LEXIS Noticias
Superintendencia de Protección de Datos Personales expide norma general para la protección de datos personales en el uso de inteligencia artificial
La Superintendencia de Protección de Datos Personales emitió la Resolución N.º SPDP-SPD-2026-0009-R, mediante la cual expide la Norma General para la Garantía del Derecho de Protección de Datos Personales en el Uso de Sistemas de Inteligencia Artificial. La norma establece principios, obligaciones y mecanismos de control aplicables al tratamiento de datos personales a través de sistemas de inteligencia artificial.
Fundamento constitucional, legal e internacional de la norma
La resolución se fundamenta en el numeral 19 del artículo 66 de la Constitución de la República del Ecuador, que reconoce el derecho a la protección de datos personales, así como en la Ley Orgánica de Protección de Datos Personales (LOPDP) y su Reglamento General (RGLOPDP). También se invoca el artículo 20 de la LOPDP, que reconoce el derecho a no ser objeto de decisiones basadas única o parcialmente en valoraciones automatizadas.
El acto normativo incorpora referencias a los Estándares Iberoamericanos de Protección de Datos y a las Recomendaciones Generales para el Tratamiento de Datos en la Inteligencia Artificial adoptadas en el marco de la Red Iberoamericana de Protección de Datos. Asimismo, toma en consideración la Recomendación sobre la Ética de la Inteligencia Artificial aprobada por la UNESCO y la Estrategia para el Fomento del Desarrollo y Uso Ético y Responsable de la Inteligencia Artificial en el Ecuador, expedida mediante acuerdo ministerial N.º MINTEL-MINTEL-2025-0030.
Objeto, definiciones y obligaciones para responsables y encargados
El artículo 1 establece que la norma tiene por objeto garantizar la aplicación de los principios, derechos y obligaciones previstos en la LOPDP, el RGLOPDP y la normativa secundaria emitida por la SPDP, cuando se desarrollen, entrenen, implementen, desplieguen o provean sistemas de inteligencia artificial que traten datos personales de titulares ecuatorianos, con independencia de la ubicación del sistema o del proveedor.
El artículo 2 incorpora definiciones específicas de desarrollador, desplegador, distribuidor e implementador, en calidad de responsables o encargados del tratamiento de datos personales en el contexto de sistemas de inteligencia artificial.
En el Título III se establecen obligaciones como informar al titular de manera clara y transparente sobre el tratamiento automatizado, realizar gestión de riesgos y evaluaciones de impacto, implementar medidas de seguridad administrativas, técnicas, físicas, organizativas y jurídicas, incluir los tratamientos en el Registro de Actividades de Tratamiento (RAT) y auditar el funcionamiento del sistema conforme al nivel de riesgos.
Facultades de control de la SPDP y vigencia de la resolución
La norma dispone que los sistemas de inteligencia artificial que traten datos personales deberán regirse por los principios de la LOPDP y garantizar los derechos reconocidos en dicha ley, incluido el derecho a no ser objeto de decisiones basadas única o parcialmente en valoraciones automatizadas, así como el derecho a la información y de oposición.
El artículo 10 faculta a la SPDP a auditar los sistemas de inteligencia artificial e imponer medidas correctivas o cautelares, conforme a la LOPDP y al Código Orgánico Administrativo, cuando no se garanticen los principios, derechos y obligaciones establecidos en la normativa aplicable. El incumplimiento será sancionado de acuerdo con el régimen sancionatorio legalmente previsto.
La disposición final establece que la resolución entrará en vigencia a partir de su publicación en el Registro Oficial. Fue suscrita en Quito el 12 de febrero de 2026 por el Superintendente de Protección de Datos Personales.