En el marco de la Ley Orgánica de Protección de Datos Personales (LOPDP) del Ecuador, surge una pregunta frecuente: cuando el tratamiento de datos se sustenta en una base legitimadora distinta al consentimiento, ¿es necesario que el titular acepte expresamente la política de protección de datos personales?
La Superintendencia de Protección de Datos Personales (SPDP), en una reciente absolución de consulta, N° SPDP-IRD-2025-0126-O, ha abordado este tema con un análisis detallado que aclara conceptos clave y orienta a responsables y encargados de tratamiento.
El planteamiento parte de lo dispuesto en el artículo 7 de la LOPDP, que enumera las bases de legitimación para el tratamiento de datos personales. No siempre se requiere el consentimiento del titular; por ejemplo, puede tratarse de un tratamiento amparado en una obligación legal, en el cumplimiento de un contrato, en un interés legítimo o en la protección de intereses vitales.
La duda que resuelve la SPDP es si, en esos casos, es obligatorio que el titular acepte de forma expresa la política de protección de datos personales, o si basta con cumplir el deber de informar establecido en los artículos 10 y 12 de la ley.
El análisis de la SPDP parte de la Constitución de la República (artículos 66 numeral 19 y 92), que reconoce el derecho fundamental a la protección de datos personales y establece que su tratamiento requiere autorización del titular o mandato de ley.
Luego, se revisan definiciones clave de la LOPDP (consentimiento, dato personal, tratamiento) y se recuerda que el artículo 7 recoge ocho bases de legitimación, todas con el mismo rango y valor jurídico. No hay jerarquía entre ellas: cada una es aplicable según el caso y la finalidad específica.
La SPDP subraya que todo responsable o encargado debe contar con una política de protección de datos personales actualizada y coherente con sus actividades de tratamiento. Esta política debe cumplir con lo que dispone el artículo 12 de la LOPDP y reflejar de forma precisa:
Sin embargo, y este es el punto crucial, no existe una obligación legal de que el titular acepte expresamente dicha política cuando la base legitimadora no es el consentimiento. Lo que sí es obligatorio es informar al titular de forma clara, suficiente y oportuna sobre la política antes o al momento de la recolección de los datos, o antes de iniciar el tratamiento si los datos ya fueron obtenidos.
Aunque no sea un requisito legal, la SPDP reconoce que algunas organizaciones optan por solicitar al titular que acepte expresamente la política como medida de trazabilidad y evidencia del cumplimiento del deber de información. Esta práctica:
Otro punto relevante es que la política debe redactarse en un lenguaje comprensible para el titular, adaptándose incluso a públicos específicos como menores de edad. Esto responde al principio de transparencia y a la obligación de garantizar que el titular pueda entender cómo se usarán sus datos.
En síntesis, la Superintendencia concluye que:
Cuando el tratamiento de datos personales se sustente en una base legitimadora distinta al consentimiento, no es necesario que el titular acepte expresamente la política de protección de datos personales. Sin embargo, esta debe estar implementada, disponible y ser comunicada al titular de forma clara, suficiente y oportuna. La obligación de informar es ineludible y debe ser comprobable.
El criterio de la SPDP aporta certeza jurídica y ayuda a las organizaciones a diferenciar entre consentimiento e información. Muchas veces se confunden estos conceptos:
Esta distinción es fundamental para evitar prácticas innecesarias o incluso restrictivas que puedan afectar la experiencia del usuario, como condicionar servicios a la aceptación de políticas que, en ciertos casos, no requieren su consentimiento.
Además, el pronunciamiento pone en valor la responsabilidad proactiva: aunque no se requiera aceptación formal, el responsable debe estar en capacidad de probar que informó adecuadamente al titular y que su política está vigente y accesible.
La SPDP reafirma que el núcleo de la protección de datos no está únicamente en recabar consentimientos, sino en respetar los principios de la LOPDP: licitud, transparencia, lealtad, minimización, exactitud, limitación de la finalidad y responsabilidad proactiva.
En definitiva, cuando el tratamiento de datos se ampara en una base legitimadora distinta al consentimiento, la aceptación expresa de la política no es un requisito legal, pero el deber de informar y la capacidad de demostrarlo siguen siendo obligaciones esenciales para garantizar la confianza y el cumplimiento normativo.
Si necesitas apoyo para llevar a cabo estas recomendaciones, los expertos están a tu alcance. KahuData Solutions ofrece asesoría especializada en protección de datos personales en Ecuador.
Puedes contactarnos en info@kahudata.com o al +593 99 881 5397.
Ayudamos a empresas a implementar la LOPDP de forma práctica y alineada con mejores estándares.
Necesitas o tienes dudas sobre el cumplimiento de la LOPDP, estamos listos para ayudarte.
Contacta hoy y descubre cómo convertir el cumplimiento en una ventaja competitiva.
Primera consulta GRATUITA ¡Agéndala ahora!
