Plan Regulatorio Institucional: ¿Estamos listos para las nuevas normativas en protección de datos personales?

Por Christian Espinosa Velarde, Abogado y socio de ECIJA GPA.

La protección de datos en Ecuador está en una etapa de consolidación. Con la entrada en vigor de la normativa se ha generado un mayor nivel de conciencia en las organizaciones sobre la importancia del cumplimiento. Sin embargo, todavía hay desafíos como la falta de madurez en el cumplimiento normativo, la escasez de especialistas en la materia y la necesidad de adaptar procesos internos a un entorno regulado. Muchas empresas han cumplido con su tarea y comenzado a estructurar sus programas de protección de datos personales, pero aún, luego de 4 años de la entrada en vigencia de la ley, existe un margen amplio de mejora, especialmente en sectores donde el tratamiento de datos es intensivo y el impacto de la regulación será más evidente.

Es importante entender que la protección de datos es un proceso, no un fin en sí mismo y que no se trata solo de cumplir con una norma en un momento determinado, sino de adoptar una visión de mejora continua en la gestión de la información, de los datos personales. A medida que evolucionan las tecnologías, los modelos de negocio y las expectativas de los usuarios, las organizaciones deben ajustar sus estrategias de protección de datos para responder a nuevos riesgos y oportunidades.

Históricamente, las empresas que han logrado integrar la protección de datos en su modelo de negocio han reducido riesgos de sanción y fortalecido la confianza de sus clientes, mejorado su posicionamiento en el mercado. La protección de datos genera beneficios económicos tangibles. Según el Cisco Data Privacy Benchmark Study 2020, por cada dólar invertido en privacidad, una empresa obtiene un retorno promedio de $2.70 en beneficios.

Ecuador tiene la oportunidad de seguir ese camino, siempre que las empresas asuman un rol activo en la implementación de buenas prácticas y la Superintendencia logre un equilibrio entre fiscalización y apoyo en el proceso de adaptación.

Principales aspectos que introduce el Plan Regulatorio Institucional 2025

El Plan Regulatorio Institucional, PRI, para el 2025, propuesto por la Superintendencia de Protección de Datos Personales es un evidente avance en la consolidación del marco normativo de protección de datos para Ecuador.

Parece que la autoridad ha centrado su enfoque principal en 3 elementos principales, más allá de dar cumplimiento a disposiciones legales y reglamentarias que le exigen regular ciertos aspectos: 1) estructurar y fortalecer los mecanismos de supervisión; 2) establecer reglas más claras para los responsables y encargados de tratamiento; y, 3) mejorar la gestión de derechos de los titulares de datos.

Así las cosas, podemos entender que a través de la regulación de auditorías e inspecciones, se generaría un esquema estandarizado para evaluar el nivel de cumplimiento en las organizaciones.

Por otro lado, las transferencias internacionales de datos, y en general todo lo relacionado con flujo transfronterizo de datos, es un tema que ha generado incertidumbre en el sector empresarial, y el que se haya incorporado en el PRI de este año es esencial para contar con criterios claros sobre cómo pueden gestionarse estos flujos de información de manera adecuada, muy útil para empresas que trabajan con proveedores extranjeros, que son muchas por no decir casi todas. Esto mismo ocurre con la normativa sobre evaluaciones de impacto y gestión de riesgos, fundamentales para que las empresas puedan gestionar las amenazas y vulnerabilidades en el tratamiento de datos personales.

Hay varios temas de gran impacto para el sistema de protección de datos como la profesionalización del Delegado de Protección de Datos, así como el establecer certificaciones en protección de datos o los sellos de cumplimiento o confianza, como un elemento que permitiría elevar los estándares de cumplimiento dentro del país, que también pueden ser utilizados como elementos diferenciadores.

