Protección de datos personales en Ecuador: obligaciones para empresas

Toda empresa que opera en Ecuador y procesa datos de clientes, empleados, proveedores o usuarios está bajo el alcance de la Ley Orgánica de Protección de Datos Personales (LOPDP). La norma, vigente desde 2021 y con régimen sancionatorio plenamente exigible desde mayo de 2023, no se aplica solamente a grandes corporaciones tecnológicas: cubre desde la pyme de retail que guarda emails de clientes en su CRM hasta el consultorio médico que maneja historias clínicas, pasando por agencias de marketing, fintech, plataformas educativas y todo negocio que conserve datos identificables de personas naturales. El incumplimiento expone a la empresa a sanciones que pueden alcanzar el 1% de su volumen anual de negocios y, en sectores regulados, a observaciones simultáneas de otros organismos como la SCVS o la Superintendencia de Bancos.

Esta guía describe las obligaciones operativas concretas que la LOPDP impone a las empresas en Ecuador, los derechos de los titulares que la organización tiene que poder ejecutar dentro de plazos legales, el rol del delegado de protección de datos cuando aplica y cómo prepararse para una auditoría de cumplimiento de la Superintendencia de Protección de Datos Personales (SPDP). Si su empresa todavía no inventarió los tratamientos de datos personales que realiza, este artículo le sirve para dimensionar la brecha y planificar las primeras acciones del programa de cumplimiento, que casi siempre arrancan con un mapeo del flujo de datos y una revisión de los contratos con encargados de tratamiento. Para conocer el servicio específico que CVE Cabogados ofrece en esta área, revise nuestra página de protección de datos personales.

Marco normativo de la LOPDP en Ecuador

Ley vigente, plazos de adecuación y normativa secundaria

La Ley Orgánica de Protección de Datos Personales (LOPDP) fue publicada en el Quinto Suplemento del Registro Oficial No. 459 del 26 de mayo de 2021 y otorgó un plazo de adecuación de dos años antes de que el régimen sancionatorio quedara plenamente exigible. Desde el 26 de mayo de 2023, las empresas que tratan datos personales en Ecuador están sujetas al pleno régimen de obligaciones y sanciones de la LOPDP. La autoridad de control es la Superintendencia de Protección de Datos Personales (SPDP), organismo técnico creado por la propia ley con competencia sancionatoria sobre el sector privado y el sector público.

El Reglamento General a la LOPDP fue expedido mediante Decreto Ejecutivo No. 904 y publicado en el Tercer Suplemento del Registro Oficial No. 435 del 13 de noviembre de 2023, lo que permitió a la SPDP iniciar la fase de pleno funcionamiento durante 2024 y emitir, a lo largo de 2025 y 2026, un conjunto creciente de resoluciones técnicas que detallan obligaciones de los responsables: metodología de cálculo de sanciones, gestión de riesgos y evaluación de impacto, cláusulas mínimas contractuales, transferencias internacionales, reglamento del delegado de protección de datos, y tratamiento a gran escala, entre otras. La LOPDP se complementa con la Constitución de la República (artículo 66, numeral 19), el Código Orgánico Integral Penal (COIP) para delitos informáticos vinculados al tratamiento ilícito de datos, y las regulaciones sectoriales que añaden obligaciones específicas para banca, salud y telecomunicaciones.

Alcance: cuándo se aplica la ley a una empresa

La LOPDP aplica a cualquier persona, natural o jurídica, pública o privada, que realice tratamiento de datos personales en territorio ecuatoriano o que ofrezca bienes y servicios a personas en Ecuador, aunque la empresa esté domiciliada en el exterior. El tratamiento de datos personales incluye cualquier operación realizada sobre datos identificables: recolectar, registrar, almacenar, modificar, transferir, ceder, conservar, eliminar y cualquier otra forma de uso. Esto significa que un email guardado en un CRM, un currículum recibido por LinkedIn, una grabación de cámara de seguridad con rostros visibles, una base de datos de pacientes, una lista de suscriptores a una newsletter y un historial de transacciones bancarias entran todos bajo el alcance de la ley.

Quedan excluidos los tratamientos puramente domésticos sin proyección comercial, los datos de personas fallecidas con limitaciones, los datos anonimizados de manera irreversible y ciertos tratamientos de seguridad nacional bajo régimen especial. Para la práctica empresarial, la presunción operativa razonable es que toda actividad comercial habitual cae bajo la LOPDP, salvo análisis específico que demuestre lo contrario. Eso convierte la pregunta no en "¿la ley aplica a mi empresa?" sino en "¿qué tratamientos realizo y cómo los pongo en cumplimiento?".

