LEXIS Noticias
Registro Oficial del día: Superintendencia expide guía para gestión de riesgos y evaluación de impacto en tratamiento de datos personales
La Superintendencia de Protección de Datos Personales (SPDP) aprobó, mediante Registro Oficial Año l Cuarto Suplemento del 19 de mayo de 2025, la “Guía de Gestión de Riesgos y Evaluación de Impacto del Tratamiento de Datos Personales”, conforme a lo previsto en la Ley Orgánica de Protección de Datos Personales (LOPDP) y su reglamento. La resolución, firmada el 29 de abril de 2025, establece directrices obligatorias y orientativas para responsables y encargados del tratamiento de datos personales.
Contexto legal del hecho
La expedición de esta guía se fundamenta en los artículos 40 y 42 de la Ley Orgánica de Protección de Datos Personales (LOPDP), los artículos 29 al 32 del Reglamento General a la LOPDP (RGLOPDP), así como en la resolución N° SPDP-SPDP-2024-0001-R. Estas disposiciones regulan los principios de responsabilidad proactiva, evaluación de impacto y medidas de seguridad aplicables al tratamiento de datos personales en Ecuador.
Contenido o disposición principal
La guía, elaborada por el Intendente General de Innovación Tecnológica y Seguridad de Datos Personales, Luis Enríquez Álvarez, tiene como finalidad establecer parámetros para identificar, evaluar y mitigar riesgos relacionados con el tratamiento de datos personales.
El capítulo I de la guía tiene carácter obligatorio y debe ser aplicado por todos los responsables y encargados del tratamiento de datos personales. En cambio, el capítulo II es de carácter referencial y ofrece metodologías sugeridas, cuya adopción es facultativa.
La resolución enfatiza que tanto el análisis de riesgos como la evaluación de impacto son requerimientos obligatorios conforme a la LOPDP, el RGLOPDP y demás normativa conexa, sin perjuicio de la metodología específica que se utilice.
Aplicación, plazos y seguimiento
La guía es de aplicación para responsables y encargados del tratamiento de datos personales, tanto del sector público como privado. A partir de su suscripción, la resolución tiene plena vigencia, aunque también será publicada en el Registro Oficial.
Dentro del plazo de un año, la Intendencia de Innovación Tecnológica deberá revisar y evaluar el contenido de la guía, y remitir un informe técnico al Superintendente de Protección de Datos Personales.
Fuente: Registro Oficial Año l Cuarto Suplemento del 19 de mayo de 2025