Leyes de Privacidad de Datos de Ecuador: Guía de Cumplimiento de la LOPDP (2026)

La protección de datos personales en Ecuador se rige por la Ley Orgánica de Protección de Datos Personales (LOPDP), sancionada en mayo de 2021 y plenamente exigible desde mayo de 2023. La SPDP supervisa su cumplimiento y emitió sus primeras sanciones en diciembre de 2025, multando a LigaPro y a la FEF por infracciones de consentimiento conforme al artículo 68(1) de la LOPDP.
Ecuador ocupa un lugar distintivo en la protección de datos de América Latina. Su Ley Orgánica de Protección de Datos Personales (LOPDP) de 2021 tomó su arquitectura directamente del Reglamento General de Protección de Datos (GDPR) de la UE. Tras un período de implementación de dos años, la ley se volvió plenamente exigible en mayo de 2023. La autoridad de control, la Superintendencia de Protección de Datos Personales (SPDP), pasó de poner en marcha sus operaciones en 2023 a desarrollar una intensa agenda regulatoria en 2025 y, en diciembre de 2025, emitió sus primeras acciones sancionatorias contra dos organizaciones futbolísticas ecuatorianas.
Esta guía abarca todas las capas del marco de protección de datos de Ecuador: el fundamento constitucional, las disposiciones centrales de la LOPDP, los derechos de los titulares, las bases legales, los requisitos del DPO, la notificación de brechas, las reglas de transferencia transfronteriza, la estructura sancionatoria, y la ola de desarrollo regulatorio que continúa hasta 2026. Para conocer el contexto de la ley de consentimiento para grabaciones en Ecuador, consulte las leyes de grabación de Ecuador.
Respuesta Rápida
La ley de protección de datos de Ecuador es la LOPDP, publicada en el Registro Oficial el 26 de mayo de 2021. La ley se encuentra plenamente vigente desde mayo de 2023. La SPDP la aplica con multas de hasta el 10% de la facturación anual. En diciembre de 2025, la SPDP impuso las primeras sanciones administrativas del país: USD 259.644 a LigaPro y USD 194.856 a la FEF, por no obtener un consentimiento válido y por medidas técnicas y organizativas inadecuadas. Las organizaciones que traten datos personales de residentes ecuatorianos deben mantener un registro de actividades de tratamiento, designar a un DPO en ciertos casos, realizar evaluaciones de impacto para el tratamiento de alto riesgo, notificar las brechas dentro de los cinco días hábiles, y cumplir con garantías específicas para las transferencias transfronterizas.
Fundamento Constitucional
El marco de protección de datos de Ecuador no comienza con una ley, sino con la Constitución. La Constitución de 2008 ofrece uno de los fundamentos constitucionales más sólidos en materia de protección de datos del hemisferio.
El artículo 66(19) reconoce el derecho a la protección de datos personales, que incluye el derecho a acceder a los datos personales en poder de entidades públicas o privadas, a conocer la finalidad y el origen de esos datos, y a solicitar su rectificación, actualización o eliminación. El artículo 66(21) extiende la protección a la autodeterminación informativa: el derecho de la persona a controlar la información sobre sí misma.
El artículo 66(20) establece un derecho distinto a la intimidad personal y familiar. El artículo 92 crea la acción constitucional de hábeas data, que permite a cualquier persona solicitar a un juez que ordene el acceso, la rectificación o la eliminación de información personal en poder de cualquier entidad pública o privada.
Dado que la LOPDP fue sancionada como ley orgánica (una categoría que requiere una mayoría legislativa calificada conforme al artículo 133 de la Constitución), ocupa un nivel superior en la jerarquía legal de Ecuador respecto de la legislación ordinaria. Las leyes ordinarias no pueden desplazar ni restringir sus protecciones.
La LOPDP en Resumen
La LOPDP se publicó en el Suplemento del Registro Oficial N.° 459 el 26 de mayo de 2021. Estableció una ventana de implementación de dos años que venció el 26 de mayo de 2023. El Decreto Ejecutivo N.° 904, emitido en noviembre de 2023, promulgó el reglamento de implementación (Reglamento a la LOPDP) que agregó detalle procedimental sobre la notificación de brechas, la designación del DPO, y las evaluaciones de impacto en la protección de datos.
