Qué cambió en 2025 con la SPDP en Ecuador: reglas y acciones clave

1) Cláusulas contractuales mínimas con encargados (y control de subencargos)

Qué es (tipo: norma vigente)
Se formaliza la exigencia de incorporar cláusulas mínimas en contratos donde un tercero trate datos personales por cuenta de un responsable (encargo). El enfoque es “cláusulas obligatorias”, aunque puedan existir modelos referenciales.

A quién afecta
Empresas (pymes y grandes), sector público y cualquier organización con proveedores que acceden/tratan datos: nómina, RR.HH., cloud/hosting, CRM, call centers, marketing, soporte TI, CCTV, mensajería, firmas digitales.

Qué exige / qué prohíbe
Exige definir: instrucciones de tratamiento, confidencialidad, medidas de seguridad, subencargos, asistencia en derechos, gestión de incidentes, devolución/eliminación, auditoría/controles. Prohíbe, en la práctica, relaciones “en blanco” sin reglas sobre seguridad y límites del tratamiento.

Riesgos de incumplimiento
Riesgo alto: contratos genéricos, proveedores sin controles, subprocesadores no autorizados, debilidad probatoria ante fiscalización o incidente.

Acciones recomendadas

1. Inventario de encargados y subencargados por proceso.
2. “Gap” contractual: qué falta vs. cláusulas mínimas.
3. Addendum estándar + due diligence (ubicación, seguridad, subencargos).
4. Evidencia: matriz de contratos actualizados (fecha, versión, responsable).

2) Gestión de riesgos y EIPD: guía con componente obligatorio

Qué es (tipo: criterio/guía con parte obligatoria)
Se aprueba una guía de gestión de riesgos y evaluación de impacto donde una sección es obligatoria (mínimos exigibles) y otra parte es orientativa.

A quién afecta
Tratamientos con riesgo relevante: salud, biométricos, videovigilancia masiva, perfiles, scoring, grandes volúmenes, niños/adolescentes, tratamientos intensivos o sensibles.

Qué exige / qué prohíbe
Exige enfoque de riesgo documentado (metodología mínima), definición de medidas y trazabilidad de decisiones. Prohíbe “EIPD de relleno” sin análisis real.

Riesgos de incumplimiento
Riesgo alto: no poder demostrar evaluación de riesgos/EIPD ante requerimiento, denuncia o incidente.

Acciones recomendadas

1. Adoptar metodología interna alineada a lo obligatorio.
2. Plantilla EIPD con criterios de activación y aprobaciones.
3. Evidencia: matriz de riesgos, decisiones, responsables, fechas, revisiones.

3) Metodología de cálculo de multas: mayor previsibilidad (y presión probatoria)

Qué es (tipo: norma vigente)
Se define una metodología para el cálculo de multas, con anexos/criterios de aplicación.

A quién afecta
Responsables, encargados y, en general, sujetos bajo potestad sancionadora.

Qué exige / qué prohíbe
En la práctica exige madurez probatoria: demostrar diligencia (contratos, medidas, evaluaciones, respuesta a derechos, cooperación), y gestionar factores de agravación/atenuación.

N/D (No confirmado en detalle aquí)
No confirmo en este texto los parámetros exactos de anexos/fórmulas.
Cómo verificar internamente: descarga del texto íntegro y anexos desde el repositorio oficial de resoluciones de la SPDP o solicitud formal de copia certificada.

Acciones recomendadas

1. Mapear infracciones probables por proceso (marketing, RR.HH., TI, transferencias).
2. Fortalecer evidencias de cumplimiento (antes de que “haga falta”).
3. Preparar paquete probatorio para inspección/denuncia.

4) Transferencias internacionales: regla más clara de aplicación conjunta

Qué es (tipo: norma vigente)
Se aclara el tratamiento de transferencias internacionales: deben ordenarse aplicando de forma consistente los requisitos relevantes (no es solo “consentimiento” o solo “contrato”; es un conjunto).

A quién afecta
Organizaciones con nube fuera de Ecuador, matrices/grupos, proveedores extranjeros, soporte remoto, analítica, publicidad digital, herramientas SaaS.

