Avances respecto a la aplicación de la Ley de Protección de Datos Personales: Criterios oficiales de la SPDP

La Ley Orgánica de Protección de Datos Personales (LOPDP) ha marcado un cambio importante en la forma en que las instituciones públicas y privadas tratan la información personal. Pero en la práctica, ¿cómo se está implementando esta ley en el Ecuador? Las respuestas emitidas por la Superintendencia de Protección de Datos Personales (SPDP) nos permiten conocer los criterios oficiales que guían su aplicación.

Entre 2024 y 2025, la SPDP ha emitido varios oficios resolviendo consultas. Estas respuestas son una guía clave para entender cómo interpretar la ley. A continuación, resumimos los principales criterios que se desprenden de diez oficios relevantes, que tocan temas como: uso de datos biométricos, nombramientos de delegados, acceso a información notarial, cooperativas de ahorro y crédito, compañías de seguro, entre otros.

1. Reconocimiento por Buenas Prácticas en el Tratamiento de Datos Personales

Oficio N° SPDP-IGRPD-2024-001-O-C

La LOPDP establece que las organizaciones que apliquen buenas prácticas en el tratamiento de datos pueden acceder a un reconocimiento especial. Sin embargo, la SPDP aclara que hasta ahora no existe un procedimiento definido para solicitar este reconocimiento. Esto significa que no hay reglas oficiales ni formularios disponibles para iniciar el trámite.

Por el momento, las entidades interesadas deben esperar a que se emitan las disposiciones reglamentarias correspondientes. Hasta entonces, no es posible hacer solicitudes formales ni evaluar criterios de cumplimiento. Lo recomendable es prepararse internamente y seguir aplicando los principios generales de la ley en los procesos institucionales.

2. Designación del Delegado de Protección de Datos Personales

Oficio N° SPDP-IGRPD-2024-002-O-C

Aunque la LOPDP establece la obligación de designar un Delegado de Protección de Datos Personales (DPD), la SPDP ha indicado que aún no existe un procedimiento para verificar su cumplimiento. Tampoco hay un registro habilitado para notificar esta designación a la autoridad.

Las instituciones deben actuar con base en la ley, designando un DPD y documentando adecuadamente el proceso. No se debe esperar a que la SPDP exija la información, ya que el cumplimiento debe ser proactivo. Es clave que el delegado tenga independencia y conocimientos adecuados sobre protección de datos.

3. Código Dactilar en Nombramiento de Representantes Legales

Oficio N° SPDP-IGRPD-2024-008-O-C

El uso del código dactilar junto con el número de cédula para identificar representantes legales ha sido cuestionado. Según la SPDP, esta medida vulnera el principio de minimización de datos, ya que la cédula es suficiente para identificar a una persona de forma unívoca.

Al tratarse de un dato biométrico sensible, el código dactilar solo puede usarse con una base legal clara y justificación proporcional. En este caso, no existe una necesidad legítima que justifique su uso adicional. La autoridad recomienda eliminar esta exigencia y limitarse al número de cédula.

4. Copias de Escrituras Notariales y Protección de Datos Personales

Oficio N° SPDP-IRD-2025-0009-O

Las escrituras públicas pueden ser solicitadas por cualquier persona, en cumplimiento del principio de transparencia. Sin embargo, estos documentos contienen datos personales que deben ser protegidos por el notario antes de su entrega. La SPDP aclara que debe aplicarse la LOPDP incluso cuando se cumple con la Ley Notarial.

Por ello, se sugiere anonimizar los datos innecesarios o pedir el consentimiento de los titulares, si es viable. No se requiere un contrato firmado entre solicitante y titular, pero sí cumplir con los requisitos legales y salvaguardar la información. El acceso a lo público no puede significar renunciar a la privacidad.

5. Trazabilidad de Tarjetas de Implante Médico

Oficio N° SPDP-IRD-2025-0010-O

Las tarjetas de implantes médicos contienen datos sensibles como el nombre del paciente, tipo de dispositivo y número de serie. Su tratamiento requiere consentimiento informado, además de aplicar principios como finalidad y proporcionalidad. No puede utilizarse esta información con fines comerciales ni estadísticos sin autorización.

Los datos deben ser estrictamente los necesarios para identificar el dispositivo y actuar en caso de emergencia médica. Además, cuando ya no sea necesario conservar esta información, debe eliminarse de manera segura. El tratamiento ético y legal de estos datos protege la dignidad y los derechos del paciente.

6. Responsabilidad del Delegado de Protección de Datos en Notarías

Oficio N° SPDP-IRD-2025-0017-O

La SPDP concluye que no corresponde a cada notaría designar un DPD individualmente, ya que no son máximas autoridades. Esta responsabilidad podría recaer en el Consejo de la Judicatura, como órgano rector del servicio notarial, aunque esta medida todavía no ha sido regulada formalmente.

Mientras tanto, las notarías deben aplicar los principios de tratamiento de datos: legalidad, lealtad, pertinencia y minimización. Al entregar copias de escrituras, deben equilibrar el acceso a la información con la protección de datos personales, realizando un análisis de proporcionalidad en cada caso.

