LEXIS Blog
El registro de actividades del tratamiento y el registro nacional de protección de datos personales en el sistema ecuatoriano de protección de datos personales
En el presente artículo analizaremos, de forma breve, qué es el Registro de Actividades del Tratamiento (en adelante, “RAT”), y su diferencia con el Registro Nacional de Protección de Datos Personales (en adelante, “RNPD”), conforme a la normativa ecuatoriana en materia de protección de datos personales, centrando el análisis en su naturaleza jurídica, alcance y función estructural dentro del sistema ecuatoriano de protección de datos personales.
Lo primero es identificar el origen normativo de cada figura. El Reglamento General a la Ley Orgánica de Protección de Datos Personales (en adelante, “Reglamento LOPDP”) establece, en su artículo 38, el Registro de Actividades del Tratamiento. Por su parte, la Ley Orgánica de Protección de Datos Personales (LOPDP) crea, en su artículo 51, el Registro Nacional de Protección de Datos Personales.
Se trata de figuras distintas. El RAT es un instrumento interno gestionado por el Responsable del tratamiento como parte de su sistema de cumplimiento. El RNPD, en cambio, es un registro público administrado por la Superintendencia de Protección de Datos Personales (en adelante, “SPDP”) que contiene información sobre bases de datos o tratamientos realizados por los Responsables, en los términos previstos en la Ley. Esta distinción no es meramente terminológica, sino funcional: uno opera en el ámbito de la autorregulación y el otro en el ámbito de la supervisión estatal.
Establecida esta diferencia, corresponde analizar las obligaciones de los Responsables respecto del RAT.
¿Quiénes están obligados a mantener el RAT?
El artículo 38 del Reglamento LOPDP dispone que el Responsable que cuente con cien (100) o más trabajadores deberá llevar un registro de todas las actividades de tratamiento que sean de su competencia.
No obstante, el artículo 39, de la misma normativa, extiende esta obligación a Responsables con menos de cien trabajadores cuando:
El tratamiento pueda entrañar riesgo para los derechos y libertades de los titulares, conforme al análisis de riesgos;
El tratamiento no sea ocasional; o,
Incluya categorías especiales de datos personales.
En la práctica, esta extensión implica que la mayoría de organizaciones que tratan datos personales de forma sistemática están obligadas a llevar un RAT, independientemente de su tamaño. Un tratamiento continuo difícilmente puede considerarse ocasional, y el tratamiento de categorías especiales de datos personales [entre ellos son datos sensibles] activa automáticamente la obligación. Por tanto, el criterio cuantitativo del número de trabajadores no debe interpretarse de manera aislada, sino en armonía con la naturaleza y riesgos del tratamiento.
Más allá del mandato formal, el RAT constituye una herramienta estructural de gestión. Desde una perspectiva de cumplimiento integral, todo Responsable que trate datos personales debería contar con un registro que le permita conocer y controlar sus operaciones. En este sentido, el RAT es también un mecanismo de autodiagnóstico permanente.
¿Para qué sirve el RAT?
El RAT es el punto de partida en cualquier proceso de adecuación y cumplimiento normativo en materia de protección de datos personales. Permite identificar:
qué datos se tratan;
con qué finalidad se usan los datos;
sobre qué categorías de titulares (quiénes);
con qué base legitimadora (habilitantes legales Art. 7 LOPDP)
durante cuánto tiempo (criterios definidos por el Responsable);
sí existen transferencias o destinatarios; y
qué medidas de seguridad respaldan el tratamiento.
En otras palabras, el RAT traduce en términos operativos los principios de licitud, finalidad, minimización, seguridad y responsabilidad proactiva previstos en la LOPDP.
No existe un modelo único de RAT. El contenido mínimo exigible se encuentra en el artículo 38 del Reglamento LOPDP, pero su estructura debe adaptarse a la realidad de cada organización. El RAT no es una plantilla; es un instrumento de gobernanza construido a la medida del Responsable, en aplicación del principio de responsabilidad proactiva. Su valor no radica en el formato, sino en la calidad del análisis que lo sustenta.
¿Cómo se inicia su elaboración?
El primer paso es comprender la organización. Se deben identificar los procesos internos y, dentro de ellos, las actividades que impliquen tratamiento de datos personales.
