Proteger nuestros datos personales es tan importante como cuidar nuestra identidad física. Desde la compra en línea hasta la gestión de trámites gubernamentales, cada acción deja huellas digitales que pueden ser usadas, malinterpretadas o incluso robadas.
En Ecuador, la Superintendencia de Protección de Datos Personales ha dictado nuevas resoluciones y absoluciones de consultas que buscan garantizar la protección de nuestra información personal.
¿Por qué esto debería ser relevante para los ciudadanos? Porque un manejo responsable de los datos personales no solo previene fraudes y violaciones a la privacidad o intimidad, sino que también fortalece la confianza en los servicios públicos y privados que usamos a diario y permite que tus derechos sean respetados.
Con la Ley Orgánica de Protección de Datos Personales (LOPDP), su Reglamento, posteriores guías, actuales resoluciones y absoluciones de consultas, la protección de los datos personales busca dejar de ser un asunto exclusivo de las empresas e instituciones y paulatinamente comprenderse, pero sobre todo practicarse por parte de los ciudadanos como un derecho fundamental.
Ahora, Instituciones y cada organización, desde comercios, aseguradoras, hasta gremios, colegios y hospitales, debe cumplir reglas estrictas para recolectar, tratar y transferir tus datos personales.
Casos prácticos: Lo que los ciudadanos deben saber:
- Imagina que te inscribes a un curso en línea. Antes, tus datos podían ser compartidos sin control entre distintas áreas de la institución. Hoy, la normativa exige que se te informe de forma clara, suficiente y comprobable sobre el tratamiento y destino de tu información. Es obligatoria la implementación y disponibilidad de la Política de Protección de Datos Personales, la cual debe reflejar claramente las actividades de tratamiento.
La aceptación de Políticas de Protección de Datos Personales ya no puede ser una condición para acceder a un servicio.
El consentimiento para tratar tus datos debe ser explícito y voluntario. Políticas de protección de datos y consentimiento informado (Oficio N.° SPDP-IRD-2025-0126-O)
- Si trabajas en una institución educativa, financiera o de salud, probablemente pronto conocerás al “Delegado de Protección de Datos Personales” (DPD). Esta persona será responsable de vigilar que tus datos sean tratados correctamente y de atender tus reclamos.
Por ello, el Reglamento del Delegado de Protección de Datos Personales, expedido mediante resolución SPDP-SPD-2025-0028-R, de 30 de julio de 2025, refuerza medidas para evitar conflictos de interés y represalias:
- Expresamente, se prohíbe que el delegado participe en actividades de tratamiento de datos personales, asesore con fines que salvaguarden los intereses de la organización, o tome decisiones sobre las actividades internas de esta, ya que tales situaciones constituyen conflicto de interés (art. 18).
- Establece las formalidades del nombramiento y su registro ante la SPDP Define otros sectores públicos y privados que están obligados a designar un delegado, incluyendo instituciones educativas, de salud, financieras, aseguradoras, de telecomunicaciones, urbanizaciones, y empresas de tecnologías emergentes, entre otras. Se habilita un procedimiento para denunciar sanciones o remociones injustificadas del delegado, con posibilidad de sanciones a los responsables o encargados que afecten su independencia. El registro de delegados del sector privado deberá realizarse entre el 1 de noviembre y el 31 de diciembre de 2025. Las instituciones públicas que hayan designado como delegados a funcionarios del nivel jerárquico superior deberán regularizar sus nombramientos en un plazo de dos meses. Además de los impedimentos establecidos en el RGLOPDP, no podrán ser nombrados ni designados como delegados (art. 16):
- Personas que sean oficiales de seguridad de la información dentro de la organización. Personas que sean oficiales de cumplimiento. Apoderados especiales de responsables o encargados extranjeros que traten datos en Ecuador. Funcionarios del nivel jerárquico superior en el sector público.
- Hasta el 2029, todos los DPD deberán aprobar un programa profesionalizante oficial, asegurando así su formación y compromiso.
