La Superintendencia de Protección de Datos Personales (“SPDP”) emitió la Resolución No. SPDP-SPD-2026-0009-R, que aprueba la Norma General para la Garantía del Derecho de Protección de Datos Personales en el Uso de Sistemas de Inteligencia Artificial (“IA”).

Resumen de la resolución:

La resolución establece el marco normativo que regula el tratamiento de datos personales en sistemas de inteligencia artificial en Ecuador. Su objeto es garantizar la aplicación de los principios, derechos y obligaciones previstos en la Ley Orgánica de Protección de Datos Personales («LOPDP»), su Reglamento General («RGLOPDP») y la normativa secundaria expedida por la SPDP.

Puntos clave de la resolución:

Ámbito de aplicación: La norma aplica a responsables y encargados del tratamiento que desarrollen, entrenen, implementen, desplieguen o provean sistemas de IA que traten datos personales de titulares ecuatorianos.

Nuevas definiciones: La resolución introduce definiciones específicas para el ecosistema de IA:

1. Desarrollador: Responsable y encargado que genera o crea un sistema de inteligencia artificial.
2. Desplegador: Responsable y encargado que, mediante el uso de un sistema de IA, ejecuta la prestación de un servicio, salvo cuando dicho uso se enmarque en una actividad personal no profesional.
3. Distribuidor: Responsable y encargado que es parte de la cadena de suministro y comercializa o presta un sistema de IA en el mercado.
4. Implementador: Responsable y encargado que encarga el desarrollo o implementa un sistema de IA en procedimientos o procesos internos.

Obligaciones de los responsables y encargados: Quienes traten datos personales en sistemas de inteligencia artificial deberán obligatoriamente:

1. Informar al titular de manera clara, específica, determinada y transparente sobre el tratamiento mediante sistemas de IA, incluyendo las finalidades y su carácter automatizado.
2. Realizar la gestión de riesgos y evaluaciones de impacto para la protección de datos personales.
3. Implementar medidas de seguridad administrativas, técnicas, físicas, organizativas y jurídicas en función de las categorías y el volumen de datos personales.
4. Incluir los tratamientos de datos personales realizados mediante sistemas de IA en el registro de actividades de tratamiento («RAT»).
5. Auditar el funcionamiento general del sistema de IA en función del nivel de riesgos.

Derechos garantizados: Los responsables y encargados deberán garantizar los derechos reconocidos en la LOPDP, así como el acceso a los mecanismos para su ejercicio. En particular, se garantizará en todo momento el derecho a no ser objeto de una decisión basada única o parcialmente en valoraciones automatizadas, así como el derecho a la información y el derecho de oposición.

Desde BUSTAMANTE FABARA seguiremos difundiendo análisis especializados sobre la aplicación práctica de estos instrumentos normativos y sus implicaciones para los distintos sectores regulados.

En caso de requerir información adicional, por favor contactarse a los siguientes correos electrónicos: