Nueva Guía de Gestión de Riesgos y Protección de Datos Personales

La Superintendencia de Protección de Datos Personales presentó en 2026 la segunda versión de la Guía de Gestión de Riesgos y Evaluación de Impacto del Tratamiento de Datos Personales. Este documento técnico, elaborado por el Intendente General de Innovación Tecnológica, Luis Enríquez Álvarez, y editado por Vanessa Hervás Novoa, establece metodologías para que los responsables y encargados del tratamiento cumplan con la Ley Orgánica de Protección de Datos Personales en Ecuador.

Criterios técnicos para el cumplimiento de la LOPDP

El instrumento normativo detalla los procedimientos obligatorios para las cinco etapas de la mitigación de contingencias: establecimiento del contexto, identificación, análisis, evaluación y tratamiento de vulnerabilidades. La normativa determina que el cumplimiento de la ley exige prescindir de listas de verificación documentales para dar paso al desarrollo de modelos precisos, construcción de métricas y calibración de dictámenes de expertos, con el objetivo de reducir la incertidumbre epistemológica frente a escenarios de amenaza.

Enfoque legaltech en la seguridad de datos

La directriz técnica dispone la integración sistemática entre las áreas jurídicas, los departamentos de seguridad de la información y los delegados de protección de datos dentro de las organizaciones. El manual oficial especifica la aplicación de herramientas tecnológicas, modelos de aprendizaje automático, analítica predictiva legal, jurimetría y procesamiento de lenguaje natural para sustentar las estimaciones cuantitativas y cualitativas, habilitando el monitoreo continuo de incidentes relacionados con la confidencialidad, la integridad y la disponibilidad de los registros.

Reacciones institucionales y salvaguardas documentadas

El texto oficial estipula que, ante cualquier conflicto entre normas o principios operativos, prevalecerá la protección de los derechos y libertades de los titulares de la información. La institución exige identificar a los grupos de usuarios especialmente vulnerables y demanda la ejecución de auditorías jurídicas, técnicas y organizacionales permanentes para certificar la legitimidad del consentimiento inequívoco, la transparencia corporativa y la aplicación del principio de minimización en la recolección de información ciudadana.

Próximos pasos en la evaluación de impacto

Las entidades públicas y corporaciones privadas sujetas a esta regulación deben incorporar estas exigencias metodológicas en sus políticas de gobernanza e interactuar de forma estructurada con sus Oficiales de Seguridad de la Información. Los procesos de adaptación legal requerirán el uso de estándares internacionales y marcos de control corporativo para fundamentar documentadamente cada escenario de vulnerabilidad, asegurando la resiliencia técnica de los sistemas y la eficacia en el resguardo de la privacidad.

Fuente: Guía de Gestión de Riesgos y Evaluación de Impacto del Tratamiento de Datos Personales - Versión 2