El 28 de enero, la Superintendencia de Protección de Datos Personales (SPDP) de Ecuador expidió la Norma General de Transferencias o Comunicaciones Nacionales e Internacionales de Datos Personales, para regular las transferencias y comunicaciones de estos datos dentro y fuera del país, mediante una serie de procedimientos y requisitos técnicos y jurídicos que establecen obligaciones legales, técnicas y procedimientos varios para lograr este objetivo.
La norma se publicó en la Resolución N° SPDP-SPD-2026-0004-R y es obligatoria para todos los responsables y encargados del tratamiento de datos personales y de la transferencia de estos hecha por cualquier medio. A grandes rasgos, la nueva normativa impone que toda transferencia nacional debe hacerse con fines lícitos, conforme a la Ley Orgánica de Protección de Datos Personales (LOPDP) y con el consentimiento del titular.
También califica al receptor y administrador de los datos como Responsable del Tratamiento, sujeto ahora a no efectuar transferencias posteriores a las primeras hechas de manera lícita y con el consentimiento informado del titular sin una nueva base de legitimación. Para cumplir su rol, el Responsable debe aplicar procesos que aseguren la protección de los derechos de los titulares.
Dentro de esta nueva norma, el flujo de datos hacia países miembros de la Comunidad Andina (Colombia, Perú y Bolivia) se reconocen automáticamente como flujos con nivel adecuado, por lo que no conllevará evaluación adicional de la legitimidad de la transferencia. Estos flujos hacia estas naciones serán prioritarios junto con los hechos hacia países, territorios y organizaciones que la SPDP considere ofrecen un nivel de protección equiparable al ecuatoriano.
Es importante saber que el reconocimiento de nivel adecuado para la CAN no es un beneficio discrecional, sino un mandato derivado de la Decisión 897 que unifica los estándares de protección de datos entre los países miembro. Que el flujo de datos sea automático es un mecanismo para facilitar la integración económica, bajo el entendido de que hay una equivalencia normativa suficiente para garantizar la seguridad de la información de los titulares. Sin embargo, la Norma prevé que esta calificación puede suspenderse de inmediato si la SPDP verifica deficiencias graves en el cumplimiento de los estándares comunitarios o nacionales aplicables, explica Francisco Pérez Gangotena, socio de Pérez Bustamante & Ponce (PBP).
No obstante, para mitigar los riesgos de fuga o desprotección, la normativa establece un sistema de supervisión constante y la elaboración de informes consolidados cada dos años consecutivos que se remiten a la Secretaría General de la CAN. Esto le da a la SPDP la facultad de iniciar procesos de verificación y recomendar medidas correctivas internacionales ante el Consejo Andino de ministros si detecta un incumplimiento sistémico de las garantías en un Estado miembro.
Este procedimiento permite que el flujo de datos sea ágil pero monitoreado, reservando a la SPDP el ejercicio de sus facultades de control, apunta el abogado.
Ahora, queda claro que los flujos hacia la CAN tienen un nivel de protección automático, pero ¿esto no podría generar −indirectamente− un riesgo de fuga de datos hacia países con estándares potencialmente menores a los ecuatorianos? Según Daniel López Suárez, socio de López Ribadeneira Mora, sí podría, mientras la SPDP no identifique deficiencias graves, se entiende que los países de la CAN, per se, tienen un nivel de protección adecuado, lo cual sí podría implicar un riesgo para el titular de la información.
Aunque para esto precisamente existe el mecanismo que obliga a los responsables y encargados del tratamiento y transferencias, hechas bajo el régimen especial Intra-CAN, que adopten y acrediten la adopción de medidas documentales que demuestren el cumplimiento de las obligaciones de protección de datos, incluidos contratos, políticas internas, análisis de riesgos, evaluaciones de impacto y reportes de seguridad, señala el experto.
Ahora, es importante apuntar que el flujo automático entre países CAN no exime a las empresas de sus obligaciones de cumplimiento, pues estos flujos están sujetos a una inscripción individual obligatoria en el Registro Nacional de Protección de Datos. Esto significa que los responsables y encargados deben acreditar documentalmente la adopción de contratos, políticas internas, análisis de riesgos y evaluaciones de impacto específicos para cada transferencia bajo el régimen Intra-CAN.
De este modo, la responsabilidad proactiva del exportador de datos actúa como la barrera final de seguridad que impide que la integración regional comprometa la privacidad de los ciudadanos ecuatorianos, dice Norela Malo, asociada sénior de PBP.
Por cierto, los responsables de tratamiento deben adoptar y acreditar la adopción de medidas documentales que demuestren el cumplimiento de las obligaciones de protección de datos, bajo el régimen especial Intra-CAN. Para adecuarse, disponen de un periodo de doce meses para su regularización, notificar a la SPDP la existencia de dichas transferencias y presentar un plan de adecuación que especifique las medidas de mitigación y el mecanismo mediante el cual se ajustará la transferencia.
Pero este tipo de adecuaciones suele verse como un obstáculo burocrático, sobre todo entre las pymes, que a veces tienen dificultades en equilibrar la protección de datos con la necesidad de no asfixiar su competitividad empresarial. Sobre este punto, considerado “neurálgico” por Daniel López, el abogado precisa que tanto esta nueva norma, como todas las otras normas secundarias que han sido emitidas por la autoridad ecuatoriana en los últimos 2 años, ha hecho cuesta arriba que todas las empresas e instituciones responsables de tratamiento de datos, especialmente las pymes, vean como un reto el estar en cumplimiento de todo.
