i. Transferencias internacionales de datos personales
El pasado 28 de enero la Superintendencia de Protección de Datos Personales de Ecuador (“SPDP”) emitió la Norma General de Transferencias o Comunicaciones Nacionales e Internacionales de Datos Personales, a través de la Resolución Nº SPDP-SPD-2026-0004.
La norma alinea a Ecuador con los estándares de las regulaciones más modernas, estableciendo las condiciones que deben tener en cuenta los responsables y encargados del tratamiento al realizar transferencias de datos personales hacia países que cuenten con un nivel adecuado de protección.
Asimismo, regula las garantías que pueden adoptarse cuando sea necesario transferir datos personales a países que no cuenten con una decisión de adecuación, incluyendo, entre otras, las cláusulas contractuales tipo, las normas corporativas vinculantes, los códigos de conducta y los mecanismos de certificación.
En este marco, la norma adopta como mecanismo de validación las cláusulas contractuales modelo de la Red Iberoamericana de Protección de Datos (“RIPD”), aunque exclusivamente para los supuestos de transferencias entre responsables del tratamiento. Como indicamos en un newsletter previo, el régimen ecuatoriano no considera que exista una transferencia o comunicación de datos personales cuando el tratamiento se realiza únicamente en el marco de la prestación de un servicio por parte del encargado al responsable.
En base a esta nueva norma, Ecuador se suma a Argentina, Perú, Colombia y Uruguay en la lista de países que reconocieron a las cláusulas modelo de la RIPD.
ii. Tratamiento de datos a gran escala.
El 2 de febrero de 2026 la SPDP aprobó la Norma General sobre el Tratamiento de Datos Personales a Gran Escala, a través de la Resolución Nº SPDP-SPD-2026-0005-R.
Esta norma, aplicable tanto a responsables como encargados, crea el Modelo Técnico de Gran Escala (“MTGE”), cuya función es actuar como instrumento para valorar si existe un tratamiento de gran escala.
El MTGE consiste en el análisis de seis variables:
- Número de titulares.
- Volumen de datos.
- Categorías de datos.
- Frecuencia del tratamiento.
- Permanencia del tratamiento.
- Alcance geográfico del tratamiento.
El MTGE requiere que, luego de estudiar el tratamiento, se le asigne un puntaje en base a cada variable, de acuerdo con los parámetros indicados en la resolución, todo lo cual deberá ser incorporado al registro de actividades de tratamiento. Si el valor fuere igual o superior a 6 puntos, se considerará que es un tratamiento de gran escala.
No obstante, la resolución dispone que se entenderá que existe un tratamiento de gran escala, sin necesidad de aplicar el MTGE, cuando se trate de:
(i) tratamientos relativos a la salud u otras categorías especiales de datos personales;
(ii) la evaluación sistemática y exhaustiva de aspectos personales basada en tratamientos automatizados, si ello deriva en decisiones que produzcan efectos jurídicos o afecten los derechos y libertades de los titulares;
(iii) la observación, vigilancia o monitoreo sistemático de personas en espacios de acceso público a través de tecnología de supervisión continua;
(iv) tratamientos de datos biométricos o que impliquen geolocalizar a los titulares;
(v) tratamientos estructurales en el marco de sistemas de información crediticia o financiera;
(vi) tratamientos sistemáticos de datos de niños, niñas y adolescentes en entornos educativos, digitales o de prestación de servicios dirigidos a éstos;
(vii) transferencias sistemáticas de datos, cuando formaren parte de flujos continuos o estructurales de información, dentro o fuera del territorio nacional; o
(viii) tratamientos de datos en servicios de mensajería acelerada, expresa o courier.
En caso de que se verifique la existencia de un tratamiento a gran escala, el responsable o encargado deberá:
(i) llevar un registro de actividades de tratamiento;
(ii) implementar medidas de privacidad desde el diseño y por defecto;
(iii) someterse a auditorías cada año o cuando se produzcan cambios significativos en el tratamiento, salvo que cuente con mecanismos vigentes que cubran en forma equivalente este requisito;
(iv) indicar en sus políticas de privacidad que se realizan dichos tratamientos, incluyendo la información pertinente relativa a los mismos; y
(v) elaborar, cuando correspondiere, informes anuales de cumplimiento.
