El 12 de febrero de 2026, la Superintendencia de Protección de Datos Personales (SPDP) emitió la normativa que regula el tratamiento de datos personales en sistemas de Inteligencia Artificial (IA) en Ecuador. Esta norma es de cumplimiento obligatorio para todas las organizaciones que desarrollen, entrenen, implementen, desplieguen o provean sistemas de IA que traten datos de titulares ecuatorianos, sin importar la ubicación del proveedor.
El objetivo primordial es garantizar que el uso de tecnologías emergentes no vulnere los principios, derechos y obligaciones establecidos en la Ley Orgánica de Protección de Datos Personales (LOPDP).
1. Roles y Ámbito de Aplicación
La resolución define actores específicos dentro del ciclo de vida de la IA, cada uno sujeto a responsabilidades como responsables o encargados del tratamiento:
- Desarrollador: Quien crea o genera el sistema de IA.
- Desplegador: Quien ejecuta la prestación de un servicio mediante IA (salvo uso personal no profesional).
- Distribuidor: Quien comercializa o presta el sistema en el mercado.
- Implementador: Quien encarga el desarrollo o integra la IA en procesos internos.
2. Garantías Fundamentales para los Titulares
Se ratifica que los sistemas de IA deben permitir el ejercicio efectivo de los derechos de protección de datos personales y, específicamente, se debe garantizar:
- El derecho a no ser objeto de una decisión basada única o parcialmente en valoraciones automatizadas.
- El derecho a la información y de oposición, asegurando que el titular comprenda cuándo interactúa con una IA y con qué finalidades.
3. Obligaciones para las Organizaciones
Los responsables y encargados del tratamiento bajo esta norma están obligados a:
Gestión de Riesgos y Evaluación de Impacto (EIPD): Es obligatorio realizar un análisis preventivo y técnico de los riesgos de forma previa al desarrollo o implementación del sistema.
Registro de Actividades de Tratamiento (RAT): Se deben incluir obligatoriamente los tratamientos realizados mediante IA en el RAT, detallando especialmente las decisiones automatizadas que generen impactos jurídicos.
Auditorías del Sistema: Las organizaciones deben auditar el funcionamiento general de sus sistemas de IA en función del nivel de riesgo detectado.
Medidas de Seguridad: Implementación de controles administrativos, técnicos, físicos y jurídicos proporcionales al volumen de datos y al estado de la técnica.
4. Control y Sanciones
La SPDP mantiene la facultad de auditar los sistemas de IA e imponer medidas correctivas o cautelares en caso de detectar incumplimientos a los principios de protección de datos. El incumplimiento de esta norma general será sancionado conforme al régimen sancionatorio previsto en la LOPDP.
En Pérez Bustamante & Ponce brindamos asesoría integral para adaptar su empresa a esta normativa, reducir riesgos regulatorios y fortalecer la confianza de sus clientes.
Consejo Editorial