Ámbito de Aplicación y Alcance Territorial
La ley se aplica a cualquier tratamiento de datos personales realizado en territorio ecuatoriano o dirigido a personas ubicadas en Ecuador, independientemente de dónde esté establecido el responsable o el encargado. Esto replica la lógica extraterritorial del GDPR: una empresa que opera desde fuera de Ecuador y que se dirige a residentes ecuatorianos está sujeta a la LOPDP.
La ley abarca el tratamiento tanto en el sector público como en el privado. Los tribunales que actúan en su función jurisdiccional constituyen la principal excepción.
Principios Fundamentales
Toda actividad de tratamiento conforme a la LOPDP debe cumplir con los siguientes principios:
Legalidad: debe existir una base legal válida antes de que comience el tratamiento.
Lealtad y transparencia: los datos deben recopilarse por medios justos, y los titulares deben ser informados sobre cómo se utilizan sus datos.
Limitación de la finalidad: los datos solo pueden utilizarse para las finalidades específicas, explícitas y legítimas declaradas en el momento de la recolección.
Proporcionalidad y minimización de datos: solo pueden tratarse los datos adecuados, pertinentes y limitados a lo necesario.
Calidad de los datos: los datos personales deben ser exactos, completos y estar actualizados.
Limitación de la conservación: los datos no deben conservarse más allá de lo necesario para cumplir con la finalidad declarada.
Seguridad: deben implementarse medidas técnicas y organizativas adecuadas para proteger los datos frente al acceso, la pérdida o la divulgación no autorizados.
Responsabilidad demostrada y proactiva: los responsables deben poder demostrar que cumplen con estos principios, y no limitarse a afirmarlo.
Definiciones Clave
Datos personales: cualquier información relativa a una persona natural identificada o identificable.
Datos sensibles: una categoría especial que comprende el origen étnico, la identidad de género, los datos de salud, los datos biométricos, los datos genéticos, las opiniones políticas, las creencias religiosas o filosóficas, la afiliación sindical, la orientación sexual, los antecedentes penales, el estatus migratorio y la afiliación ideológica.
Responsable del tratamiento: la persona o entidad que determina las finalidades y los medios del tratamiento.
Encargado del tratamiento: la persona o entidad que trata los datos por cuenta del responsable.
Titular: la persona natural a quien se refieren los datos.
Bases Legales para el Tratamiento
La LOPDP sigue el enfoque del GDPR de exigir una base legal válida para toda actividad de tratamiento. Para los datos personales ordinarios, existen seis bases disponibles.
Consentimiento: el titular ha otorgado un consentimiento libre, específico, informado e inequívoco para una o más finalidades definidas. El consentimiento puede revocarse en cualquier momento sin consecuencias negativas.
Necesidad contractual: el tratamiento es necesario para ejecutar un contrato del cual el titular es parte, o para adoptar medidas precontractuales a solicitud del titular.
Obligación legal: el tratamiento es necesario para cumplir con un deber legal impuesto al responsable por la ley ecuatoriana.
Intereses vitales: el tratamiento es necesario para proteger la vida o la integridad física del titular o de otra persona, cuando el titular esté incapacitado para consentir.
Interés público o autoridad oficial: el tratamiento es necesario para una tarea realizada en interés público o en el ejercicio de una autoridad oficial.
Interés legítimo: el tratamiento es necesario para los intereses legítimos del responsable o de un tercero, siempre que esos intereses no sean desplazados por los derechos y libertades del titular.
En noviembre de 2025, la SPDP emitió la Resolución N.° SPDP-SPD-2025-0041-R, que estableció requisitos detallados para las organizaciones que invocan el interés legítimo. Los responsables deben realizar y documentar una prueba de ponderación previa y por escrito que demuestre que sus intereses no desplazan los derechos fundamentales de las personas. La resolución agrega un nivel de rigor procedimental que vuelve más exigente la base del interés legítimo en Ecuador que en otros regímenes alineados con el GDPR.
