Servicios Equipo Publicaciones
Responsabilidad Social Corporativa Sobre Nosotros Únete a PBP Contáctenos Family Office
ES

Buscar

mayo 09, 2025

Reglamento del Plan Anual de Auditorías (PAA) en protección de datos personales

Publicaciones internas

Protección de Datos Personales

La Superintendencia de Protección de Datos Personales (SPDP) ha emitido el Reglamento para la elaboración y aprobación del Plan Anual de Auditorías (PAA), con el fin de estandarizar los procesos de control y supervisión a entidades que tratan datos personales en Ecuador.

 

Aspectos clave del reglamento

 

  1. Objeto y ámbito de aplicación
  • El PAA establece lineamientos y procedimientos obligatorios para la Intendencia General de Control y Sanción (ICS) de la SPDP, encargada de auditar a los administrados (responsables y encargados del tratamiento de datos personales).
  • Las auditorías evaluarán el cumplimiento de la Ley Orgánica de Protección de Datos Personales (LOPDP), su reglamento y normativa conexa.

 

  1. Criterios para selección de sectores auditados
    La ICS priorizará auditorías basándose en:
  • Riesgo para los titulares: impacto del tratamiento, sensibilidad de los datos (ej. información médica o financiera) y vulnerabilidad de los afectados.
  • Indicadores operativos: volumen de denuncias, uso de tecnologías innovadoras (ej. IA) y recursos disponibles para las auditorías.
  • Historial de incumplimientos: gravedad y frecuencia de vulneraciones reportadas.

 

  1. Contenido mínimo del PAA

El plan anual debe incluir:

  • Datos generales: ejercicio fiscal, responsables de elaboración y fechas clave.
  • Metodología: objetivos, alcance, programación de actividades e indicadores de seguimiento.
  • Boletín Informativo: documento público que detalla los sectores auditados y permanece disponible en la web de la SPDP durante todo el año fiscal.

 

  1. Cronograma y aprobación
  • Elaboración anual a partir del 1 de junio, con presentación al Superintendente hasta el último día laborable de agosto.
  • Aprobación definitiva antes de la segunda semana de septiembre. En caso de observaciones, la ICS dispone de 15 días para ajustes.

 

  1. Disposiciones transitorias
  • Para 2025, el PAA se elaborará mediante un informe técnico de la ICS, sin seguir el procedimiento estándar, debido al inicio reciente de funciones de la SPDP.
  • A partir de 2026, se aplicará un nuevo reglamento que incluirá mecanismos de retroalimentación para mejorar continuamente el proceso de auditoría.

 

 

Resumen:
El nuevo reglamento del PAA refuerza la transparencia y eficacia en la supervisión de la protección de datos personales en Ecuador. La SPDP priorizará auditorías en sectores de alto riesgo, como salud, finanzas y tecnologías emergentes, garantizando que los titulares de datos cuenten con salvaguardas efectivas. Las organizaciones deben prepararse para posibles auditorías, asegurando el cumplimiento de la LOPDP y sus principios fundamentales

Consejo Editorial

Compartir artículo