Por: Dr. Santiago Orbe, Abogado de Akuerdos Soluciones Jurídicas Quito, 8 de agosto de 2025

Estimados lectores,

La protección de nuestros datos personales es un derecho fundamental, tan importante como la salud o la educación. En Ecuador, este derecho está en constante evolución, y la Superintendencia de Protección de Datos Personales (SPDP), la entidad encargada de velar por su privacidad, ha dado un paso gigante con la reciente Resolución Nº SPDP-SPD-2025-0030-R, emitida el 7 de agosto de 2025.

Esta nueva normativa, de aplicación obligatoria para todas las organizaciones y personas que manejan datos personales en Ecuador, es crucial porque establece cómo deben tratarse sus datos en diferentes etapas de su "vida", desde que se recogen hasta que deben ser eliminados. En términos sencillos, busca que usted tenga mayor control sobre su información y que las empresas sepan exactamente cómo protegerla.

¿Por qué es importante esta nueva Resolución?

Nuestra Constitución reconoce el derecho a la protección de datos personales, dándonos control sobre quién accede a nuestra información y cómo se usa. La SPDP, como organismo técnico de control, tiene la facultad de crear normativas que garanticen este derecho. Este nuevo reglamento nace de la necesidad de tener reglas claras y específicas sobre cómo anonimizar, bloquear o eliminar datos, algo que ya estaba previsto en la Ley Orgánica de Protección de Datos Personales (LOPDP) y su reglamento.

Entendiendo los conceptos clave de la Resolución

La resolución introduce o define con más precisión cinco medidas técnicas que las empresas deben aplicar a sus datos:

• Seudonimización: Imagine que sus datos personales (como su nombre y apellido) son reemplazados por un "seudónimo" o código. Esto hace que sea más difícil identificarle directamente, pero la información original aún podría ser vinculada a usted si se usa información adicional que se guarda por separado y de forma segura. Este proceso es útil para, por ejemplo, investigaciones científicas, auditorías internas o pruebas de sistemas, donde no siempre es necesario saber su identidad exacta. ¡Importante! Los datos seudonimizados siguen siendo considerados datos personales y deben protegerse como tales.
  
  

• Anonimización: Esta es una medida más radical. Su objetivo es hacer que sus datos sean imposibles de identificar o reidentificar, incluso si se combinan con otra información. Cuando los datos están verdaderamente anonimizados, ya no se consideran "personales" y no se requiere su consentimiento para transferirlos o comunicarlos. Es especialmente importante para datos sensibles como los de salud, donde se priorizará la anonimización siempre que sea posible para evitar su identificación, aunque en algunos casos, esto requerirá autorización previa de la SPDP.
  
  

• Bloqueo: Esto es como "congelar" sus datos personales. Una vez que la empresa ha cumplido con el propósito para el que recogió sus datos (por ejemplo, terminó un contrato), si la ley le exige conservarlos por un tiempo (por ejemplo, por razones fiscales o legales), los datos no se eliminan, sino que se guardan de forma segura y con acceso muy limitado, sin que puedan ser usados para otras actividades.
  
  

• Suspensión: Usted, como titular de los datos, tiene el derecho de pedirle a una empresa que detenga temporalmente alguna actividad de tratamiento de sus datos. Por ejemplo, si no quiere que sigan usando su correo para enviar publicidad. La empresa debe cumplir con esta solicitud en un plazo máximo de tres (3) días y, si ha compartido sus datos con un tercero, también debe notificarle para que este también suspenda el tratamiento. Hay algunas excepciones muy específicas donde la empresa podría seguir tratando los datos, como para defenderse de una reclamación legal o por una obligación legal.
  