Datos personales sensibles y bases de legitimación

Qué datos se consideran sensibles bajo la ley

La LOPDP distingue entre datos personales generales y datos personales sensibles, categoría que recibe protección reforzada. Conforme al artículo 4 y al artículo 25 de la LOPDP, son datos sensibles los relativos a etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos y datos relativos a personas apátridas y refugiados que requieren protección internacional, así como cualquier otro cuyo tratamiento indebido pueda dar origen a discriminación o atentar contra derechos y libertades fundamentales. Los datos de niñas, niños y adolescentes son una categoría especial separada con régimen propio de protección reforzada (artículos 23 y 24 de la LOPDP), distinta de los datos sensibles en sentido estricto.

El tratamiento de datos sensibles está prohibido por regla general y solo es lícito en los supuestos taxativos del artículo 26 de la LOPDP: consentimiento explícito del titular con fines claramente especificados; cumplimiento de obligaciones y ejercicio de derechos en el ámbito laboral y de la seguridad social; protección de intereses vitales del titular u otra persona cuando aquel no esté capacitado para consentir; datos que el titular ha hecho manifiestamente públicos; orden de autoridad judicial; y archivo en interés público, investigación científica o histórica. El consentimiento explícito puede expresarse por escrito o por medios electrónicos verificables, siempre que cumpla los requisitos de libre, específico, informado e inequívoco.

Para empresas de salud, recursos humanos, educación y plataformas que recolectan datos biométricos, el tratamiento de sensibles es habitual y requiere protocolos diferenciados: consentimiento explícito documentado, medidas de seguridad reforzadas, contratos específicos con encargados, registros detallados de actividades de tratamiento y, frecuentemente, evaluación de impacto previa. Las multas por infracciones que involucran datos sensibles tienden a ubicarse en la franja superior del régimen sancionatorio de la SPDP, dado el potencial daño a derechos fundamentales del titular.

Bases lícitas para tratar datos personales

Todo tratamiento de datos personales necesita una base de legitimación expresa. La LOPDP reconoce un catálogo cerrado de bases lícitas, entre las que figuran el consentimiento del titular, la ejecución de un contrato del que el titular es parte, el cumplimiento de una obligación legal, la protección de intereses vitales, el ejercicio de funciones de interés público y el interés legítimo del responsable cuando no prevalecen los derechos del titular. El consentimiento debe ser libre, específico, informado e inequívoco; para datos sensibles debe ser además explícito, expresado por escrito o por medio electrónico verificable que permita su acreditación posterior.

El error más frecuente en pymes ecuatorianas es asumir que un checkbox marcado por default equivale a consentimiento válido. No lo es. El consentimiento debe ser una acción afirmativa, no la ausencia de objeción. Otro error habitual es invocar interés legítimo de manera genérica para tratar bases de datos de marketing sin haber realizado el balance de derechos exigido por la ley. Documentar la base lícita de cada tratamiento, antes de iniciarlo, es uno de los componentes mínimos de cumplimiento ante una auditoría de la SPDP y la primera línea de defensa en caso de denuncia.

Obligaciones operativas para empresas

Registro de actividades de tratamiento, medidas de seguridad y políticas internas

El Reglamento General a la LOPDP impone dos obligaciones registrales distintas que conviene no confundir. La primera es el Registro de Actividades de Tratamiento (RAT), instrumento interno del responsable regulado en los artículos 38 y 39 del Reglamento. El RAT es obligatorio para responsables con cien o más trabajadores (artículo 38) y se extiende a responsables más pequeños cuando el tratamiento entraña riesgo para los derechos y libertades de los titulares o involucra categorías especiales de datos (artículo 39). En la práctica, casi cualquier tratamiento continuo de datos sensibles activa la obligación, independientemente del tamaño de la empresa.

El RAT debe contener, como mínimo: identificación y datos de contacto del responsable, corresponsable y delegado de protección de datos cuando aplica; finalidades del tratamiento; categorías de titulares y de datos personales; categorías de destinatarios; transferencias internacionales y garantías aplicables; plazos previstos para la supresión; y descripción general de las medidas técnicas, jurídicas, administrativas y organizativas de seguridad. Este registro es el primer documento que la SPDP solicita ante una denuncia o auditoría, y su ausencia, cuando la obligación aplica, es una infracción autónoma sancionable además de las infracciones materiales que se deriven.

La segunda obligación es el Registro Nacional de Protección de Datos Personales (RNPD), registro público administrado por la SPDP previsto en el artículo 51 de la LOPDP y en los artículos 85 y 86 del Reglamento. El RNPD es obligatorio para todo responsable, sin umbral de tamaño, y exige inscribir cada base de datos o tratamiento dentro del término de diez días desde su inicio. A diferencia del RAT, que es un instrumento interno de cumplimiento, el RNPD es un registro público con función de transparencia frente a titulares y autoridades.

Las medidas técnicas y organizativas de seguridad deben ser proporcionales al riesgo del tratamiento. La SPDP no impone una tecnología específica, pero exige que la empresa adopte medidas adecuadas: cifrado de datos en reposo y en tránsito cuando aplica, control de accesos basado en roles, registros de auditoría, copias de seguridad, protocolos de respuesta ante brechas, capacitación al personal y políticas internas de protección de datos firmadas por todos los colaboradores. La empresa debe poder demostrar, ante un eventual incidente, que las medidas adoptadas eran razonables al momento del tratamiento, lo cual exige documentación viva y revisada periódicamente.

Notificación de brechas de seguridad y plazos legales

Cuando ocurre una vulneración de la seguridad de datos personales (acceso no autorizado, pérdida, alteración, divulgación), el artículo 43 de la LOPDP impone al responsable la obligación de notificarla a la SPDP, y a la Agencia de Regulación y Control de las Telecomunicaciones (ARCOTEL) cuando corresponda, tan pronto sea posible y a más tardar en el término de cinco días desde que se haya tenido constancia del incidente, salvo que sea improbable que la vulneración constituya un riesgo para los derechos y libertades de los titulares. Si la notificación se realiza fuera del plazo, debe ir acompañada de los motivos de la dilación. La notificación describe la naturaleza de la brecha, las categorías y volumen aproximado de titulares y datos afectados, las consecuencias probables, las medidas adoptadas o propuestas para mitigar el daño y los datos de contacto del responsable o del delegado de protección de datos. La SPDP habilitó un formulario en línea para canalizar estas notificaciones.

Cuando la vulneración pueda implicar un riesgo para los derechos fundamentales y libertades individuales del titular, el responsable también debe notificar al titular afectado tan pronto sea posible (artículo 46 LOPDP). Si la vulneración es detectada por el encargado del tratamiento, este tiene la obligación de notificar al responsable dentro de dos días desde que toma conocimiento del incidente. La Resolución SPDP-SPD-2025-0003-R sobre gestión de riesgos y evaluación de impacto reafirma el plazo máximo de cinco días y exige documentar técnica y jurídicamente cada criterio de mitigación adoptado.

La omisión de notificar, la notificación tardía o la notificación incompleta son infracciones autónomas sancionadas por la SPDP, independientemente del incidente original. Empresas con tratamientos sensibles o de gran volumen suelen tener un protocolo de respuesta ante brechas (incident response plan) que define roles, canales de comunicación, plazos internos y plantillas de notificación, todo entrenado mediante simulacros periódicos. Esta capacidad operativa es uno de los factores que la SPDP pondera al graduar sanciones cuando se acredita una vulneración.

Delegado de protección de datos: cuándo es obligatorio

El artículo 48 de la LOPDP establece la figura del delegado de protección de datos personales (DPD), profesional con conocimientos técnicos en la materia que asume la coordinación operativa del cumplimiento. La designación del DPD es obligatoria en cuatro supuestos: cuando el tratamiento lo realice una entidad del sector público; cuando las actividades del responsable o encargado requieran control permanente y sistematizado de los titulares por su volumen, naturaleza, alcance o finalidades; cuando se trate a gran escala de categorías especiales de datos; y en los supuestos vinculados con seguridad nacional o defensa del Estado previstos en la ley.

La Resolución SPDP-SPD-2025-0028-R, expedida el 30 de julio de 2025, aprobó el Reglamento del Delegado de Protección de Datos Personales, que precisó los sectores específicamente obligados a designar DPD: cadena farmacéutica (laboratorios, distribuidoras, importadores, farmacias), sector salud (hospitales, clínicas, centros médicos, laboratorios), sector educativo de todos los niveles y otros sectores con tratamiento habitual de datos sensibles o de alto riesgo. La SPDP fijó una ventana obligatoria de registro del DPD entre el 1 de noviembre y el 31 de diciembre de 2025; toda empresa obligada que no haya inscrito a su DPD ante la SPDP dentro de esa ventana se encuentra incumpliendo y expuesta al procedimiento administrativo sancionador, lo cual conviene revisar antes de avanzar con otras prioridades del programa.

