La Superintendencia de Protección de Datos Personales (SPDP) ha aprobado 4 nuevas resoluciones:
- Guía de Gestión de Riesgos y Evaluación de Impacto del Tratamiento de Datos Personales, mediante Resolución SPDP-SPD-2025-0003-R, de 29 de abril de 2025;
- Reglamento para el Desempeño del Rol de Delegado de Protección de Datos Personales, Mediante Resolución SPDP-SPDP-2025-0004-R, de 29 de abril de 2025;
- Reglamento para la elaboración y aprobación del Plan Anual de Auditorías (PAA), mediante Resolución SPDP-SPD-2025-0005-R; y,
- Reglamento que establece la obligación de incorporar Cláusulas de Protección de Datos Personales en los Contratos Celebrados dentro del Territorio de la República del Ecuador, mediante Resolución SPDP-SPD-2025-0006-R, de 30 de abril de 2025.
- GUÍA DE GESTIÓN DE RIESGOS Y EVALUACIÓN DE IMPACTO DEL TRATAMIENTO DE DATOS PERSONALES
Esta herramienta técnica busca orientar a responsables y encargados del tratamiento de datos personales hacia una gestión escalable, efectiva y fundamentada en la protección de los derechos y libertades de los titulares de datos personales.
También, constituye una guía útil para aquellas organizaciones que, de forma preventiva, deseen identificar y gestionar los riesgos asociados a nuevos tratamientos de datos personales dentro de sus operaciones.
¿QUÉ CONTIENE LA GUÍA?
La Guía se estructura en dos capítulos y un anexo práctico:
– Capítulo I: Principios fundamentales de gestión de riesgos, integraciones con seguridad de la información, auditorías y tipos de vulneraciones.
– Capítulo II: Procedimientos detallados para cada etapa de gestión de riesgos, incluyendo establecimiento del contexto, identificación, análisis, evaluación y tratamiento.
– Anexo: Formato aplicado de evaluación de impacto con ejemplos que permiten guiar la implementación práctica.
CONCEPTOS CLAVES Y PRINCIPIOS QUE GUÍAN LA GESTIÓN DE RIESGOS
El Capítulo I establece conceptos clave como:
– Conformidad en riesgos.
– Justificación de rationales cuantitativos y cualitativos.
– Integración de estándares de buenas prácticas como ISO/IEC 27001, 27701, FAIR, entre otros.
– El rol de auditorías.
– Tipos de vulneraciones en base a la confidencialidad, integridad y disponibilidad.
ETAPAS DE LA GESTIÓN DE RIESGOS
Según el Capítulo II, el procedimiento recomendado sigue estas etapas:
- Establecimiento del contexto.
- Identificación de riesgos.
- Análisis de riesgos.
- Evaluación de riesgos.
- Tratamiento de riesgos.Cada etapa está respaldada por metodologías cuantitativas y cualitativas, criterios claros y herramientas aplicables.
2. REGLAMENTO PARA EL DESEMPEÑO DEL DELEGADO DE PROTECCIÓN DE DATOS PERSONALES
Este reglamento establece los lineamientos que deben observar todas las entidades públicas o privadas que hayan designado, de forma obligatoria o voluntaria, a un Delegado de Protección de Datos (DPD) en lo que respecta a su formación.
¿QUIÉN PUEDE SER DPD?
El DPD puede ser cualquier persona natural que cuente con:
- Formación técnica y jurídica especializada en protección de datos personales.
- Acreditación de experiencia profesional de cinco años.
- Ausencia de conflictos de interés con otras funciones dentro de la organización.
- Ser mayor de edad.
- Este en goce de sus derechos políticos.
PRINCIPALES FUNCIONES DEL DPD
El Reglamento detalla funciones esenciales del DPD, entre ellas:
- Asesorar sobre el cumplimiento de la LOPDP, su Reglamento y demás normativa vigente en la materia.
- Supervisar la implementación de medidas de cumplimiento y protección de datos.
- Atender consultas, solicitudes y reclamaciones de titulares.
- Cooperar con la SPDP como punto de contacto.
- Promover una cultura organizacional de protección de datos.
RECUERDA: REGISTRO DE DPD
El DPD, deberá tener sus certificaciones de formación registrados en la plataforma que implementará la SPDP en los un máximo de 6 meses contados desde la publicación de esta resolución.
