L
Lorena Naranjo Godoy
Guest
La protección de datos personales no es un concepto abstracto sino un derecho fundamental que debemos aprender a entender en lo cotidiano de nuestras actividades, pues es la llave para el control de nuestra identidad en el mundo digital.
Recientemente, la Superintendencia de Protección de Datos Personales (SPDP) emitió tres normativas que impactan en cómo se manejan los datos personales en Ecuador, desde el uso de tus redes sociales hasta cómo las empresas manejan tu información personal. Estas normas buscan equilibrar la libertad de uso de datos personales con la responsabilidad corporativa y ciudadana.
Hasta hace poco, pensábamos que nuestras fotos en el chat de la red social que usamos o el video de la cámara de seguridad de las áreas compartidas de una vivienda estaban protegidos por la exclusión de “actividades domésticas” de la LOPDP. ¿Cuándo mi muro de Facebook deja de ser “privado”?
Muchos ciudadanos creen que lo que publican en redes sociales o en plataformas de mensajería instantánea como WhatsApp, Telegram, Signal entre otros, está exento de la ley por ser “personal”. La Resolución 0003-2026 aclara que, el uso o tratamiento de datos personales deja de ser familiar o doméstica si tiene una finalidad comercial o si los datos se difunden a un número indeterminado de personas. Es decir, a ojos de la normativa quien realiza estas actividadeses un “responsable de tratamiento” a ojos de la Ley Orgánica de Protección de Datos personales y está sujeto a sanciones.
Para los emprendedores y empresarios, la Resolución 0005-2026 elimina la ambigüedad sobre qué es un tratamiento masivo de datos. Se ha creado el Modelo Técnico de Gran Escala (MTGE), donde variables como el volumen de datos, la frecuencia y el alcance geográfico suman puntos que evalúan el riesgo.
¿Qué pasa cuando una empresa ecuatoriana usa servidores en el extranjero? La Resolución 0004-2026 busca que tus datos viajen con una “mochila” de protección, es decir si los datos salen del país, debe existir un nivel adecuado de protección.
La pregunta para el lector no es cómo conectarse más, sino cómo protegerse mejor.
Estas normas no son solo para abogados; son herramientas para evitar el acoso digital, el fraude y el uso abusivo de nuestra información personal. La responsabilidad es compartida, las empresas deben actualizar sus registros y los ciudadanos debemos ejercer nuestro derecho a preguntar: ¿quién tiene mis datos y para qué los usa?
Sigue leyendo...
Recientemente, la Superintendencia de Protección de Datos Personales (SPDP) emitió tres normativas que impactan en cómo se manejan los datos personales en Ecuador, desde el uso de tus redes sociales hasta cómo las empresas manejan tu información personal. Estas normas buscan equilibrar la libertad de uso de datos personales con la responsabilidad corporativa y ciudadana.
1.- ¿Cuándo un video familiar deja de ser privado para volverse un riesgo legal?
Hasta hace poco, pensábamos que nuestras fotos en el chat de la red social que usamos o el video de la cámara de seguridad de las áreas compartidas de una vivienda estaban protegidos por la exclusión de “actividades domésticas” de la LOPDP. ¿Cuándo mi muro de Facebook deja de ser “privado”?
Muchos ciudadanos creen que lo que publican en redes sociales o en plataformas de mensajería instantánea como WhatsApp, Telegram, Signal entre otros, está exento de la ley por ser “personal”. La Resolución 0003-2026 aclara que, el uso o tratamiento de datos personales deja de ser familiar o doméstica si tiene una finalidad comercial o si los datos se difunden a un número indeterminado de personas. Es decir, a ojos de la normativa quien realiza estas actividadeses un “responsable de tratamiento” a ojos de la Ley Orgánica de Protección de Datos personales y está sujeto a sanciones.
- Impacto práctico: Si usas tus redes sociales para vender productos o si tus publicaciones afectan directamente los derechos de otros, ya no puedes alegar que es un ámbito “doméstico”.
- Tu derecho: Si alguien publica tus datos personales fuera de un entorno de confianza, puedes presentar una solicitud de tutela ante la SPDP, siempre que primero hayas pedido una solución de como eliminar o rectificar la información y no tuviste respuesta.
2.- ¿Tu empresa trata datos a “Gran Escala”?
Para los emprendedores y empresarios, la Resolución 0005-2026 elimina la ambigüedad sobre qué es un tratamiento masivo de datos. Se ha creado el Modelo Técnico de Gran Escala (MTGE), donde variables como el volumen de datos, la frecuencia y el alcance geográfico suman puntos que evalúan el riesgo.
- La regla de los (6) seis puntos: Si tu negocio suma seis o más puntos (basado en cuántos clientes tienes, si tratas datos sensibles o si el alcance es nacional), es obligatorio designar un Delegado de Protección de Datos Personales y realizar auditorías y evaluaciones de impacto. Ignorar esto no es solo un error técnico; sino que constituye una infracción grave sujeta a multas que pueden llegar al 0.7% o 1% de la facturación.
- Criterios clave: Tratar datos de salud, biometría (huellas, rostro) o geolocalización puede aumentar sustancialmente tu valoración a gran escala
- Estas organizaciones tienen noventa días desde la vigencia de la norma para registrar a sus delegados de protección de datos personales ante la SPDP, aunque muchas ya debieron hacerlo hasta el pasado 31 de diciembre de 2025.
3. Tus datos cruzando fronteras
¿Qué pasa cuando una empresa ecuatoriana usa servidores en el extranjero? La Resolución 0004-2026 busca que tus datos viajen con una “mochila” de protección, es decir si los datos salen del país, debe existir un nivel adecuado de protección.
- Garantías internacionales: Las empresas ahora deben usar Cláusulas Contractuales Modelo (contrato estándar internacional) para asegurar que, aunque los datos salgan del país, se respeten los mismos derechos que tienes en Ecuador. Además, deben acreditar la legitimidad de las transferencias mediante contratos y evaluaciones de impacto, conservando esta documentación por al menos tres años, las transferencias internacionales deben registrarse ante la SPDP. La norma además define el procedimiento para reconocer países con un “nivel adecuado de protección”, facilitando el comercio seguro de servicios digitales.
- Transparencia: Como usuario, tienes derecho a saber a qué países se envían tus datos y qué medidas de seguridad se aplican allá.
La pregunta para el lector no es cómo conectarse más, sino cómo protegerse mejor.
Estas normas no son solo para abogados; son herramientas para evitar el acoso digital, el fraude y el uso abusivo de nuestra información personal. La responsabilidad es compartida, las empresas deben actualizar sus registros y los ciudadanos debemos ejercer nuestro derecho a preguntar: ¿quién tiene mis datos y para qué los usa?
Sigue leyendo...