Avances y acción de la Superintendencia de Protección de Datos Personales 

Desde su creación, la Superintendencia de Protección de Datos Personales (SPDP) ha tenido un objetivo claro: cambiar la forma en que en Ecuador se entiende, gestiona y protege la información personal. Pero como ha señalado su titular, Fabrizio Peralta-Díaz, el reto más complejo no es técnico ni legal, sino cultural. Y es precisamente en ese frente donde la institución ha empezado a desplegar su estrategia. 

Con un equipo operativo aún en consolidación, la Superintendencia de Protección de Datos Personales (SPDP) ha iniciado la construcción de una gestión integral que abarca no solo la regulación, sino también el control y la sanción en materia de protección de datos personales. Este esfuerzo se dirige a todos los sujetos regulados en el país, tanto del sector público como privado, conforme a lo establecido en la Ley Orgánica de Protección de Datos Personales (LOPDP).​ 

A pesar de las limitaciones estructurales, la SPDP ha puesto en marcha un plan de acción que incluye la promoción de la formación técnica con la colaboración estratégica de la academia para la profesionalización de los Delegados de Protección de Datos (DPD). Además, promueve la participación ciudadana, entendida como un pilar fundamental para garantizar el ejercicio pleno del derecho a la protección de datos personales en Ecuador. 

Responder, aclarar y educar 

Entre las primeras acciones se encuentra la atención de consultas de ciudadanos e instituciones, una atribución que la ley le asigna de forma explícita. Uno de los criterios emitidos —relacionado con el uso de datos biométricos para el control de asistencia laboral— generó un amplio debate. Aunque la respuesta no tiene carácter vinculante, la opinión técnica de la Superintendencia, que consideró dicho uso como desproporcionado respecto a su finalidad, provocó reacciones adversas y diversas interpretaciones en redes sociales. 

Para Peralta, la experiencia resultó reveladora. “Me di cuenta, quizás de primera mano, que cambiar la mentalidad será un reto. No imposible, pero sí difícil”, reflexiona. Ese cambio de mentalidad es el eje sobre el cual gira buena parte de la gestión actual: dejar atrás la concepción de los datos como simples activos empresariales y avanzar hacia una visión en la que los ciudadanos ocupen el lugar central en el tratamiento de su información personal. 

Formar delegados, formar ciudadanos 

Según lo dispuesto por normativa vigente, las instituciones del sector público deben designar a un Delegado de Protección de Datos Personales (DPD) y reportar su nombramiento a la Superintendencia de Protección de Datos Personales (SPDP). 

El DPD es el encargado de garantizar el cumplimiento de las normativas de protección de datos personales, supervisar el tratamiento adecuado de los datos y actuar como punto de contacto entre la institución y la SPDP. Hasta la fecha, más de 1.150 Delegados de Protección de Datos (DPD) han sido registrados ante la SPDP. Sin embargo, el reto no es solo cumplir con esta obligación, sino garantizar que quienes asumen esta función cuenten con una formación adecuada. “Hemos detectado que se están ofreciendo muchos cursos, pero no estamos seguros de la calidad de su contenido”, admite Peralta. Por ello, la Superintendencia ha suscrito convenios con universidades para diseñar una malla curricular mínima común, que pueda ser adoptada voluntariamente por las instituciones de educación superior. 

Además, se prepara un documento normativo específico —un “estatuto del delegado”— que definirá con mayor precisión sus atribuciones, competencias y condiciones mínimas, incluyendo el concepto de “gran escala” en el tratamiento de datos personales. Esta definición permitirá determinar qué empresas del sector privado deberán contar obligatoriamente con un DPD. 

El desafío en el sector privado 

Aunque el sector público tiene la obligación general de designar un DPD, en el privado la obligación aplica para quienes traten datos sensibles o de gran escala. Sin embargo, muchas empresas han comenzado a designar delegados como buena práctica, incluso sin que haya aún una resolución que lo exija formalmente. 

Aquí surge otro reto: el 90% de las empresas del país son micro, pequeñas o medianas. Para ellas, contratar un delegado podría representar una carga. “Debemos tener cuidado de no imponer exigencias desproporcionadas”, reconoce Peralta, quien explica que el criterio de “gran escala” de datos debe aplicarse con responsabilidad. 

En el caso del sector financiero popular y solidario, por ejemplo, la obligación de tener un DPD aplica por tratar datos sensibles, así como en organismos y compañías que gestionan, por ejemplo, información médica o socioeconómica. Aunque el reglamento aclara que el DPD debe ser una persona natural, existe la posibilidad de que éste cuente con soporte externo. 

Regulación con participación y transparencia 

En su sitio web y canal de LinkedIn, la Superintendencia ha publicado su Plan Regulatorio para 2025. Se trata de un calendario de 15 regulaciones previstas, que incluye la participación abierta a la ciudadanía. Cada normativa se presenta en estado de borrador, para que gremios, expertos y ciudadanos puedan enviar comentarios y sugerencias antes de su aprobación final. 

“No queremos regular desde el escritorio”, enfatiza Peralta. También está próximo a publicarse el Plan Anual de Auditoría, que determinará en qué sectores económicos se concentrará el control aleatorio de cumplimiento, dado que abarcar a todos los sujetos regulados es simplemente, imposible. 

Capacidad limitada, misión amplia 

El proceso sancionador es parte de las funciones de la Superintendencia. De las 85 denuncias registradas hasta el momento, solo una ha derivado en un procedimiento sancionador. “No tenemos la capacidad operativa para sancionar a todo el mundo, y no se trata de una cacería de brujas”, sostiene el superintendente. “El cumplimiento del debido proceso sigue siendo una prioridad”, dice. 

Mientras tanto, la estrategia se centra en informar, acompañar y orientar. A través de sus alianzas estratégicas, la Superintendencia busca formar a la ciudadanía para que conozca sus derechos, los active, y así convierta a la ley en una herramienta viva. 

Glosario:  

Tratamiento a gran escala: es aquel que afecta a una gran cantidad de datos, referentes a un elevado número de titulares, procedentes de una amplia diversidad geográfica, y que pueden entrañar un riesgo a sus derechos y libertades. Para determinar cuándo se está en presencia de un tratamiento “a gran escala” la Autoridad de Protección de Datos Personales y los responsables del tratamiento deberán tener en cuenta los siguientes aspectos: 

a. El número de interesados o titulares, bien como cifra concreta o como proporción de la población correspondiente; b. El volumen de datos o la variedad de elementos de datos que son objeto de tratamiento; c. La duración o permanencia de la actividad de tratamiento de datos; y, d. El alcance geográfico de la actividad de tratamiento.