  

• Eliminación (o "Derecho al Olvido"): Este es el derecho a pedir que sus datos personales sean borrados de forma definitiva de las bases de datos de una empresa, haciéndolos inaccesibles e irrecuperables. Puede solicitar que se eliminen todos sus datos o solo una parte. Este derecho se extiende incluso a los datos de personas fallecidas, pudiendo ser ejercido por sus herederos legales. También es clave para los datos crediticios, permitiéndole exigir su eliminación cuando corresponda. Cuando una empresa elimina sus datos, debe entregarle un documento que lo demuestre. Si sus datos fueron transferidos a otra empresa (derecho a la portabilidad), la empresa original está obligada a eliminar esos datos de sus sistemas una vez que la transferencia se complete exitosamente, a menos que tenga una justificación legal muy específica para conservarlos (¡el "interés legítimo" no cuenta aquí!). Además, si usted pide la eliminación, la empresa debe notificar a todos los terceros y "encargados" a quienes les transfirió sus datos, para que ellos también los eliminen en un plazo de tres (3) días.
  
  

Un Futuro Más Seguro para sus Datos

Esta resolución marca un hito. Al establecer lineamientos claros, la SPDP fortalece la confianza en el sistema de protección de datos en Ecuador. En los próximos seis meses, se espera una Guía Técnica que proporcionará aún más detalles para la correcta implementación de estas medidas, lo que ayudará a las empresas a cumplir con estas nuevas exigencias.

Recomendaciones Legales para Empresas y Organizaciones

Si su organización maneja datos personales, es crucial que tome las siguientes medidas para asegurar el cumplimiento de esta nueva normativa y evitar posibles sanciones:

• Actualice sus políticas internas: Revise y ajuste sus procedimientos para la seudonimización, anonimización, bloqueo, suspensión y eliminación de datos, asegurándose de que estén alineados con las nuevas definiciones y requisitos del reglamento.

• Realice análisis de riesgos: Implemente y documente evaluaciones de gestión de riesgos, especialmente cuando aplique la seudonimización o anonimización, para garantizar la protección de los datos y la continuidad de sus servicios.

• Establezca procedimientos claros para atender solicitudes: Asegúrese de tener un proceso definido para responder a las solicitudes de los titulares de datos sobre suspensión y eliminación, cumpliendo con los plazos de tres (3) días para la suspensión y la notificación a terceros, y emitiendo las acreditaciones de eliminación.

• Capacite a su equipo: Es fundamental que todo el personal involucrado en el manejo de datos esté capacitado y entienda a cabalidad los nuevos lineamientos y las implicaciones de cada medida.

• Revise sus contratos con terceros: Si trabaja con proveedores o terceros que procesan datos en su nombre, asegúrese de que sus contratos incluyan cláusulas específicas sobre la devolución o eliminación de los datos al finalizar la relación.

• Manténgase informado sobre la Guía Técnica: Esté atento a la publicación de la Guía Técnica de Seudonimización, Anonimización, Bloqueo, Suspensión y Eliminación que emitirá la SPDP en los próximos meses, ya que contendrá detalles técnicos esenciales para la implementación.

• Justifique la conservación de datos: Si necesita conservar datos a pesar de una solicitud de suspensión o eliminación, asegúrese de que su decisión se base en una base de legitimación válida establecida en la LOPDP y que respete los principios de minimización y limitación de datos.

Cómo Akuerdos Soluciones Jurídicas puede ayudarle

En Akuerdos Soluciones Jurídicas, somos expertos en derecho de protección de datos personales. Entendemos la complejidad de esta nueva normativa y estamos preparados para guiar a su organización en este proceso de adaptación.

Ofrecemos una gama completa de servicios para asegurar que su empresa cumpla con la Resolución SPDP-SPD-2025-0030-R y toda la normativa de protección de datos, incluyendo:

• Asesoría legal especializada: Interpretación y aplicación de la LOPDP y sus reglamentos.

• Auditorías de cumplimiento: Evaluación de sus procesos actuales y detección de brechas.

• Diseño e implementación de políticas: Creación de políticas internas y procedimientos para el manejo de datos.

• Capacitaciones personalizadas: Formación a su equipo para asegurar el entendimiento y cumplimiento.

• Representación legal: Asistencia y defensa en procedimientos administrativos ante la SPDP.

La protección de datos no es solo una obligación legal, sino una inversión en la confianza de sus clientes y la reputación de su negocio. Contáctenos hoy mismo para asegurar que su organización esté completamente preparada para el nuevo marco regulatorio.

Akuerdos Soluciones Jurídicas: Su aliado en la protección de datos.