LINEAMIENTOS QUE HA DISPUESTO LA RESOLUCIÓN
La resolución dispone crear una tabla de contenidos que cualquier entidad que quiera certificar la formación de un DPD debe implementar en un plazo de seis meses para garantizar que estos tengan los conocimientos técnicos y legales suficientes para cumplir con el rol designado.
3. REGLAMENTO PARA LA ELABORACIÓN Y APROBACIÓN DEL PLAN ANUAL DE AUDITORÍAS (PAA)
El reglamento tiene por objeto establecer los lineamientos para la elaboración y aprobación del Plan Anual de Auditorías (PAA), que la SPDP realizará a los administrados sobre el cumplimiento de la LOPDP, su Reglamento y demás normativa emitida por la SPDP.
ASPECTOS IMPORTANTES
- Se elaborará a principios de cada junio y se aprobará hasta aproximadamente septiembre del año anterior a su ejecución.
- Deberá incluir los datos generales, la introducción, el desarrollo: objetivos, metodología, recursos, indicadores, las conclusiones, recomendaciones y los anexos.
- El documento será reservado, salvo para la ICS y las autoridades responsables.
CRITERIOS PARA SER AUDITADO
La selección de sujetos se hará bajo los siguientes criterios:
- Alcance del tratamiento
- Impacto y riesgo del tratamiento de datos
- Volumen, sensibilidad de los datos o categoría especial de datos
- Vulnerabilidad de los titulares de los datos
- Cantidad de denuncias recibidas
- Criticidad de las denuncias
- Actualizaciones significativas en regulaciones sectoriales
- Uso de tecnologías en las actividades de tratamiento
- Aplicación de procedimientos de control
- Disponibilidad de recursos (humanos, financieros, técnicos)
- Cantidad y gravedad de las vulneraciones de seguridad.
REVISA SI VAS A SER AUDITADO EN EL BOLETÍN
Una vez aprobado el PAA, se publicará un boletín en la web institucional que informará sobre los sectores auditados
Es decir, que este año se publicará el primer boletín con los sujetos y sectores a ser auditados en el 2026.
4. REGLAMENTO QUE ESTABLECE LA OBLIGACIÓN DE INCORPORAR CLÁUSULAS DE PROTECCIÓN DE DATOS PERSONALES EN LOS CONTRATOS CELEBRADOS DENTRO DEL TERRITORIO DE LA REPÚBLICA DEL ECUADOR
El reglamento tiene por objeto garantizar que toda relación jurídico-contractual que implique el tratamiento de datos personales incluya cláusulas específicas orientadas a proteger los datos, en cumplimiento a la LOPDP, su Reglamento, demás normativa vigente en la materia.
ES OBLIGATORIO
El reglamento es de cumplimiento obligatorio para los actores del sistema de protección de datos personales. No obstante, el Anexo I de la resolución, que contiene modelos referenciales de cláusulas, tiene un carácter ejemplificativo.
En el Anexo I del reglamento expedido por la Superintendencia de Protección de Datos Personales se incluyen cuatro modelos referenciales de cláusulas contractuales:
- Modelo de cláusula entre responsable y titular de los datos
- Modelo de cláusula entre responsable y encargado del tratamiento
- Modelo de cláusula entre responsable y destinatario
- Modelo de cláusula entre responsables conjuntos
¿QUÉ DEBE CUMPLIR LA CLÁUSULA?
Las cláusulas contractuales deben ser claras, legítimas, específicas y transparentes. No deben presentar ambigüedades, ni omitir información fundamental como las finalidades del tratamiento, las bases legales, los derechos de los titulares, las medidas de seguridad ni los plazos de conservación de los datos. Asimismo, no deben permitir excesos en la recopilación de datos, ni limitar injustificadamente los derechos de los titulares, ni autorizar transferencias sin control o eximir de responsabilidades legales a los responsables o encargados del tratamiento.
En caso de requerir asesoría sobre la aplicación de cualquiera de estas resoluciones comunícate con el equipo de AVL Abogados.
Esta información es un resumen de novedades jurídicas de interés y por tanto no podrá ser considerada como una asesoría provista por AVL. Cualquier inquietud comunícate con el equipo de AVL Abogados.
