, Oficio No. 11264, p. 5.

[6] Constitución de la República del Ecuador, Art. 11.- El ejercicio de los derechos se regirá por los siguientes principios

1. Los derechos se podrán ejercer, promover y exigir de forma individual o colectiva ante las autoridades competentes; estas autoridades garantizarán su cumplimiento.

2. Todas las personas son iguales y gozarán de los mismos derechos, deberes y oportunidades…

[7] Constitución de la República del Ecuador, Art. 66.- Se reconoce y garantizará a las personas:
1. El derecho a la inviolabilidad de la vida. No habrá pena de muerte.

2. El derecho a una vida digna, que asegure la salud, alimentación y nutrición, agua potable, vivienda, saneamiento ambiental, educación, trabajo, empleo, descanso y ocio, cultura física, vestido, seguridad y otros servicios sociales necesarios.

3. El derecho a la integridad personal…

[8] Constitución de la República del Ecuador, Art. 417.- Los tratados internacionales ratificados por el Ecuador se sujetarán a lo establecido en la Constitución. En el caso de los tratados y otros instrumentos internacionales de derechos humanos se aplicarán los principios pro ser humano, de no restricción de derechos, de aplicabilidad directa y de cláusula abierta establecidos en la Constitución.

[9] Procuraduría General del Estado, Oficio No. 11264, p. 2.

[10] Procuraduría General del Estado, Oficio No. 11264, p. 3.