El DPD puede ser un colaborador interno de la empresa, siempre que su rol esté separado de funciones que generen conflicto de intereses (por ejemplo, no puede ser simultáneamente el responsable comercial del área cuyo tratamiento supervisa), o puede ser un profesional externo articulado con un estudio jurídico especializado. La inscripción ante la SPDP debe realizarse dentro de los quince días siguientes al nombramiento. Hasta 2029 no se exige acreditación profesional obligatoria, pero el DPD debe acreditar conocimientos suficientes en protección de datos y derecho; a partir de 2029, conforme a la Resolución SPDP-SPD-2025-0004-R, deberá acreditar la formación profesionalizante oficial que ofrezca la SPDP. Independientemente del modelo elegido, el DPD debe poder reportar al máximo nivel jerárquico de la organización y tener autonomía funcional para emitir recomendaciones y escalar incidentes.

Derechos de los titulares y transferencias internacionales

Derechos ARCO y plazos de respuesta

Toda persona cuyos datos personales son tratados por una empresa tiene derechos ejercibles frente a esa empresa, conocidos genéricamente como derechos ARCO (acceso, rectificación, cancelación y oposición), ampliados por la LOPDP con derechos a la portabilidad, a no ser objeto de decisiones automatizadas, al olvido digital y a la suspensión del tratamiento. La LOPDP fija un plazo unificado de quince días para atender cada derecho: acceso (artículo 13), rectificación y actualización (artículo 14), eliminación (artículo 15), oposición (artículo 16), portabilidad (artículo 17), suspensión del tratamiento (artículo 19) y derechos asociados a decisiones automatizadas (artículo 20). La ley no precisa si los quince días son hábiles o calendario, por lo que la práctica prudente, mientras la SPDP no emita un pronunciamiento general en sentido contrario, es computarlos como días calendario para asegurar el cumplimiento.

Los pedidos pueden llegar por email, formulario web, carta física o canal del DPD cuando aplica. La empresa debe verificar la identidad del solicitante, evaluar la procedencia del pedido frente a las bases lícitas del tratamiento, ejecutar la acción cuando corresponde y notificarla en plazo. La atención debe ser gratuita y el responsable solo puede requerir información adicional para verificar la identidad del titular o precisar la solicitud. La negativa al pedido debe estar fundada y comunicada por escrito. La falta de respuesta o la respuesta extemporánea es infracción sancionable autónomamente, y desencadena frecuentemente la denuncia ante la SPDP que abre el procedimiento administrativo.

Transferencias internacionales de datos personales

Cuando una empresa ecuatoriana transfiere datos personales a otro país, ya sea por almacenamiento en la nube (AWS, Google Cloud, Azure con regiones fuera de Ecuador), por contratación de proveedores SaaS internacionales o por compartir información con casas matrices o filiales, esa transferencia internacional debe cumplir condiciones específicas de la LOPDP. La regla general es que la transferencia es lícita solo si el país de destino ofrece nivel adecuado de protección o si se han implementado garantías apropiadas, como cláusulas contractuales tipo, normas corporativas vinculantes o el consentimiento explícito e informado del titular.

Para una empresa que opera con stack tecnológico estándar (CRM en HubSpot, hosting en AWS, email en Google Workspace), revisar los contratos con cada proveedor para verificar la inclusión de cláusulas de protección de datos adecuadas a la LOPDP es una acción concreta y de prioridad alta. Los Data Processing Agreements (DPA) firmados con los proveedores deben mencionar explícitamente la LOPDP, las medidas de seguridad aplicadas, los subprocesadores autorizados y los mecanismos para gestionar derechos de los titulares, no solamente el marco GDPR europeo que muchos proveedores ofrecen por default.

Cómo prepararse para una auditoría de cumplimiento LOPDP

Mapeo de tratamientos, evaluación de impacto y plan de remediación

El primer paso para llegar a una posición de cumplimiento real es mapear todos los tratamientos de datos personales que realiza la empresa: qué datos se recolectan, de quiénes, con qué finalidad, dónde se almacenan, quién accede, cuánto tiempo se conservan, a qué terceros se transfieren. Este mapa rara vez existe formalmente en pymes y suele revelar tratamientos olvidados (la planilla en Excel del exempleado, la grabación de cámara sin política de retención, los emails archivados sin propósito definido). Una vez mapeados, la empresa puede priorizar los tratamientos de mayor riesgo y aplicar una evaluación de impacto en la protección de datos (EIPD) cuando corresponde, exigida para tratamientos masivos, automatizados o de datos sensibles.

