Registro Oficial del día: SPDP reforma el Reglamento para la Ejecución del Plan Anual de Auditorías

La Superintendencia de Protección de Datos Personales publicó la Resolución Número SPDP-SPD-2026-0021-R, publicada en el Registro Oficial Año ll Primer Suplemento No. 292 del 27 de mayo de 2026, la cual reforma el Reglamento para la Elaboración y Aprobación del Plan Anual de Auditorías institucionales. Esta normativa, suscrita en Santiago de Guayaquil el 08 de mayo de 2026 por el superintendente Fabrizio Peralta-Díaz, modifica la resolución previa expedida el 30 de abril de 2025. La reforma responde al Plan Regulatorio Institucional aprobado el 30 de diciembre de 2025, incorporando cambios en la fiscalización de los sujetos regulados.

Nuevos criterios objetivos para la selección de sujetos auditados

La selección de las entidades y sectores que serán objeto de fiscalización por parte de la Intendencia General de Control y Sanción se fundamentará en parámetros estrictamente verificables. Entre estos criterios se incluyen el alcance, impacto y riesgo del tratamiento de los datos, el volumen y sensibilidad de la información, la vulnerabilidad de los titulares y la cantidad de denuncias recibidas. Adicionalmente, se evaluará el uso de innovación tecnológica en el procesamiento de datos, la disponibilidad de recursos institucionales y la gravedad de las vulneraciones de seguridad que hayan sido reportadas previamente.

Procedimiento formal para el inicio de las auditorías técnicas

El proceso de auditoría comenzará de manera oficial mediante la emisión de un acto administrativo por parte de la Intendencia General de Control y Sanción, en el cual se ordenará la ejecución de una reunión de inicio. Dicho documento designará formalmente al funcionario que actuará en calidad de auditor y detallará las acciones a seguir durante la inspección. Asimismo, el acto determinará la documentación que el sujeto auditado debe preparar con anticipación y especificará los aspectos técnicos y jurídicos que serán evaluados.

Requisitos para la comparecencia y designación de delegados

Durante la sesión inicial deberán comparecer los funcionarios elegidos por la organización auditada, presumiéndose que cuentan con las facultades necesarias para representarla. De igual manera, se exige la presencia del delegado de protección de datos personales, independientemente de si su nombramiento fue voluntario u obligatorio. Los delegados cuya designación sea forzosa no podrán intervenir en la reunión si sus cargos no constan inscritos en el registro de la institución con un mínimo de quince días de anticipación a la fecha fijada.

Plazos para la suscripción de actas y notificación de resultados

Una vez concluida la sesión de apertura, los intervinientes procederán a suscribir el acta correspondiente el mismo día de su celebración o dentro del término máximo de un día. La falta de firma por parte de los representantes del auditado significará la aceptación total del contenido del documento. Posteriormente, la autoridad competente emitirá informes preliminares y efectuará una reunión de cierre, ya sea de forma física o telemática, para dar lectura a los hallazgos principales antes de la elaboración del informe final.

Fuentes: Registro Oficial Año ll Primer Suplemento No. 292 del 27 de mayo de 2026