La Superintendencia de Protección de Datos Personales (SPDP) emitió este 25 de febrero de 2026 la Resolución Nro. SPDP-SPD-2026-0005-R, mediante la cual se expide la Norma General sobre el Tratamiento de Datos Personales a Gran Escala. Esta regulación técnica busca precisar el alcance del concepto jurídico de "gran escala", un término que la Ley Orgánica de Protección de Datos Personales (LOPDP) asocia con riesgos elevados para los derechos y libertades de los ciudadanos. La normativa responde a la necesidad de establecer controles más estrictos y responsabilidades claras para las organizaciones que manejan volúmenes masivos de información personal en el entorno digital ecuatoriano.
Criterios de calificación y el método de evaluación cuantitativa
La nueva norma introduce el Método Técnico de Gran Escala (MTGE), un sistema de evaluación basado en variables cuantitativas para determinar si un tratamiento de datos debe considerarse de gran escala. Este cálculo vinculante analiza factores como el volumen de datos, el número de titulares afectados y la diversidad geográfica de la información. Se establece un umbral de seis puntos para activar la calificación de "gran escala", lo que desencadena obligaciones legales automáticas, incluyendo la necesidad de realizar evaluaciones de impacto previas y la designación obligatoria de un delegado de protección de datos personales.
Casos de calificación directa y obligatoria
Existen actividades que, por su naturaleza, se consideran tratamiento a gran escala de manera directa, sin requerir la aplicación del método de cálculo técnico. Entre estos casos se encuentran los tratamientos de datos relativos a la salud dentro de sistemas sanitarios o de seguridad social, el manejo estructural de información en sistemas de riesgo crediticio y financiero, y el tratamiento de datos biométricos o de geolocalización. Asimismo, la normativa incluye en esta categoría la vigilancia sistemática en espacios públicos mediante videovigilancia y el tratamiento de datos de niños, niñas y adolescentes en entornos institucionales o digitales.
Obligaciones reforzadas para responsables y encargados
Los responsables y encargados que realicen tratamientos a gran escala deben implementar medidas reforzadas de responsabilidad proactiva y seguridad. Entre las exigencias principales se encuentra la obligación de mantener un Registro de Actividades de Tratamiento (RAT) detallado, que incluya la frecuencia, permanencia y medidas de seguridad aplicadas a los datos. Además, estas entidades están sujetas a la aplicación de principios de privacidad desde el diseño y por defecto, y deberán someterse a auditorías internas o externas de protección de datos al menos una vez cada doce meses.
Marco internacional y facultades de control de la SPDP
La resolución se alinea con los Estándares Iberoamericanos de Protección de Datos y las recomendaciones de la OCDE para enfrentar los riesgos de la vigilancia masiva y el uso de macrodatos (big data). La Superintendencia, como organismo técnico de vigilancia y control, mantiene la potestad de requerir acceso a la información de los tratamientos para verificar el cumplimiento de la ley, protegiendo al mismo tiempo los secretos industriales y la propiedad intelectual de las empresas. Esta norma general entra en vigencia de forma inmediata tras su publicación en el Registro Oficial.
Fuentes: Registro Oficial Año l Primer Suplemento No. 231 del 25 de febrero de 2026