Para los datos sensibles, solo el consentimiento explícito o excepciones legales específicas permiten el tratamiento. Esas excepciones incluyen las obligaciones del derecho laboral, la protección de intereses vitales cuando no pueda obtenerse el consentimiento, el tratamiento realizado por entidades sin fines de lucro respecto de sus propios miembros, y otras circunstancias definidas de manera restrictiva.
Derechos de los Titulares
La LOPDP otorga a los titulares un conjunto integral de derechos, en paralelo con el marco del GDPR.
Derecho de información: antes o en el momento de la recolección de datos, los responsables deben informar a los titulares sobre la identidad del responsable, la finalidad del tratamiento, la base legal, las categorías de datos recopilados, los posibles destinatarios, los plazos de conservación y la existencia de los derechos de los titulares.
Derecho de acceso: un titular puede solicitar confirmación sobre si sus datos están siendo tratados y, en su caso, recibir una copia. El responsable debe responder dentro de los 10 días hábiles.
Derecho de rectificación: las personas pueden solicitar la corrección de datos personales inexactos o incompletos.
Derecho de eliminación (supresión): los titulares pueden solicitar la eliminación cuando los datos ya no sean necesarios, se haya revocado el consentimiento, el tratamiento haya sido ilícito, o una obligación legal exija la eliminación. Existen excepciones para las obligaciones legales y los asuntos de interés público.
Derecho de oposición: los titulares pueden oponerse al tratamiento basado en el interés legítimo o en motivos de interés público. El responsable debe suspender el tratamiento, salvo que demuestre motivos legítimos imperiosos que prevalezcan sobre los intereses del titular.
Derecho a la limitación del tratamiento: las personas pueden solicitar que el tratamiento se limite en circunstancias definidas, como cuando se impugna la exactitud de los datos mientras se verifica.
Derecho a la portabilidad de los datos: los titulares pueden recibir sus datos en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable sin obstáculos.
Derecho a no ser objeto de decisiones automatizadas: las personas tienen derecho a no ser objeto de decisiones que produzcan efectos jurídicos o similarmente significativos y que se basen únicamente en un tratamiento automatizado, incluida la elaboración de perfiles.
Derecho a ser informado de las brechas: cuando una brecha de seguridad de datos pueda suponer un alto riesgo para los derechos y libertades de un titular, esa persona debe ser notificada sin dilaciones indebidas.
Notificación de Brechas de Seguridad
La LOPDP y su reglamento de implementación establecen una obligación escalonada de notificación de brechas.
Cuando ocurra una brecha de seguridad de datos personales, el responsable debe notificar a la SPDP dentro de los cinco días hábiles siguientes a que tome conocimiento del incidente. La notificación debe describir la naturaleza de la brecha, las categorías y el número aproximado de personas y registros afectados, el nombre y los datos de contacto del DPO u otro punto de contacto, las consecuencias probables de la brecha, y las medidas adoptadas o propuestas para abordarla.
Cuando la brecha pueda suponer un alto riesgo para los derechos y libertades de las personas afectadas, el responsable también debe notificar directamente a esas personas sin dilaciones indebidas. La notificación debe redactarse en un lenguaje claro y describir la naturaleza de la brecha, el nombre y el contacto del DPO, las consecuencias probables, y las medidas que el responsable está adoptando para mitigar el impacto.
Cabe señalar que el plazo de cinco días hábiles de notificación a la autoridad en Ecuador es levemente más flexible que el plazo de 72 horas del GDPR, aunque ambos regímenes imponen una obligación de actuar con prontitud. Los responsables no deberían esperar hasta el vencimiento del plazo si la información está disponible antes.
Requisitos del Delegado de Protección de Datos
La LOPDP exige que ciertas organizaciones designen a un Delegado de Protección de Datos (DPO). La obligación es aplicable a:
- Las autoridades públicas y entidades del gobierno (con excepción de los tribunales en su función jurisdiccional)
- Los responsables o encargados cuyas actividades principales impliquen el tratamiento a gran escala de datos personales sensibles
- Los responsables o encargados cuyas actividades principales requieran el monitoreo regular y sistemático de personas a gran escala
En julio de 2025, la SPDP emitió la Resolución N.° SPDP-SPD-2025-0028-R, el Reglamento General sobre Delegados de Protección de Datos. Esta resolución amplió de manera significativa el detalle de los requisitos del DPO.
