La Superintendencia de Protección de Datos Personales (SPDP) ha expedido cuatro instrumentos normativos clave para el ecosistema regulatorio ecuatoriano en materia de protección de datos personales. Estas resoluciones consolidan la aplicación técnica y operativa de la Ley Orgánica de Protección de Datos Personales (LOPDP) y su Reglamento General (RLOPDP), abarcando aspectos esenciales como directrices para la gestión de riesgos y evaluaciones de impacto en tratamiento de datos personales, procesos de auditorías ejecutados por el ente de control, lineamientos para la profesionalización de delegados de protección de datos, estándares de cláusulas contractuales, entre otros. Todas las resoluciones pasaron por procesos de consulta pública conforme al Reglamento para la Creación, Modificación y Derogatoria de la Normativa de la SPDP (Res. N° SPDP-SPDP-2024-0022-R), fortaleciendo su legitimidad y aplicabilidad.  

Resoluciones relevantes y contenido normativo:  

1. Guía de Gestión de Riesgos y Evaluación de Impacto del Tratamiento de Datos Personales  

(Resolución N° SPDP-SPD-2025-0003-R)  

• Establece lineamientos obligatorios y optativos para la identificación, evaluación y mitigación de riesgos relacionados con el tratamiento de datos personales, conforme a los arts. 40 y 42 de la LOPDP y arts. 29-32 del RLOPDP. 

• Introduce una metodología que articula principios de seguridad de la información y derechos fundamentales. 

• Incorpora un anexo con ejemplos aplicados de evaluaciones de impacto (EIPD).  

2. Reglamento del Programa Profesionalizante de Delegados de Protección de Datos Personales  

(Resolución N° SPDP-SPD-2025-0004-R) 

• Define los requisitos mínimos de formación para el ejercicio del rol del DPO conforme al art. 48 LOPDP. 

• Las instituciones de educación superior podrán impartir programas de formación homologables, notificando los certificados emitidos a la SPDP. 

• Se establece un anexo curricular obligatorio que articula derecho, tecnología y ética digital.  

3. Reglamento para la Elaboración y Aprobación del Plan Anual de Auditorías de la SPDP  

(Resolución N° SPDP-SPD-2025-0005-R) 

• Formaliza los procedimientos internos de la SPDP para la planificación anual de auditorías conforme al art. 81 RLOPDP.  

• Define metodologías de selección de sujetos auditados y estructura del Plan Anual de Auditorías (PAA). 

• Se establece la reserva del PAA, exceptuando a la Intendencia de Control y Sanción y al Superintendente.  

4. Reglamento sobre la Obligación de Incluir Cláusulas de Protección de Datos Personales en Contratos  

(Resolución N° SPDP-SPD-2025-0006-R) 

• Impone a responsables y encargados del tratamiento la incorporación obligatoria de cláusulas de protección de datos en contratos. 

• Prohíbe defectos frecuentes en las cláusulas (falta de transparencia, legitimación o medidas de seguridad, entre otros). 

• Incorpora un anexo ejemplificativo con modelos de cláusulas entre diferentes tipos de actores (responsables, encargados, destinatarios, etc.).  

Conclusiones:  

• Las nuevas resoluciones consolidan los pilares institucionales y operativos para la efectiva aplicación de la LOPDP en Ecuador. 

• Su carácter obligatorio, en su mayor parte, genera nuevas exigencias técnicas para responsables, encargados y operadores jurídicos del sistema. 

• Es fundamental que las organizaciones revisen sus prácticas de gestión de riesgos, formación interna, auditorías y contratos a la luz de estos nuevos estándares.  

Desde BUSTAMANTE FABARA seguiremos difundiendo análisis especializados sobre la aplicación práctica de estos instrumentos normativos y sus implicaciones para los distintos sectores regulados.  

En caso de requerir información adicional, por favor contactarse a los siguientes correos electrónicos:  

Dra. María Rosa Fabara: mfabara@bustamantefabara.com  

Esteban Dávila: edavila@bustamantefabara.com  

Rafael Gabela: rgabela@bustamantefabara.com  

Marco Sánchez: msanchez@bustamantefabara.com