Registro Oficial del día: Superintendencia expide reglamento para la seudonimización y eliminación de datos personales

La Superintendencia de Protección de Datos Personales emitió la Resolución No. SPDP-SPD-2025-0030-R, publicada en el Registro Oficial Año I No. 115 del 02 de septiembre de 2025, mediante la cual se expide el Reglamento para la Seudonimización, Anonimización, Bloqueo y Eliminación de Datos Personales. Esta norma regula procedimientos clave del tratamiento de datos conforme a la Ley Orgánica de Protección de Datos Personales (LOPDP).

Contexto legal del tratamiento de datos

El reglamento se fundamenta en lo dispuesto por la Ley Orgánica de Protección de Datos Personales, vigente desde 2021, y complementa lo establecido en su artículo 23, que establece el derecho del titular a la eliminación de sus datos, así como en los artículos 8, 10, 11, 27 y 31 del mismo cuerpo normativo. La expedición se enmarca también en el artículo 14 de la ley, que otorga a la Superintendencia la potestad reglamentaria para emitir normativa secundaria.

Disposiciones sobre seudonimización, anonimización y eliminación

El reglamento define y regula los siguientes procedimientos:

• Seudonimización: Proceso reversible que sustituye identificadores por seudónimos, permitiendo la reidentificación mediante información adicional separada.

• Anonimización: Proceso irreversible que impide vincular los datos con una persona identificada o identificable.

• Bloqueo: Limitación temporal al tratamiento de los datos, salvo conservación.

• Eliminación: Supresión definitiva de los datos personales en formatos físicos y digitales.

La norma detalla los requisitos técnicos y organizativos mínimos que deben adoptar los responsables y encargados del tratamiento, así como las condiciones de validez de cada procedimiento.

Ámbito de aplicación y obligaciones de los responsables

El reglamento es de aplicación obligatoria para todos los responsables y encargados del tratamiento de datos personales en Ecuador, tanto del sector público como privado. Entre sus obligaciones destaca:

• Implementar mecanismos de trazabilidad de procesos de anonimización y seudonimización.

• Garantizar la destrucción segura de soportes físicos y digitales.

• Respetar los plazos legales de conservación de datos antes de su eliminación.

Las disposiciones entran en vigencia a partir de su publicación en el Registro Oficial, lo que ocurrió el 2 de septiembre de 2025. Los responsables del tratamiento deben adecuar sus políticas internas y sistemas técnicos conforme al reglamento.

Fuente: Registro Oficial Año I No. 115 del 02 de septiembre de 2025