Estándares de Calificación
Conforme al Reglamento del DPO de 2025, un DPO debe:
- Ser mayor de edad y estar en pleno ejercicio de sus derechos civiles y políticos
- Contar con un título universitario en Derecho, Sistemas de Información, Comunicaciones, Tecnología, o una disciplina afín
- Tener al menos cinco años de experiencia profesional verificable en protección de datos o campos afines
A partir del 1 de enero de 2029, los DPO también deberán completar un programa de capacitación profesional reconocido oficialmente por la SPDP, ofrecido por una institución de educación superior cuyo plan de estudios cumpla con los estándares mínimos de contenido de la Resolución N.° SPDP-SPD-2025-0004-R (el Reglamento de Profesionalización del DPO, emitido anteriormente en 2025).
Inscripción e Independencia Funcional
Las organizaciones obligadas a designar un DPO deben inscribir esa designación ante la SPDP dentro de los 15 días. La falta de inscripción constituye una infracción conforme a la LOPDP. La ventana de inscripción del DPO para las entidades obligadas se extendió del 1 de noviembre al 31 de diciembre de 2025.
El DPO debe operar con independencia funcional. El responsable no puede destituir ni sancionar al DPO por el desempeño de sus funciones. El DPO reporta directamente al máximo nivel de la dirección y no debe recibir instrucciones respecto del ejercicio de sus responsabilidades.
Las funciones principales del DPO incluyen asesorar sobre las obligaciones de protección de datos, supervisar el cumplimiento interno, colaborar en las evaluaciones de impacto en la protección de datos, cooperar con la SPDP, y actuar como el principal punto de contacto para los titulares y para la autoridad de control.
Las organizaciones que no estén obligadas a designar un DPO pueden hacerlo de manera voluntaria, en cuyo caso se aplican los mismos requisitos de independencia y calificación.
Evaluaciones de Impacto en la Protección de Datos
La LOPDP y su reglamento exigen evaluaciones de impacto en la protección de datos (EIPD) para las actividades de tratamiento de alto riesgo. Una EIPD es obligatoria cuando el tratamiento pueda suponer un alto riesgo para los derechos y libertades de los titulares, dada la naturaleza, el contexto o las finalidades del tratamiento.
Los desencadenantes específicos incluyen:
- La evaluación sistemática y exhaustiva de aspectos personales de las personas basada en un tratamiento automatizado, incluida la elaboración de perfiles, cuando se adopten decisiones que produzcan efectos jurídicos o similarmente significativos
- El tratamiento a gran escala de datos sensibles o de datos relativos a condenas e infracciones penales
- El monitoreo sistemático y a gran escala de áreas de acceso público
En febrero de 2026, la SPDP emitió la Resolución N.° SPDP-SPD-2026-0005-R, la Norma General sobre el Tratamiento a Gran Escala de Datos Personales. Esta resolución introdujo el Modelo Técnico de Gran Escala (MTGE), que ofrece un marco de puntuación estructurado. El MTGE evalúa seis variables:
- El número de titulares afectados
- El volumen de datos tratados
- Las categorías de datos involucradas (con mayor ponderación para los datos sensibles)
- La frecuencia del tratamiento
- La duración del tratamiento
- El alcance geográfico del tratamiento
Un puntaje total igual o superior a seis puntos implica que el tratamiento califica como de gran escala, lo que activa los requisitos reforzados, incluida la designación obligatoria de un DPO y las obligaciones de EIPD. Esta metodología objetiva de puntuación reduce la ambigüedad y ofrece a las organizaciones una hoja de ruta de cumplimiento más clara que una prueba puramente cualitativa.
Transferencias Internacionales de Datos
La LOPDP restringe la transferencia de datos personales fuera de Ecuador, a fin de proteger los derechos de los titulares frente a su erosión por marcos extranjeros más débiles.