El producto del diagnóstico es un plan de remediación con acciones priorizadas, responsables, plazos y costos. Una empresa que parte sin programa formal suele requerir entre tres y seis meses para alcanzar un nivel básico de cumplimiento operativo: registro de actividades, política interna de protección de datos, contratos con encargados revisados, protocolo de respuesta a brechas, canal habilitado para titulares y capacitación a los colaboradores con acceso a datos. La consolidación plena, con DPD acreditado cuando aplica, EIPD formalizadas y auditorías internas anuales, suele tomar entre uno y dos años. Para coordinar el cumplimiento LOPDP con la estructura general del programa de cumplimiento corporativo, conviene revisar nuestra guía de compliance empresarial en Ecuador, que cubre el marco normativo más amplio y la interacción con otros organismos de control.

Riesgos típicos detectados en auditorías ante la SPDP

Las observaciones más frecuentes que la SPDP encuentra en empresas ecuatorianas durante procedimientos administrativos son consistentes: ausencia de política interna de protección de datos publicada, contratos con encargados de tratamiento sin cláusulas LOPDP, RAT inexistente o desactualizado cuando aplica, falta de inscripción en el RNPD de cada base, política de cookies y consentimiento web genérica o copiada de plantillas GDPR sin adaptación, ausencia de protocolo de respuesta a brechas, transferencias internacionales sin garantías adecuadas y, en sectores con datos sensibles, falta de evaluación de impacto. Cada una de estas observaciones es una infracción autónoma sancionable por la SPDP, y su acumulación es lo que típicamente lleva a las multas en la franja superior del régimen sancionatorio aplicable.

Las empresas que llegan mejor preparadas a una auditoría comparten cuatro rasgos: tienen un mapa de tratamientos vivo, mantienen los contratos con encargados al día, ejecutan los pedidos de titulares en plazo y documentado, y tienen al directorio formalmente al tanto del estado de cumplimiento a través de un reporte periódico del DPD. La inversión en construir esa base es modesta comparada con el costo de remediar una sanción más una denuncia pública. Para empresas societariamente complejas, vale la pena coordinar el programa LOPDP con la estructura general de acompañamiento jurídico corporativo desde el diseño inicial.

Reflexiones finales

El cumplimiento LOPDP es operativo, no documental

El error más caro que cometen las empresas ecuatorianas frente a la LOPDP es confundir cumplimiento con producción de documentos. Una política de protección de datos colgada en el sitio web no protege a la empresa si los colaboradores no fueron capacitados, los contratos con encargados no se revisaron, el RAT y el RNPD no se actualizan y el protocolo de brechas existe solo en papel. El cumplimiento real es operativo: procesos vivos, evidencia documentada, decisiones registradas, mejora continua. La SPDP, al evaluar la conducta de una empresa, mira ese tejido operativo, no la prolijidad estética de la política.

Las empresas que entienden esto tratan la protección de datos como un proceso de negocio más, integrado con TI, recursos humanos, legal y comercial. Eso convierte la LOPDP de carga regulatoria a ventaja competitiva: facilita contratos con multinacionales y entidades financieras que exigen due diligence de protección de datos, mejora la confianza de clientes que cada vez consultan más cómo se tratan sus datos, y reduce drásticamente la probabilidad de incidentes reputacionales.

El primer paso es un diagnóstico de cumplimiento LOPDP

Para una empresa que aún no formalizó su programa de protección de datos, la pregunta inicial no es "¿cuánto cuesta cumplir la LOPDP?" sino "¿qué tratamientos hago, qué riesgo presentan y cuál es el camino óptimo de remediación?". Un diagnóstico de cumplimiento LOPDP responde esa pregunta con precisión: mapea los tratamientos, identifica los riesgos críticos, propone un plan de remediación con prioridades y plazos, y permite proyectar costos directos e indirectos. Es la inversión más rentable que puede hacer una empresa antes de aproximarse al cumplimiento pleno.

Si su empresa quiere evaluar su nivel actual de cumplimiento frente a la LOPDP, identificar las brechas críticas y planificar la remediación, puede auditar el cumplimiento LOPDP de su empresa con CVE Cabogados. El equipo legal del estudio acompaña a empresas ecuatorianas en el diagnóstico, implementación y monitoreo de programas de protección de datos personales en sectores de tecnología, salud, educación, finanzas y comercio, con experiencia probada ante la SPDP y coordinación con otras autoridades de control sectorial.