Servicios Equipo Publicaciones
Responsabilidad Social Corporativa Sobre Nosotros Únete a PBP Contáctenos Family Office
ES

Buscar

febrero 05, 2026

Nueva norma sobre tratamiento de Datos Personales a gran escala en Ecuador

Publicaciones internas

Protección de Datos Personales

Resolución Nº SPDP-SPD-2026-0005-R Fecha de emisión: 2 de febrero de 2026

 

La Superintendencia de Protección de Datos Personales de Ecuador (SPDP) ha expedido la Norma General sobre el Tratamiento de Datos Personales a Gran Escala, con el objetivo de establecer directrices y criterios técnicos para identificar y gestionar los tratamientos de datos personales que se consideran de gran escala, en cumplimiento de la Ley Orgánica de Protección de Datos Personales (LOPDP) y su Reglamento General (RGLOPDP).

 

Esta normativa responde a la necesidad de garantizar salvaguardas sólidas en contextos de macrodatos (big data) y tratamientos masivos, protegiendo así los derechos y libertades de los titulares de datos personales.

 

 

Ámbito de aplicación

 

Las disposiciones de esta norma son de cumplimiento obligatorio para todos los responsables del tratamiento, así como para los encargados que tengan acceso, visibilidad o control efectivo sobre los datos objeto de tratamiento. Su aplicación comprende tanto las actividades de tratamiento realizadas dentro del territorio ecuatoriano como aquellas efectuadas fuera del país cuando resulten aplicables los criterios de territorialidad previstos en la normativa vigente.

 

Modelo Técnico de Gran Escala (MTGE)

 

La norma introduce el Modelo Técnico de Gran Escala (MTGE), un instrumento técnico-jurídico que permite determinar objetivamente cuándo un tratamiento de datos personales puede considerarse de gran escala. El modelo se basa en la evaluación de seis variables:

 

  1. Número de titulares de datos personales (calculado sobre un período de 12 meses) 
  2. Volumen de datos personales tratados
  3. Categorías de datos personales (básicos, especiales, grupos vulnerables)
  4. Frecuencia del tratamiento (puntual, periódica o continua)
  5. Permanencia del tratamiento (ocasional, temporal o prolongada)
  6. Alcance geográfico (local, nacional, transfronterizo o global)

 

El umbral de calificación se establece en seis (6) puntos. Cuando el resultado del cálculo sea igual o superior a dicho umbral, el tratamiento será considerado de gran escala.

 

Casos de calificación directa obligatoria

 

Independientemente del resultado del MTGE, se considerarán tratamientos a gran escala de manera directa y obligatoria los siguientes supuestos:

 

  • Tratamientos relativos a la salud, en sistemas sanitarios, asistenciales o de seguridad social, así como los relativos a categorías especiales de datos personales.
  • Evaluación sistemática y exhaustiva de aspectos personales basada en tratamientos automatizados (perfilamiento, predicción o monitoreo de comportamientos) que produzcan efectos jurídicos o afecten derechos y libertades.
  • Observación, vigilancia o monitoreo sistemático en zonas de acceso público mediante videovigilancia u otros mecanismos tecnológicos.
  • Tratamiento de datos biométricos y geolocalización.
  • Tratamiento en sistemas de información crediticia, financiera o de evaluación de riesgo económico.
  • Tratamiento sistemático de datos de niñas, niños y adolescentes en entornos institucionales, educativos o digitales.
  • Transferencias sistemáticas de datos personales dentro o fuera del territorio nacional.
  • Tratamiento de datos en servicios de mensajería acelerada, expresa o courier.

 

Principales obligaciones

 

Los responsables y encargados que realicen tratamientos a gran escala deberán cumplir con las siguientes obligaciones:

  1. Mantener actualizado el RAT con información específica, incluyendo descripción del tratamiento, categorías y tipos de datos, titulares afectados, frecuencia, permanencia y medidas de seguridad implementadas.
  2. Será obligatoria la designación de un delegado de protección de datos personales cuando el tratamiento se califique como de gran escala.
  3. Realizar una evaluación de impacto del tratamiento de datos personales con carácter previo.
  4. Aplicar medidas de privacidad desde el diseño y por defecto antes y durante el tratamiento.
  5. Someterse a auditorías internas o externas al menos una vez cada doce (12) meses, o cuando se produzcan cambios significativos en el tratamiento. Los informes de auditoría deberán conservarse por un período mínimo de cinco (5) años.
  6. Identificar expresamente los tratamientos a gran escala en las políticas de privacidad, indicando finalidades, categorías de datos, titulares afectados y derechos que les asisten.
  7. Elaborar y conservar informes anuales documentando las actividades de control interno, auditorías, revisiones del MTGE y medidas de mejora implementadas.

 

Plazo de adaptación

 

Los responsables y encargados que, por aplicación de la norma, identifiquen que realizan tratamientos a gran escala dispondrán de noventa (90) días desde la entrada en vigencia de la norma para designar a sus delegados de protección de datos personales y registrarlos ante la SPDP.

 

Quedan excluidos de este plazo quienes ya debieron haber procedido a dicha designación conforme a los casos predeterminados en el RGLOPDP.

 

Dada la complejidad técnica de esta normativa, es fundamental realizar una revisión exhaustiva de sus flujos de datos actuales. Si desea obtener más información sobre esta disposición o requiere asistencia para la estructuración de su plan de adecuación, nos puede contactar al siguiente correo electrónico: comunicacionpbp@pbplaw.com

Consejo Editorial

Compartir artículo