- Finalmente, en el caso de delegados de protección de datos del sector público, este debe ser designado por la Máxima Autoridad de cada entidad pública, sin exigencia de una forma legal específica. No es obligatorio que forme parte de la estructura orgánica, y puede desempeñar otros cargos si se garantiza su independencia. Tampoco se establece un nivel jerárquico mínimo, pero debe asegurarse que el DPD pueda ejercer sus funciones de forma autónoma y efectiva (Oficio N.º SPDP-IRD-2025-0089-0 DELEGADO DE PROTECCIÓN DE DATOS PERSONALES (DPD)
- Si tu lugar de trabajo utiliza biometría: huellas digitales o reconocimiento facial para controlar la asistencia, la ley exige un consentimiento explícito y la existencia de alternativas no invasivas. Además, la empresa debe realizar análisis de riesgos y garantizar que tu decisión sea libre, sin presiones ni condiciones. (Oficio N.º SPDP-IRD -2025-0108-O Sobre el uso de biométricos para control de asistencia laboral)
- Si una clínica necesita enviar tu historial médico a un laboratorio fuera del país, ahora debe seguir directrices puntuales para proteger tu privacidad. Las transferencias solo pueden hacerse si se cumplen los principios de licitud, proporcionalidad y seguridad, y tú siempre serás informado sobre el proceso. Transferencias internacionales de datos (Resolución No. SPDP-SPD-2025-0024-R de 25 de julio de 2025 emite la Normativa General para la Aplicación de la Ley Orgánica de Protección de Datos Personales (LOPDP) y su Reglamento en las Transferencias o Comunicaciones Nacionales e Internacionales de Datos Personales)
- ¿Solicitaste la cancelación de una cuenta bancaria o servicio digital? La normativa garantiza que tus datos sean eliminados de manera definitiva, sin posibilidad de reidentificación. Además, en muchos casos, puedes exigir que se bloqueen, anonimicen o suspendan según la finalidad y tus derechos. Eliminación y anonimización de datos (Resolución N.° SPDP-SPD-2025-0030-R, Reglamento para la Seudonimización, Anonimización, Bloqueo, Suspensión y Eliminación de Datos Personales)
- Las compañías de seguros que reciben datos de pacientes por parte de los prestadores de salud, a solicitud de los asegurados, son consideradas destinatarias, no encargadas del tratamiento. Si tratan los datos para fines propios, pasan a ser responsables del tratamiento. Lo anterior, sin perjuicio de que se debe analizar las relaciones particulares de cada relación contractual. Es decir, como ciudadano puedes tener mayor certeza y control sobre el uso de tus datos personales. (Oficio N.º SPDP-IRD-2025-0090-0). Tanto el encargado como el tercero que se convierte en encargado deben estar regulados por un contrato. Este debe establecer de forma expresa que los datos se tratarán exclusivamente conforme a las instrucciones del responsable, sin que puedan ser usados para finalidades propias. Es decir, cuando contratas un servicio donde intervengan encargados y terceros todos ellos tendrán contratos en los que claramente se señalan sus obligaciones por lo que es más fácil para ti, identificar cuando existan incumplimientos y además, de ser el caso reclamar ante la autoridad competente si identifica un uso indebido. (Oficio N.º SPDP-IRD-2025-0096-O y Oficio N.º SPDP-IRD-2025-0098-O)
La protección de datos personales no solo es una obligación para empresas y entidades públicas, sino un derecho de cada persona. Si detectas un uso indebido o sospechas que tu información está siendo compartida sin tu permiso, puedes presentar una denuncia directamente ante la Superintendencia de Protección de Datos Personales, que ha habilitado plataformas digitales para el registro y defensa de tus derechos.
Infórmate y pregunta, exige que te expliquen cómo serán tratados tus datos en cada institución donde los proporciones. No firmes ni aceptes políticas sin leerlas, y si tienes dudas o inquietudes, acude a la Superintendencia de Protección de Datos Personales. Recuerda: tu información es tuya y protegerla es tu mejor defensa en el mundo digital.