Ello requiere un levantamiento de información por áreas (talento humano, comercial, financiero, tecnológico, atención al cliente, entre otras) y el análisis de operaciones como recolección, almacenamiento, uso, transmisión, transferencia, conservación o eliminación de datos. Este ejercicio debe realizarse con participación transversal de las áreas involucradas, y no únicamente desde una perspectiva jurídica.
Solo una vez identificadas las actividades, se procede a documentarlas conforme al artículo 38 del Reglamento LOPDP, que exige incluir:
Identificación y datos de contacto del responsable, corresponsable (si lo hubiere) y delegado de protección de datos;
Fines del tratamiento;
Categorías de destinatarios;
Titulares y categorías de datos;
Uso de perfiles, cuando aplique;
Transferencias internacionales, en su caso;
Bases legitimadoras;
Plazos de conservación; y
Medidas técnicas, jurídicas, administrativas y organizativas.
Cada uno de estos elementos se vincula con obligaciones sustantivas previstas en la LOPDP, lo que confirma que el RAT no es meramente declarativo, sino un instrumento de demostración del cumplimiento. Es, en definitiva, la evidencia documental de que el Responsable conoce y gobierna (gestiona) los tratamientos a su cargo.
Desarrollo normativo a través de resoluciones de la SPDP
En virtud del artículo 76 numeral 5 de la LOPDP, la Superintendencia de Protección de Datos Personales está facultada para emitir normativa técnica que complemente el marco legal. Algunas de las resoluciones emitidas recientemente por la SPDP inciden directamente en el alcance del RAT, a continuación un brevísimo extracto:
a) Resolución Nº SPDP-SPD-2026-0009-R, Norma General para la Garantía del Derecho de Protección de Datos Personales en el Uso de Sistemas de Inteligencia Artificial:
Establece que deben incluirse en el RAT las decisiones automatizadas generadas por sistemas de inteligencia artificial cuando produzcan efectos jurídicos o afecten derechos y libertades de los titulares. Refuerza, además, la obligación de poner el RAT a disposición de la SPDP cuando sea requerido. Amplía así su alcance frente a tecnologías emergentes.
b) Resolución Nº SPDP-SPD-2026-0004-R, Norma General de Transferencias o Comunicaciones Nacionales e Internacionales de Datos Personales:
No crea nuevas obligaciones respecto del RAT, pero desarrolla el artículo 38 numeral 6 del Reglamento, precisando cómo deben documentarse y legitimarse las transferencias. Debe leerse de forma sistemática: el Reglamento exige registrar las transferencias; la resolución detalla cómo deben estructurarse y respaldarse jurídicamente.
c) Resolución Nº SPDP-SPD-2025-0041-R, Normativa General para la Aplicación del Interés Legítimo:
No regula directamente el RAT. Sin embargo, al exigir que la evaluación de ponderación del interés legítimo se mantenga documentada y disponible para la autoridad, impacta indirectamente en su contenido. Si el tratamiento se basa en interés legítimo, esta base debe constar en el RAT conforme al artículo 38 numeral 7 del Reglamento, y la evaluación constituye su soporte documental.
d) Resolución Nº SPDP-SPD-2026-0005-R, Norma General sobre el Tratamiento de Datos Personales a Gran Escala:
Introduce regulación directa sobre el RAT en tratamientos a gran escala. Exige incluir el número de titulares y el volumen de datos, incorporar el resultado del Modelo Técnico de Gran Escala (MTGE), actualizar el registro al menos anualmente y documentar los criterios aplicados. Amplía así el contenido mínimo del artículo 38 cuando el tratamiento alcanza dicha condición.
Hasta aquí podemos concluir que el RAT, es, en realidad, el instrumento que permite al Responsable conocer, organizar y controlar sus operaciones de tratamiento de datos personales. Sin RAT no hay trazabilidad; sin trazabilidad no hay control; y sin control no hay cumplimiento efectivo.
¿Y qué ocurre con el Registro Nacional de Protección de Datos Personales (RNPD)?
A diferencia del RAT, cuya existencia depende de los criterios del artículo 38 y 39 del Reglamento LOPDP, el registro en el RNPD constituye una obligación general para los Responsables.
El artículo 47 numeral 12 de la LOPDP establece como obligación del Responsable del tratamiento registrar y mantener actualizado el Registro Nacional de Protección de Datos Personales, conforme a la Ley, su Reglamento y la normativa emitida por la Autoridad.