Determinaciones de Adecuación
Las transferencias están permitidas hacia países u organizaciones internacionales que la SPDP haya determinado que ofrecen un nivel adecuado de protección. La SPDP mantiene la lista oficial de adecuación. Las organizaciones deberían verificar la lista vigente en el sitio web oficial de la SPDP antes de iniciar transferencias internacionales, ya que la lista evoluciona con el tiempo.
Garantías para las Transferencias
Para las transferencias hacia países sin estatus de adecuación, un responsable o encargado debe implementar garantías adecuadas. En enero de 2026, la SPDP emitió la Resolución N.° SPDP-SPD-2026-0004, la Norma General sobre las Transferencias o Comunicaciones Nacionales e Internacionales de Datos Personales. Esta resolución formalizó los mecanismos de garantía disponibles:
- Las cláusulas contractuales tipo adoptadas por la SPDP o por la Red Iberoamericana de Protección de Datos (RIPD): las cláusulas modelo de la RIPD están reconocidas específicamente para las transferencias entre responsables
- Las normas corporativas vinculantes aplicables dentro de un grupo corporativo
- Los códigos de conducta con compromisos vinculantes por parte del receptor
- Los mecanismos de certificación aprobados por la SPDP
Los responsables deben documentar las garantías implementadas y poner esa documentación a disposición de la SPDP cuando se les solicite.
Excepciones para Situaciones Específicas
En ausencia tanto de adecuación como de garantías, una transferencia puede realizarse cuando:
- El titular haya otorgado su consentimiento explícito e informado, después de haber sido advertido de los riesgos derivados de la ausencia de una protección adecuada
- La transferencia sea necesaria para la ejecución de un contrato entre el titular y el responsable
- La transferencia sea necesaria por razones importantes de interés público
- La transferencia sea necesaria para establecer, ejercer o defender reclamos legales
- La transferencia sea necesaria para proteger los intereses vitales del titular o de otra persona, cuando el titular esté incapacitado para consentir
Estas excepciones son de aplicación restrictiva y no deberían utilizarse como un mecanismo rutinario para transferencias que, en cambio, podrían regirse por la adecuación o por garantías.
Autoridad de Control: La SPDP
La LOPDP creó la Superintendencia de Protección de Datos Personales (SPDP) como la autoridad independiente de protección de datos de Ecuador. La SPDP opera con autonomía administrativa y financiera. Su sitio web oficial es spdp.gob.ec.
Facultades y Funciones
El mandato de la SPDP abarca tanto funciones regulatorias como de aplicación de la ley:
- Emitir reglamentos, lineamientos y cláusulas modelo vinculantes
- Investigar los reclamos presentados por los titulares
- Realizar inspecciones de oficio a los responsables y encargados
- Imponer sanciones administrativas por infracciones a la LOPDP
- Aprobar cláusulas contractuales tipo para las transferencias transfronterizas
- Mantener el registro de actividades de tratamiento y de las inscripciones de los DPO
- Publicar y actualizar la lista de adecuación para las transferencias internacionales
- Promover la conciencia pública y la cultura de protección de datos
Constitución y Estado Operativo
La SPDP fue creada por la LOPDP, pero enfrentó demoras operativas durante el período de transición 2021-2023. El Decreto Ejecutivo N.° 904 de noviembre de 2023, que también promulgó el reglamento de implementación, designó a la Superintendencia de Compañías, Valores y Seguros para ejercer ciertas funciones de supervisión de manera temporal, mientras la SPDP desarrollaba su capacidad operativa independiente.
Para 2025, la SPDP estaba plenamente operativa y había pasado de la construcción institucional a una producción regulatoria activa y a la aplicación de la ley. La autoridad publicó múltiples resoluciones vinculantes durante 2025, referidas a las calificaciones del DPO, el interés legítimo y las transferencias transfronterizas, y las complementó con resoluciones adicionales a comienzos de 2026. En diciembre de 2025, la SPDP anunció su Plan Regulatorio Institucional 2026, lo que señala una actividad normativa continua.
Sanciones y Aplicación de la Ley
La LOPDP establece una estructura sancionatoria basada en la facturación, que escala las multas según la capacidad económica del infractor.
