• +593 2 256 2680
  • info@bustamantefabara.com
ES
EN
ES
EN

Nuevos Pronunciamientos de la SPDP Sobre el Uso de Registro Biométrico para Asistencia de Trabajadores y Designación de Delegado de Protección de Datos en Cooperativas de Ahorro y Crédito

Aspectos Relevantes:

La Superintendencia de Protección de Datos Personales (“SPDP”) ha emitido dos nuevos pronunciamientos en respuesta a consultas planteadas por organizaciones públicas y privadas, ratificando y desarrollando criterios interpretativos relevantes para el cumplimiento de la Ley Orgánica de Protección de Datos Personales (“LOPDP”) y su Reglamento General (“RLOPDP”).

Ambas respuestas abordan temas sensibles y de alta incidencia práctica en los ámbitos laboral y financiero: el uso de datos biométricos para el control de asistencia de trabajadores y la obligación de designar un Delegado de Protección de Datos (“DPO”) en cooperativas de ahorro y crédito.

RESUMEN DE LAS CONSULTAS ABSUELTAS POR LA SUPERINTENDENCIA

Consulta- Oficio No. SPDP-IRD-2025-0065-O


Uso de datos biométricos para el control de asistencia laboral


Consulta formulada:


¿Es lícito utilizar datos biométricos (como huellas digitales o reconocimiento facial) para registrar la asistencia laboral de trabajadores, especialmente en instituciones públicas?


Pronunciamiento:


La SPDP reitera su criterio previamente sostenido en el Oficio No. SPDP-IRD-2025-0031-O. Se enfatiza que el tratamiento de datos biométricos para el control de asistencia:

  • Constituye un tratamiento de datos sensibles, de acuerdo con el artículo 26 de la LOPDP, por involucrar elementos únicos y sensibles del individuo.
  • Es una medida altamente invasiva, por lo que debe aplicarse excepcionalmente, únicamente cuando no existan medios menos intrusivos que cumplan el mismo objetivo.

Para que este tratamiento resulte lícito, deben cumplirse cumulativamente los siguientes requisitos:

  • Evaluación previa de proporcionalidad. La SPDP advierte que deben analizarse otras alternativas menos intrusivas (como tarjetas, registros digitales, sistemas mixtos, etc.) y justificar por qué se descartan.
  • Evaluación de impacto (EIPD) y gestión de riesgos documentada. Esta debe incluir análisis sobre la seguridad de la información, riesgos para los derechos de los titulares y medidas de mitigación adoptadas.
  • Consentimiento válido del titular, conforme al artículo 8 de la LOPDP. La SPDP advierte que no es admisible imponer el consentimiento como condición obligatoria para el acceso o permanencia en el empleo. Deben existir alternativas reales y viables para quienes no consientan.
  • Se descarta la aplicación del “interés general” como base jurídica en este contexto.

Otros aspectos abordados:

  • El trabajador o extrabajador puede ejercer su derecho de acceso a los documentos laborales que contengan sus datos personales (art. 13 LOPDP), incluyendo contratos, roles de pago, avisos al IESS, actas de renuncia, entre otros.
  • El derecho de rectificación de datos relacionados con la causal de terminación de la relación laboral solo puede ejercerse cuando exista una sentencia ejecutoriada que haya declarado judicialmente que la terminación fue injustificada o distinta a la que conste en el registro (art.14 LOPDP). En ausencia de pronunciamiento judicial, la rectificación no es procedente.

Consulta – Oficio No. SPDP-IRD-2025-0036-O


Designación de Delegado de Protección de Datos Personales en Cooperativas de Ahorro y Crédito


Consulta formulada:


¿Las cooperativas de ahorro y crédito, como parte del sistema financiero popular y solidario, están obligadas a designar un Delegado de Protección de Datos Personales (DPO) de manera inmediata o solo si la SPDP lo requiere expresamente?


Pronunciamiento de la SPDP:

La SPDP responde de manera afirmativa, aclarando que la obligación de designar un DPO es inmediata, general y no depende de un requerimiento previo de la autoridad, conforme a lo dispuesto en la Ley y su Reglamento. El pronunciamiento establece con claridad tres fundamentos normativos y técnicos que sustentan esta obligación para las cooperativas:

1. Naturaleza jurídica del sujeto obligado:


Las cooperativas de ahorro y crédito forman parte del sistema financiero popular y solidario, conforme al artículo 311 de la Constitución de la República.

    2. Tratamiento de categorías especiales de datos:


    Las cooperativas realizan operaciones que implican el tratamiento de datos crediticios, los cuales son considerados datos de categoría especial.

    3. Tratamiento a gran escala:


    En función del volumen, frecuencia y alcance del tratamiento realizado por estas entidades, se configura un tratamiento a gran escala, lo cual activa la obligación de designar un DPO. Esta obligación aplica incluso para entidades no supervisadas por la Superintendencia de Bancos.


    El incumplimiento de esta obligación podría dar lugar a procedimientos administrativos sancionatorios, al tratarse de un elemento esencial del principio de responsabilidad proactiva.

      Desde BUSTAMANTE FABARA seguiremos difundiendo análisis especializados sobre la aplicación práctica de estos instrumentos normativos y sus implicaciones para los distintos sectores regulados.


      En caso de requerir información adicional, por favor contactarse a los siguientes correos electrónicos:


      Dra. María Rosa Fabara Vera: mfabara@bustamantefabara.com
      Esteban Dávila: edavila@bustamantefabara.com

      LEER MÁS

      Más publicaciones

      Reformas Claves en la Ley de Compañías Introducidas por la Ley Orgánica de Solidaridad Nacional (2025)

      Leer más

      Ministerio de Trabajo Emite Acuerdo Ministerial MDT-2025-054 que Reforma la Norma para la Certificación de Sustitutos de Personas con Discapacidad

      Leer más

      Marcas Notorias en Ecuador y la Comunidad Andina: Protección Regional con Reconocimiento Comercial

      Leer más

      © Copyright 2024 BUSTAMANTE FABARA. Todos los derechos reservados

      Políticas de Privacidad

      Políticas de Cookies

      Síguenos en:

      Facebook Instagram Linkedin Youtube