El Reglamento LOPDP, en su artículo 85, dispone que el reporte y la actualización de la información en el RNPD será obligación del Responsable del tratamiento, aclarando expresamente que esta obligación no implica el registro de los datos contenidos en la base de datos, sino del tratamiento o base como tal. El registro deberá realizarse de manera independiente por cada base de datos o tratamiento.
Adicionalmente, el artículo 86 del Reglamento LOPDP establece que el reporte deberá efectuarse dentro del término de diez días contados desde el inicio del tratamiento, lo que evidencia que el RNPD opera bajo un criterio de inscripción oportuna. A la fecha, la SPDP no ha emitido normativa específica que desarrolle el procedimiento operativo detallado para el RNPD.
Así también, conforme a la normativa el incumplimiento de estas obligaciones no es menor: el artículo 68 numerales 10 y 11 de la LOPDP califica como infracción grave no mantener actualizado el RNPD o no consignar en él la información exigida por la normativa. Este régimen sancionatorio evidencia un tratamiento diferenciado entre ambos instrumentos: mientras el RNPD cuenta con tipificación expresa de infracciones asociadas a su incumplimiento, la LOPDP no establece una referencia sancionatoria directa respecto del RAT, cuya exigibilidad se articula principalmente a través del Reglamento y del principio de responsabilidad proactiva.
Con base en lo analizado, puede afirmarse que el sistema ecuatoriano de protección de datos personales adopta un modelo de doble registro. Mientras el Registro Nacional de Protección de Datos Personales (RNPD) cumple una función de supervisión, publicidad y control administrativo a cargo de la Autoridad, el Registro de Actividades del Tratamiento (RAT) constituye la herramienta de gobernanza interna del dato personal. Uno opera hacia afuera, en el ámbito de la fiscalización y transparencia; el otro opera hacia adentro, en el ámbito de la organización y gestión del riesgo.
Esta arquitectura normativa revela una combinación entre autorregulación supervisada y control estatal. El Responsable debe primero identificar, estructurar y documentar sus tratamientos a través del RAT, y posteriormente cumplir con el deber de registro ante el RNPD [en los términos de la Ley]. No se trata de instrumentos que compiten entre sí, sino de mecanismos complementarios que aseguran trazabilidad interna y control externo.
En este contexto, las resoluciones emitidas por la Superintendencia no sustituyen el contenido mínimo previsto en el artículo 38 del Reglamento, pero lo complementan y densifican, especialmente en escenarios de mayor riesgo como inteligencia artificial, transferencias internacionales, tratamientos basados en interés legítimo o tratamientos a gran escala. Estas normas técnicas refuerzan la idea de que el RAT no es un documento estático, sino un instrumento dinámico que debe evolucionar junto con los procesos, tecnologías y riesgos de la organización.
En definitiva, una organización que no cuenta con un RAT actualizado difícilmente podrá demostrar cumplimiento, gestionar adecuadamente sus riesgos o responder con solvencia ante la autoridad. El RAT no es el final del proceso de adecuación; es su punto de partida. Y, más aún, es la manifestación concreta del principio de responsabilidad proactiva en el sistema ecuatoriano de protección de datos personales.
Referencias normativas
Ley Orgánica de Protección de Datos Personales, Registro Oficial Suplemento No. 459, de 26 de mayo de 2021.
Reglamento General a la Ley Orgánica de Protección de Datos Personales, Tercer Suplemento del Registro Oficial No. 435, de 13 de noviembre de 2023.
Resolución Nº SPDP-SPD-2025-0041-R, de 7 de noviembre de 2025, Normativa General para la Aplicación del Interés Legítimo como Base de Legitimación para el Tratamiento de Datos Personales dentro del Territorio de la República del Ecuador.
Resolución Nº SPDP-SPD-2026-0004-R, de 28 de enero de 2026, Norma General de Transferencias o Comunicaciones Nacionales e Internacionales de Datos Personales.
Resolución Nº SPDP-SPD-2026-0005-R, de 2 de febrero de 2026, Norma General sobre el Tratamiento de Datos Personales a Gran Escala.
Resolución Nº SPDP-SPD-2026-0009-R, de 12 de febrero de 2026, Norma General para la Garantía del Derecho de Protección de Datos Personales en el Uso de Sistemas de Inteligencia Artificial.