Si bien este plan se percibe con el objetivo de cerrar brechas y otorgar mayor claridad a los actores del sistema, también plantea algunos desafíos, como, por ejemplo, la introducción de nuevas regulaciones en auditorías y sanciones podrían generar una carga adicional para las empresas que realizan tratamiento de datos personales, especialmente las que aún no han desarrollado un sistema robusto de cumplimiento. En este sentido, es necesario que la Superintendencia mantenga un diálogo abierto con el los diversos stakeholders, contemple plazos de adaptación razonables, acompañe el proceso con guías y capacitaciones.

Guía obligatoria de auditorías e inspección

La guía obligatoria para auditorías e inspecciones se prevé como un documento regulatorio que debería establecer los criterios y procedimientos que seguirá la Superintendencia al fiscalizar el cumplimiento de la normativa vigente. En términos de impacto, esta guía debería elevar el nivel de cumplimiento al ofrecer un marco estructurado para que las empresas se preparen mejor, al definir parámetros claros, las organizaciones deberían establecer medidas preventivas, fortalecer sus controles internos y realizar autoevaluaciones para corregir posibles brechas antes de ser fiscalizadas por la autoridad.

Es probable que las auditorías sean más estructuradas y exigentes, pero al mismo tiempo más técnicas y dirigidas a aspectos que hasta ahora han carecido de regulación específica. Esto no quiere decir que se vayan a tratar de supervisiones más estrictas en términos punitivos, o al menos eso se espera al restar mucha regulación o guía por ser emitida, sino de un modelo que busca evaluar con criterios uniformes prácticas como las transferencias internacionales, las medidas de seguridad o el cumplimiento de derechos de los titulares.

Este tipo de guías son comunes en regulaciones avanzadas como el RGPD en Europa, emitidas por el Comité Europeo de Protección de Datos o las Autoridades de cada territorio, pero la clave en Ecuador será, y ya lo he abordado antes, su implementación progresiva. Para que tenga un efecto positivo, la Superintendencia debe asegurar que el enfoque no sea solo sancionador, sino también preventivo y orientado a la mejora continua.

Evaluaciones de impacto en protección de datos

Contar con una herramienta metodológica oficial para la evaluación de impacto en la protección de datos (EIPD o DPIA por sus siglas en inglés) es clave para garantizar que las organizaciones identifiquen, gestionen y mitiguen los riesgos asociados al tratamiento de datos personales de manera estructurada y conforme a la normativa.

En primer lugar, una metodología oficial brinda coherencia y asegura que todas las organizaciones sigan criterios uniformes al evaluar el impacto de sus actividades de procesamiento. Además, facilita la toma de decisiones por parte de quienes tratan los datos personales, ya que permite anticipar posibles incumplimientos o vulnerabilidades antes de que ocurran incidentes. Esto es especialmente importante en sectores donde el tratamiento de datos personales es complejo, como el financiero, la salud o el comercio electrónico.

En Europa, bajo el RGPD, se exige la realización de  DPIAs en tratamientos de alto riesgo, y existen herramientas metodológicas oficiales que ayudan a cumplir con estos requisitos sin margen de interpretación ambigua. En Ecuador, la estandarización de este proceso reduciría incertidumbre y facilitaría la adopción de las mejores prácticas.

Reglamento sobre cláusulas contractuales en materia de protección de datos

El Reglamento sobre cláusulas contractuales en materia de protección de datos tendrá un impacto directo en la forma en que las organizaciones establecen relaciones con sus proveedores y terceros que manejan datos personales en su nombre. La Superintendencia plantea como su objetivo el garantizar que exista un marco contractual sólido que delimite responsabilidades, establezca medidas de seguridad y asegure el cumplimiento de la Ley Orgánica de Protección de Datos Personales.

A nivel global se ha demostrado que uno de los elementos más fiscalizadas es precisamente la gestión de proveedores, ya que muchas brechas de seguridad ocurren por falta de control sobre estos terceros.

En términos prácticos, esto significa que las empresas deberán revisar y actualizar sus contratos con proveedores de servicios tecnológicos, call centers, empresas de marketing, y cualquier tercero que acceda o trate datos personales.

