El 7 de noviembre de 2025, la Superintendencia de Protección de Datos Personales (SPDP) emitió la Normativa General para regular el uso del interés legítimo como base de legitimación para el tratamiento de datos personales en Ecuador. La norma es de cumplimiento obligatorio para el sector privado.
El uso del interés legítimo debe observar criterios de proporcionalidad, transparencia y respeto a los derechos de los titulares. En caso de duda sobre un posible impacto en los derechos del titular, prevalecen siempre los derechos del titular.
El interés legítimo permite tratar datos personales sin consentimiento previo cuando el responsable demuestre que el tratamiento no vulnera los derechos y libertades del titular. Esta justificación debe sustentarse en una Evaluación de Ponderación (EP) previa, motivada y documentada.
La EP es obligatoria y su omisión es una infracción grave. Debe:
- Justificar la idoneidad, necesidad y proporcionalidad del tratamiento.
- Incluir un análisis de riesgos y las medidas de mitigación.
- Estar disponible para la SPDP y para los titulares, en lenguaje claro y accesible.
- Mantenerse en un registro ordenado, accesible y actualizado por al menos cinco años, con revisión anual o ante cambios sustanciales.
Entre los supuestos admisibles para aplicar el interés legítimo se incluyen:
- Mercadotecnia directa bajo condiciones específicas.
- Prevención, detección y reporte de fraudes, lavado de activos, financiamiento del terrorismo y delitos conexos.
- Comunicación interna dentro de grupos empresariales, así como seguridad de redes y sistemas TIC.
- Sistemas de videovigilancia dirigidos a proteger personas e instalaciones.
En todos los casos, el responsable debe habilitar un mecanismo claro para el ejercicio del derecho de oposición y comunicar la información en lenguaje claro.
La normativa prohíbe expresamente:
- Tratamiento de datos sensibles y de categorías especiales.
- Tratamiento de datos de menores.
- Grabación de audio en sistemas de videovigilancia.
- Elaboración de perfiles automatizados con efectos jurídicos o impactos significativos similares.
- Tratamientos masivos incompatibles con la finalidad original.
De manera excepcional, se permite la elaboración de perfiles totalmente automatizados en estos sectores, siempre que:
- Se implementen medidas de seguridad reforzadas.
- Se cumplan los principios de transparencia, pertinencia, minimización, proporcionalidad y seguridad.
- Exista un mecanismo efectivo para ejercer el derecho de oposición.
- Exista revisión humana y supervisión de la autoridad competente.
En términos prácticos, las organizaciones deben:
- Implementar una metodología de Evaluación de Ponderación con criterios claros y trazables.
- Reforzar controles y medidas de seguridad acordes al riesgo.
- Garantizar transparencia hacia los titulares, con avisos claros y mecanismos efectivos para el derecho de oposición.
- Mantener registros y evidencias de cumplimiento, con revisiones periódicas.
En Pérez Bustamante & Ponce brindamos asesoría integral para adaptar su empresa a esta normativa, reducir riesgos regulatorios y fortalecer la confianza de sus clientes.
Consejo Editorial