7. Uso de Datos Biométricos para Control de Asistencia Laboral

Oficio N° SPDP-IRD-2025-0031-O

La SPDP considera que el uso de datos biométricos, como huellas digitales o reconocimiento facial, para registrar asistencia no es proporcional. Estos datos son sensibles y existen métodos alternativos menos invasivos, como tarjetas o registros digitales convencionales.

Además, el consentimiento del trabajador no se considera libre debido a la relación jerárquica con su empleador. La persona puede sentirse obligada a aceptar por miedo a represalias. Por tanto, la SPDP desaconseja este tipo de tecnologías para el control de asistencia laboral.

8. Obligación de Designar un Delegado de Protección de Datos en Cooperativas de Ahorro y Crédito

Oficio N° SPDP-IRD-2025-0036-O

Las cooperativas de ahorro y crédito manejan grandes volúmenes de datos personales y crediticios. Por eso, están obligadas a contar con un Delegado de Protección de Datos Personales. No basta con esperar a que la SPDP lo requiera formalmente; la designación debe ser previa.

El DPD debe actuar con independencia, tener conocimientos técnicos y experiencia suficiente. Su función principal será asegurar el cumplimiento de la LOPDP y facilitar la relación entre la entidad, los titulares de datos y la autoridad de control.

9. Derechos de los Trabajadores sobre sus Datos Personales

Oficio N° SPDP-IRD-2025-0065-O

El trabajador tiene derecho a solicitar todos los documentos que contengan sus datos personales, incluso después de finalizada la relación laboral. Este acceso debe ser gratuito y atendido en un plazo máximo de 15 días. No se exige justificación para ejercer este derecho.

Además, si detecta errores en sus registros laborales, puede pedir su rectificación, pero solo con una sentencia judicial ejecutoriada. Esto garantiza que la corrección se base en hechos probados y evita arbitrariedades. La rectificación también debe notificarse a terceros que hayan recibido la información anterior.

10. El Delegado de Protección de Datos en el sector público

Oficio N° SPDP-IRD-2025-0089-O

En el sector público, el DPD debe ser designado por la máxima autoridad institucional. No es necesario que su cargo conste en el organigrama ni que sea un funcionario de carrera. Puede ser contratado bajo distintas modalidades, siempre que cumpla con los requisitos de la ley.

El delegado debe evitar conflictos de interés y no asumir funciones operativas sobre los datos. Su rol es asesorar, supervisar y vigilar el cumplimiento normativo. Aunque aún no se emite un estatuto específico, se espera que su independencia y preparación sean las principales garantías.

En definitiva, la SPDP continúa desarrollando la normativa y procedimientos para una aplicación efectiva de la LOPDP. Mientras tanto, las entidades deben cumplir con los principios y obligaciones vigentes, garantizando la protección de los datos personales y la transparencia.

11. Responsabilidad de las Compañías de Seguros en el Tratamiento de Datos Personales de Salud según la LOPDP

Oficio N° SPDP-IRD-2025-0090-O

Cuando una compañía de seguros recibe información médica de un paciente enviado por un establecimiento de salud con el consentimiento del propio paciente, no se considera encargada del tratamiento de datos personales según la Ley Orgánica de Protección de Datos Personales (LOPDP). Esto se debe a que la aseguradora no actúa bajo instrucciones del establecimiento ni existe un contrato que la vincule para ese fin, sino que utiliza los datos para sus propios objetivos, como verificar coberturas o analizar riesgos.

Por esta razón, la aseguradora es responsable del tratamiento de los datos, ya que decide de manera autónoma los fines y medios para su uso. El consentimiento del paciente permite la transferencia de la información, pero no modifica el rol de la aseguradora. Solo sería encargada si existiera un contrato y actuara bajo las instrucciones del establecimiento de salud, sin autonomía en el manejo de los datos.

12. Diferenciación de roles y responsabilidades en el tratamiento de datos personales según la LOPDP y su Reglamento

Oficio N° SPDP-IRD-2025-0096-O

La Ley Orgánica de Protección de Datos Personales (LOPDP) y su Reglamento establecen claramente los roles de responsable, encargado, destinatario y tercero en el tratamiento de datos personales. El responsable es quien decide la finalidad y los medios del tratamiento, mientras que el encargado actúa únicamente en nombre y por cuenta del responsable, siguiendo sus instrucciones y bajo un contrato específico. El acceso a los datos por parte del encargado o de un tercero no se considera transferencia si es necesario para prestar un servicio al responsable y está debidamente regulado; al finalizar el servicio, los datos deben ser destruidos o devueltos.

Si el encargado llega a decidir por sí mismo sobre los fines y medios del tratamiento, pasa a ser considerado responsable ante la ley. Por ello, es fundamental identificar correctamente el rol de cada actor y cumplir con las obligaciones y límites legales en todas las etapas del ciclo de vida de los datos personales, garantizando así la protección de los derechos de los titulares.

¿Necesitas más información?

Contacta con nuestro equipo:

096 869 8681

(02)3 333 533

asistencia@plabogados.com.ec

El boletín de PL ABOGADOS es meramente informativo y no puede ser utilizado como asesoría u opinión legal.

PL ABOGADOS
Julio 2025