Categorías de Infracciones y Rangos de Multas
| Categoría de Infracción | Rango de la Sanción (Facturación Anual) |
|---|---|
| Leve | 0,1% a 0,7% |
| Grave | 0,7% a 1% |
| Muy grave | 1% a 10% |
Para las entidades sin facturación anual, como las organizaciones sin fines de lucro, la LOPDP establece máximos alternativos fijos.
Qué Constituye Cada Categoría
Las infracciones leves incluyen no responder a las solicitudes de los titulares dentro del plazo legal, no mantener los registros exigidos de actividades de tratamiento, y tratar datos sin medidas de seguridad adecuadas.
Las infracciones graves incluyen tratar datos personales sin ninguna base legal válida, no designar a un DPO cuando existe la obligación, transferir datos internacionalmente sin cumplir con las condiciones exigidas, y, como confirmaron los casos de diciembre de 2025, no implementar medidas administrativas, técnicas, físicas, organizativas y legales suficientes para garantizar un tratamiento lícito.
Las infracciones muy graves incluyen tratar datos sensibles sin consentimiento explícito ni otra excepción permitida, utilizar datos para la toma de decisiones automatizada de manera que vulnere los derechos individuales, y obstruir la investigación de la SPDP.
Facultades Adicionales de Aplicación
Además de las multas, la SPDP puede ordenar el cese inmediato de una actividad de tratamiento específica, imponer una prohibición temporal o permanente del tratamiento, y exigir la notificación de los titulares afectados a costa del responsable.
Las Primeras Sanciones de la SPDP: Diciembre de 2025
El 1 de diciembre de 2025, la SPDP anunció sus primeras sanciones administrativas, dirigidas a dos organizaciones del fútbol ecuatoriano. Los casos surgieron de la operación de aplicaciones móviles (la app Fan ID de LigaPro y la app Fan FEF de la FEF) que recopilaban datos personales de los hinchas sin un consentimiento válidamente obtenido.
LigaPro (Liga Profesional de Fútbol del Ecuador): la SPDP determinó que LigaPro cometió una infracción grave conforme al artículo 68(1) de la LOPDP, al no implementar medidas suficientes para garantizar un tratamiento lícito de los datos. La multa fue de USD 259.644,01. También se ordenó a LigaPro notificar a 14.398 titulares afectados que su consentimiento no había sido válidamente obtenido, y eliminar esos datos personales de todas las bases de datos que administra.
FEF (Federación Ecuatoriana de Fútbol): la SPDP realizó una determinación comparable respecto de la FEF. La multa fue de USD 194.856,16. Se ordenó a la FEF eliminar los datos personales tratados a través de la aplicación Fan FEF, actualizar su Registro de Actividades de Tratamiento, implementar una Política de Protección de Datos conforme, y notificar a los titulares afectados sobre la invalidez del consentimiento originalmente obtenido.
Las dos multas suman en conjunto aproximadamente USD 454.500. Más allá de su relevancia económica, los casos señalan que la SPDP está dispuesta a utilizar sus facultades de aplicación y que la recolección de datos mediante aplicaciones con flujos de consentimiento defectuosos constituye una preocupación prioritaria. La participación de instituciones deportivas reconocidas también maximizó la visibilidad pública de las primeras sanciones.
Novedades Regulatorias Recientes (2025-2026)
El ritmo de actividad regulatoria desde que la SPDP se volvió plenamente operativa ha sido considerable. A continuación se presentan las novedades más significativas.
Lista de Verificación de Cumplimiento Empresarial
Las organizaciones que traten datos personales de personas en Ecuador deberían verificar los siguientes elementos de su programa de cumplimiento.
Documentación de la base legal: toda actividad de tratamiento en el Registro de Actividades de Tratamiento debe identificar una base legal específica conforme a la LOPDP. Para las organizaciones que se basan en el interés legítimo, ahora se exige una prueba de ponderación por escrito, conforme a la resolución de noviembre de 2025.
Registro de Actividades de Tratamiento: los responsables deben mantener un registro que documente las finalidades, las bases legales, las categorías de datos, los plazos de conservación, los destinatarios y las medidas de seguridad para cada actividad de tratamiento.