Este reglamento podría introducir cláusulas estándar o tipo, similares a las utilizadas en regulaciones como la europea para transferencias internacionales de datos, estableciendo requisitos mínimos sobre confidencialidad, acceso a datos, medidas de seguridad y mecanismos en caso de incidentes.

Este reglamento serviría como una línea base para estandarizar la protección de datos en contratos con terceros, pero las empresas deben poder adaptarlo según sus necesidades. No todas las industrias enfrentan los mismos riesgos, por lo que cada organización debería agregar elementos propios alineados con su nivel de exigencia, gestión del riesgo y modelo de negocio.

Por ejemplo, sectores como banca o salud pueden requerir cláusulas más estrictas sobre auditorías o seguridad, mientras que empresas de tecnología o marketing podrían enfocarse en restricciones sobre reutilización de datos o transferencias internacionales. La clave es que las organizaciones tengan la flexibilidad para personalizar sus contratos sin salirse de los estándares mínimos establecidos por la regulación.

La Superintendencia debe manejar esto con cuidado. Si impone modelos de contrato demasiado rígidos, podría generar barreras innecesarias para las empresas, especialmente para aquellas con operaciones internacionales. El enfoque debe ser práctico y aplicable, evitando regulaciones desconectadas de la realidad del mercado.

Profesionalización de los DPOs

La regulación actual ya reconoce la figura del Delegado de Protección de Datos (DPO) como un actor relevante en la supervisión del cumplimiento normativo dentro de las organizaciones, sin embargo, hasta ahora no se han establecido criterios específicos de profesionalización, lo que deja abierta la puerta a que cada empresa determine libremente qué perfil debe cumplir su DPO.

Este plan busca definitivamente cambiar esto, al establecer lineamientos más claros sobre la formación, certificación y responsabilidades de los DPOs. Esto es un paso lógico, ya que, en países con regulaciones avanzadas, los DPOs deben cumplir con ciertos requisitos de independencia, conocimientos técnicos y jurídicos, y contar con experiencia en protección de datos.

En la práctica, no todas las organizaciones cuentan con un DPO (algunas tampoco estarían obligadas), y las que sí lo tienen han optado por distintos perfiles colocándolo en área legales, en otras de tecnología o seguridad de la información, e incluso hay casos donde esta función ha sido asumida por equipos de compliance o riesgos. Esta diversidad refleja que la protección de datos es un tema multidisciplinario, pero también evidencia la falta de un estándar unificado en el país.

A medida que se establezcan criterios de profesionalización, es importante considerar que un DPO debe tener conocimientos tanto legales como técnicos y que no basta con entender la ley, también se necesita comprender cómo se estructuran y protegen los datos dentro de la empresa. Deben manejar conceptos como gestión de riesgos, auditoría de cumplimiento, arquitectura de seguridad y gobernanza de datos, además de habilidades en comunicación y resolución de conflictos, ya que su rol también implica “negociar” con áreas internas y con la autoridad reguladora.

Actualmente hay un déficit de especialistas en protección de datos personales en Ecuador, especialmente en el perfil de  DPO. La combinación de una normativa aún en desarrollo, la falta de formación especializada y la escasa oferta de certificaciones adecuadas ha generado una brecha en la disponibilidad de profesionales con el conocimiento adecuado. Existen empresas que aún no cuentan con un DPO o han asignado la función a personas sin las preparación técnica y legal necesaria, lo que representa un desafío para el cumplimiento efectivo de la normativa.

Si bien este fenómeno no es exclusivo de Ecuador, países con regulaciones más maduras han logrado fortalecer el mercado de DPOs a través de certificaciones, formación académica y programas de capacitación específicos. Para cerrar esta brecha, es fundamental  que la Superintendencia, tal como lo propone, incentive la profesionalización. Sin embargo, debe hacerlo sin generar barreras de entrada ni convertirlo en un trámite burocrático. En su lugar, el proceso debe aportar valor real y asegurar que los delegados estén preparados para enfrentar los desafíos prácticos de la protección de datos. Para ello, es clave promover esquemas de capacitación accesibles y facilitar modelos de DPO externalizado para empresas que no pueden costear uno internamente.