LEXIS Noticias
Norma general sobre el tratamiento de datos personales a gran escala entra en vigencia en Ecuador
La Superintendencia de Protección de Datos Personales (SPDP) expidió la resolución N.º SPDP-SPD-2026-0005-R mediante la cual se aprueba la Norma General sobre el Tratamiento de Datos Personales a Gran Escala, con el objetivo de establecer directrices técnicas y jurídicas para identificar y gestionar estos tratamientos conforme a la Ley Orgánica de Protección de Datos Personales (LOPDP). Esta norma entró en vigencia tras su publicación en el Registro Oficial el 2 de febrero de 2026.
Se establece un modelo técnico-jurídico obligatorio para determinar tratamientos a gran escala
La resolución introduce el Modelo Técnico de Gran Escala (MTGE) como un instrumento obligatorio para evaluar si un tratamiento de datos personales califica como de gran escala. El modelo considera seis variables: número de titulares, volumen de datos, categorías de datos, frecuencia, permanencia y alcance geográfico. El tratamiento será considerado de gran escala si el puntaje acumulado es igual o superior a 6 puntos.
Ciertos tratamientos quedan calificados automáticamente como de gran escala
Sin necesidad de aplicar el MTGE, la norma califica de forma directa como tratamientos de gran escala aquellos que involucren, por ejemplo, datos de salud, videovigilancia en espacios públicos, perfilamiento automatizado, datos biométricos, actividades de geolocalización, transferencias sistemáticas de datos o tratamientos dirigidos a niñas, niños y adolescentes.
Se imponen nuevas obligaciones para responsables y encargados de tratamiento
Entre las obligaciones impuestas por esta norma se encuentran: mantener actualizado el Registro de Actividades de Tratamiento (RAT), aplicar medidas de privacidad desde el diseño, realizar auditorías internas o externas cada 12 meses y divulgar en sus políticas de privacidad los tratamientos a gran escala. Además, deberán elaborar informes anuales de cumplimiento y conservarlos por un mínimo de cinco años.
Plazo de 90 días para designar delegados de protección de datos en nuevos casos
La disposición transitoria de la norma otorga un plazo de 90 días desde su entrada en vigencia para que los responsables o encargados, que identifiquen tratamientos de gran escala a partir de los nuevos criterios, designen a sus delegados de protección de datos y los registren ante la SPDP. Este plazo no aplica a quienes ya estaban obligados previamente bajo los supuestos del RGLOPDP.