• info@kahudata.com
  • *593 99 881 5397
Instagram Linkedin
Agenda una cita

Nombrar un apoderado en Ecuador ya no es opcional

Nombrar un apoderado en Ecuador ya no es opcional

La Superintendencia de Protección de Datos Personales (SPDP) de Ecuador expidió la Resolución Nº SPDP-SPDP-2024-0002-R que aprueba la Guía técnica obligatoria para el registro de apoderados especiales de responsables —conjuntos o no— y encargados no domiciliados en el país que realizan tratamiento de datos personales en territorio ecuatoriano. Esta guía aterriza la LOPDP y su Reglamento General (RGLOPDP) sobre extraterritorialidad y representación local, fijando quiénes deben nombrar apoderado, qué requisitos debe cumplir, cómo se registra y qué documentación adicional debe presentarse ante la Autoridad.

¿A quién aplica? Alcance material y territorial

La guía es obligatoria para todo responsable o encargado extranjero que, sin domicilio en Ecuador: (i) ofrezca bienes/servicios a titulares residentes, (ii) forme parte del sistema de protección de datos del Ecuador, o (iii) controle comportamiento de personas en el país, incluso de forma virtual o remota. Estos supuestos reflejan la regla de aplicación extraterritorial prevista por la LOPDP para proteger a titulares en Ecuador.

Escenarios típicos:

  • Plataformas SaaS sin oficina en Ecuador que comercializan suscripciones a usuarios ecuatorianos.
  • Marketplaces o apps móviles que segmentan anuncios según el comportamiento de usuarios en Ecuador.
  • Procesadores offshore que tratan datos por cuenta de una empresa local.

Obligación de designar apoderado especial

Los sujetos regulados deben designar un apoderado especial permanente en Ecuador, con facultades amplias y suficientes para comparecer ante instancias administrativas y judiciales en materia de datos, y tramitar peticiones/quejas de titulares (art. 2). El poder no puede contener limitaciones que entorpezcan derechos de los titulares. Debe incluir:

  • Denominación social y marcas/nombres comerciales del responsable; en el caso del encargado, también los del responsable por cuya cuenta trata datos.
  • Direcciones físicas y electrónicas y teléfonos de la casa matriz y del apoderado.
    El incumplimiento habilita a la SPDP a aplicar medidas correctivas conforme a la LOPDP (arts. 65 y 66) y determina responsabilidad administrativa de quienes aparenten obrar por cuenta del sujeto regulado.

Requisitos del apoderado

Puede ser persona natural (ecuatoriana domiciliada o extranjera con residencia y en goce de derechos políticos) o persona jurídica mercantil activa con objeto social que le permita actuar como mandataria. La SPDP puede verificar con la Superintendencia de Compañías el cumplimiento de requisitos (vigencia societaria y del representante legal).

Procedimiento de registro

El registro se realiza ante la SPDP presentando el poder especial:

  • Poder otorgado en el extranjero: debe estar apostillado (Convención de La Haya) o certificado ante Consulado del Ecuador si el país no es parte del Convenio.
  • Traducción al español cuando corresponda (art. 29 de la Ley de Optimización y Eficiencia de Trámites Administrativos).
  • Solicitud firmada electrónicamente (FirmaEc); mientras se habilita la plataforma electrónica, se admite presentación en oficinas (firma autógrafa).

La SPDP califica requisitos del apoderado y la suficiencia del poder. Si hay observaciones, el solicitante tiene 15 días para subsanar; de no hacerlo, el trámite concluye de pleno derecho. Además, para facilitar derechos de los titulares, se publicará en la web de la SPDP —y de los sujetos regulados— el registro de apoderados con datos de contacto..

Obligaciones documentales complementarias

Además del registro del apoderado, los sujetos regulados deben remitir a la SPDP (art. 6):

  1. Acuerdo de corresponsabilidad o contrato de encargo;
  2. Registro de actividades de tratamiento (RAT) por actividad (art. 39 RGLOPDP);
  3. Análisis de riesgos por actividad;
  4. Flujos de datos por tratamiento;
  5. Medidas de seguridad para comunicaciones y transferencias;
  6. Códigos de autorregulación, si existieran (sujetos a aprobación).

Estas exigencias se integran con el régimen de transferencias internacionales (Cap. IX LOPDP y Cap. XII RGLOPDP), que condiciona transferencias a nivel adecuado, garantías, excepciones y, en su caso, autorización de la Autoridad.

Actualizaciones del registro

Debe actualizarse ante: muerte o renuncia del apoderado; vencimiento del poder; o cambios societarios (cambio de denominación, absorción, escisión, transformación, disolución o liquidación). Hasta registrar la actualización, el apoderado sigue respondiendo; en absorción responde la sucesora; en escisión rige el art. 351 de la Ley de Compañías.

Plazos transitorios y control

Los sujetos que ya venían tratando datos a la fecha de suscripción (6 de septiembre de 2024) deben cumplir el registro en seis meses desde la publicación en el Registro Oficial. Aun durante ese plazo, la SPDP puede aplicar lo previsto en el art. 2 (medidas correctivas); una vez vencido, iniciará procesos de control del registro.

Riesgos, limitaciones y recomendaciones prácticas

Riesgos:

  • Sanciones administrativas y medidas correctivas por no contar con apoderado hábil o por poderes insuficientes.
  • Bloqueos operativos: imposibilidad de atender derechos de titulares o requerimientos de la Autoridad sin representante local.
  • Riesgo reputacional por publicación de incumplimientos o falta de datos de contacto.

Limitaciones: la guía no reemplaza obligaciones de transferencia internacional ni bases de legitimación del tratamiento (consentimiento, obligación legal, interés público, interés legítimo, etc.), que deben cumplirse en paralelo.

Próximos pasos (checklist):

  • Mapear si existe oferta a residentes, monitorización o vínculo con el sistema ecuatoriano.
  • Seleccionar apoderado (persona o sociedad) y otorgar poder suficiente con datos de contacto completos.
  • Preparar RAT, DPIA/análisis de riesgos, flujos y medidas de seguridad, y presentar contratos aplicables.
  • Planificar actualizaciones ante cambios societarios.
  • Ajustar transferencias internacionales al Cap. IX LOPDP/Cap. XII RGLOPDP.

Conclusión

La resolución operacionaliza la exigencia de representación local para actores extranjeros que tratan datos de personas en Ecuador, y conecta ese deber con un set documental robusto (RAT, análisis de riesgos, seguridad, contratos). Para compañías globales con huella digital en Ecuador, el apoderado es ya un control habilitante para cumplimiento, respuesta a titulares y supervisión. Implementarlo con rigor, y dentro del plazo transitorio, reduce contingencias y alinea la gobernanza de datos con estándares exigidos por la SPDP.

Si necesitas apoyo para llevar a cabo estas recomendaciones, los expertos están a tu alcance. KahuData Solutions ofrece asesoría especializada en protección de datos personales en Ecuador.

Puedes contactarnos en info@kahudata.com o al +593 99 881 5397​.

Ayudamos a empresas a implementar la LOPDP de forma práctica y alineada con mejores estándares.

Necesitas o tienes dudas sobre el cumplimiento de la LOPDP, estamos listos para ayudarte.

Contacta hoy y descubre cómo convertir el cumplimiento en una ventaja competitiva.

Primera consulta GRATUITA ¡Agéndala ahora!

¿Te gustó? Por favor, comparte y dale Like

  • Categorías
  • Archivos