Qué exige / qué prohíbe
Exige mapear flujos, definir base legal, documentar garantías/condiciones y asegurar transparencia al titular. Prohíbe transferir “por costumbre” sin sustento integral.

Riesgos de incumplimiento
Riesgo alto: servicios cloud sin evaluación, ausencia de documentación por flujo, avisos de privacidad incompletos.

Acciones recomendadas

1. Mapa de flujos: país, proveedor, finalidad, categorías, acceso.
2. Clasificar: transferencia nacional vs. internacional.
3. “Paquete mínimo” por flujo: base legal + contrato/encargo + medidas + información al titular + evaluación de riesgos.

5) Delegado de Protección de Datos (DPD): sectores obligados y registro (ventana 2025)

Qué es (tipo: norma vigente)
Se desarrolla el régimen del DPD: cuándo aplica, funciones, independencia, y obligación de registro del DPD ante la autoridad, incluyendo una ventana transitoria en 2025 para ciertas situaciones.

A quién afecta
Organizaciones obligadas a designar DPD por su actividad/escala/tipo de datos; y quienes ya tenían DPD designado.

Qué exige / qué prohíbe
Exige formalizar designación, rol real, recursos, independencia y registro. Prohíbe designaciones “de papel” sin capacidad de actuación.

Riesgos de incumplimiento
Riesgo medio/alto: ausencia de DPD cuando es obligatorio, o DPD sin independencia/recursos.

Acciones recomendadas

1. Determinar si tu organización está en supuesto de obligación.
2. Formalizar nombramiento, funciones, reporte y recursos.
3. Registrar y mantener evidencia de actividades del DPD.

6) Seudonimización/anonimización y ciclo de vida: reglas operativas y plazos

Qué es (tipo: norma vigente)
Se aterrizan reglas sobre seudonimización, anonimización, bloqueo, suspensión y eliminación, con enfoque en gestión de riesgos y ejecución operativa.

A quién afecta
Todos, pero especialmente salud, investigación, analítica, seguridad y quienes retienen grandes volúmenes.

Qué exige / qué prohíbe
Exige procedimientos y evidencia para: conservar, bloquear, suspender, eliminar. Prohíbe tratamientos indefinidos sin base o sin control del ciclo de vida.

Riesgos de incumplimiento
Riesgo alto: incumplir plazos o no poder ejecutar derechos; “anonimización” con reidentificación.

Acciones recomendadas

1. Política de conservación/eliminación con tabla de plazos y responsables.
2. Playbook de derechos (SLA, registro, trazabilidad).
3. Controles técnicos y registro de decisiones para anonimización/seudonimización.

7) Interés legítimo: metodología mínima de ponderación (documentación obligatoria)

Qué es (tipo: norma vigente + metodología anexa)
Se establecen reglas para el uso del interés legítimo, con criterios mínimos para evaluar ponderación (necesidad, proporcionalidad, impacto, salvaguardas).

A quién afecta
Quien usa interés legítimo: seguridad, antifraude, videovigilancia, analítica interna, ciertos tratamientos corporativos (según caso).

Qué exige / qué prohíbe
Exige una evaluación documentada (LIA) y transparencia hacia el titular. Prohíbe invocar interés legítimo sin análisis o para tratamientos desproporcionados.

Riesgos de incumplimiento
Riesgo alto: oposición del titular, denuncias, inspecciones sin evidencia de ponderación.

Acciones recomendadas

1. Inventario por base legal y detección de interés legítimo.
2. Completar LIA por tratamiento y aprobar internamente.
3. Ajustar avisos de privacidad y canal de oposición.

8) Publicación de resoluciones sancionatorias: más exposición reputacional

Qué es (tipo: actuación/enforcement)
En 2025 se observa actividad sancionadora con resoluciones publicadas, lo que incrementa el impacto reputacional del incumplimiento.

A quién afecta
Todas las organizaciones: sube el incentivo a “cumplimiento demostrable”.

Qué implica
Mayor necesidad de: preparación de expediente, respuesta a requerimientos, remediación rápida y evidencias consistentes.

Acciones recomendadas

1. Protocolo de respuesta a fiscalización/denuncias (roles, plazos, evidencias).
2. Auditoría express: encargados, transferencias, interés legítimo, derechos.
3. Plan de remediación por riesgo (alto/medio/bajo).