Procedimientos para los derechos de los titulares: los flujos de respuesta deben poder cumplir con el plazo de 10 días hábiles para las solicitudes de acceso, y responder a las solicitudes de eliminación, portabilidad y oposición.
Designación e inscripción del DPO: las organizaciones que cumplan con los umbrales obligatorios deben haber designado e inscrito a un DPO calificado ante la SPDP. El DPO debe cumplir con las calificaciones profesionales establecidas en el reglamento de 2025.
Protocolo de notificación de brechas: los procedimientos internos deben permitir a la organización evaluar una brecha y notificar a la SPDP dentro de los cinco días hábiles. Cuando exista un alto riesgo para las personas, debe seguir la notificación directa a esas personas sin dilaciones indebidas.
Evaluaciones de Impacto en la Protección de Datos: todo tratamiento que califique como de gran escala conforme al modelo de puntuación MTGE, o que presente un alto riesgo según su naturaleza, contexto o finalidad, requiere una EIPD antes de que comience el tratamiento.
Garantías para las transferencias transfronterizas: las transferencias hacia países que no figuren en la lista de adecuación de la SPDP deben regirse por cláusulas contractuales tipo aprobadas u otro mecanismo de garantía reconocido.
Mecanismos de consentimiento: para el tratamiento basado en el consentimiento, los flujos de recolección deben poder demostrar un consentimiento libre, específico, informado e inequívoco. Los casos de LigaPro y la FEF confirman que recopilar el consentimiento a través de una aplicación no satisface la LOPDP si el proceso es deficiente.
Controles para datos sensibles: deben existir controles reforzados, incluido el consentimiento explícito o una excepción legal, para cualquier tratamiento de categorías de datos sensibles.
Contratos con proveedores: deben existir acuerdos de tratamiento de datos con todos los encargados, que incluyan las cláusulas exigidas por la LOPDP.
Fuentes y referencias
- Superintendencia de Protección de Datos Personales (SPDP): sitio oficial(spdp.gob.ec).gov
- SPDP: Registro Oficial de Resoluciones(spdp.gob.ec).gov
- SPDP: comunicados de prensa, primeras sanciones de diciembre de 2025(spdp.gob.ec).gov
- Asamblea Nacional de Ecuador: Constitución de la República del Ecuador (2008)(asambleanacional.gob.ec).gov
- Asamblea Nacional de Ecuador: sitio oficial(asambleanacional.gob.ec).gov
- Gobierno de Ecuador: Registro Oficial(registroficial.gob.ec).gov
- Portal de Servicios del Gobierno de Ecuador: SPDP(gob.ec).gov
- RIPD: la SPDP emite sus primeras sanciones por infracciones graves a la LOPDP(redipd.org)
- DataGuidance: Ecuador, la SPDP emite resolución sobre DPO(dataguidance.com)
- DataGuidance: Ecuador, la SPDP emite resolución sobre transferencias de datos personales(dataguidance.com)
- DataGuidance: Ecuador, la SPDP emite resolución sobre el tratamiento a gran escala(dataguidance.com)
- DataGuidance: Ecuador, la SPDP aprueba el Plan Regulatorio Institucional 2026(dataguidance.com)
- Tobar ZVS: Norma General sobre las Transferencias Nacionales e Internacionales (Resolución 2026-0004)(tzvs.ec)
- Allende & Brea: Ecuador adopta nuevas reglas para las transferencias transfronterizas y el tratamiento a gran escala de datos personales(allende.com)
- Primicias: la SPDP sanciona a LigaPro y a la FEF por infracciones en el tratamiento de datos(primicias.ec)
- CorralRosales: Resolución SPDP-SPD-2025-0028-R (Reglamento del DPO)(corralrosales.com)
- PBP Law: reglamento del Delegado de Protección de Datos en Ecuador(pbplaw.com)
- UNCTAD: legislación de protección de datos y privacidad en el mundo, Ecuador(unctad.org)
- PPC.land: Ecuador establece un marco para el tratamiento de datos por interés legítimo(ppc.land)