Más que obstáculos burocráticos, las nuevas obligaciones relacionadas con la protección de datos personales han generado la necesidad de que los responsables de tratamiento de datos inviertan importantes recursos económicos y tiempo para su cumplimiento, desde la obligación de implementación de protocolos y políticas internas, pasando por todo un nuevo esquema interno de tratamiento de datos en el día a día, e inclusive llegando a la necesidad de contratar una o más personas, especializadas en el tema, por ejemplo el delegado de protección de datos y asesores externos, para lograr el cumplimiento, explica.
Protección de datos e inteligencia artificial: Lecciones aprendidas sobre la demanda contra Linkedin
Para él, si bien la protección de datos es necesaria, debe guardarse un equilibrio para que todo el aparataje y requisitos que el cumplimiento de estas nuevas regulaciones demanda, con sus respectivos costos económicos y de tiempo, no fomenten lo contrario: la evasión o el incumplimiento de las mismas.
En contraste, Pérez Gangotena insiste en que esta norma no debe percibirse como un obstáculo burocrático, sino como un marco regulatorio que garantiza derechos fundamentales mediante procedimientos técnicos y jurídicos claros. Esta estructura brinda seguridad jurídica al validar instrumentos estandarizados para el flujo de información, tales como las cláusulas contractuales modelo reconocidas por la Red Iberoamericana de Protección de Datos, que simplifican la gestión administrativa de las empresas al permitir la presentación de reportes anuales en lugar de inscripciones individuales para transferencias a destinos con nivel adecuado de protección.
El equilibrio entre protección y competitividad se fortalece mediante el reconocimiento de niveles adecuados, destacando el régimen especial Intra-CAN. Esta disposición facilita el flujo transfronterizo automático de datos sin necesidad de evaluaciones adicionales por parte de la autoridad, reduciendo tiempos y costos operativos para las pymes, apuntan.
Asimismo, los doce meses de adecuación son para la firma razonables, puesto que la norma no exige una adecuación técnica inmediata y total, sino la notificación formal de las transferencias y la presentación de un plan de adecuación detallado. De acuerdo con ellos, este tiempo permite que las empresas realicen un inventario exhaustivo de sus flujos de datos y seleccionen el mecanismo de ajuste más idóneo.
Las garantías y qué cambia
Desde la expedición de la norma se estableció que el Responsable del Tratamiento debe implementar garantías que aseguren la protección de los derechos de los titulares bajo garantías como las cláusulas contractuales adoptadas por la SPDP, por organismos internacionales de los que el Ecuador es parte y autoridades de protección de datos de los países con los que la SPDP ha suscrito acuerdos de cooperación; también son garantías las normas corporativas vinculantes adoptadas por grupos empresariales, filiales o joint ventures aprobadas por la SPDP, así como los códigos de conducta con carácter vinculante y los mecanismos de certificación emitidos por entidades acreditadas, que aseguren el cumplimiento permanente de los estándares de los reglamentos ecuatorianos.
Entonces, en términos prácticos, no mucho ha cambiado para el usuario final. Como dice Daniel López Suárez, la nueva norma contiene una regulación que principalmente afecta a quienes realizan tratamiento de datos, a los encargados y a los responsables de su cumplimiento y esto conviene al usuario final de cierta forma, porque las nuevas reglas regulan los procedimientos y requisitos técnicos y jurídicos que procuran garantizar el ejercicio de los derechos de protección de datos en las transferencias o comunicaciones nacionales e internacionales de datos personales.
Con esta nueva norma específica, el usuario ya tiene un concepto jurídico de lo que se entenderá por flujo transfronterizo de datos personales, que es definido como la transferencia o comunicación internacional realizada a un destinatario situado en un país distinto al del origen de los datos personales, sin importar el soporte en que aquellos se encuentren, los medios por los cuales se efectuó la transferencia ni el tratamiento que reciban, siempre y cuando se realice en el marco de un organismo internacional de integración supranacional, explica.
IA, fraude digital y compliance marcarán la agenda de la Propiedad Intelectual en 2026
Adicionalmente, el incumplimiento de la normativa acarrea medidas correctivas inmediatas, como el cese del tratamiento de datos o la eliminación definitiva de la información, y multas administrativas que pueden alcanzar hasta 1 % del volumen de negocios del ejercicio anterior de la empresa que incumpla, según la gravedad de la infracción, aplicadas sin perjuicio de las responsabilidades civiles o penales que puedan derivarse de un tratamiento ilícito de los datos.
La prioridad de la SPDP es promover una cultura de prevención (para esto es el plazo de doce meses) a través de la cual los responsables de datos regularicen sus transferencias internacionales sin enfrentar sanciones, adecuando un plan detallado que mitigue los riesgos identificados. Transcurrido este periodo, las operaciones que no se hayan ajustado al marco legal quedarán plenamente sujetas al régimen punitivo previsto en la ley, añade Norela Malo.
La firma también aclara que este nuevo sistema incentiva la responsabilidad proactiva mediante mecanismos como las actuaciones previas y un registro destinado exclusivamente a fines estadísticos, preventivos y de capacitación, en el que las organizaciones que demuestren diligencia e implementen los estándares necesarios podrán obtener un reconocimiento por buenas prácticas otorgado por la Superintendencia.
En definitiva, el enfoque sancionatorio severo es la última instancia para quienes ignoren los mecanismos de transparencia, valorándose la notificación oportuna de vulneraciones como un atenuante, concluyen.
Add new comment