La nueva regulación activa obligaciones reforzadas para responsables que superen umbrales de gran escala.
El 5 de noviembre de 2025, la Superintendencia de Protección de Datos Personales del Ecuador expidió, mediante la Resolución No. SPDP-SPD-2025-00XX-R, la Normativa General sobre el Tratamiento de Datos Personales a Gran Escala. Esta regulación desarrolla el marco previsto en la Ley Orgánica de Protección de Datos Personales (LOPDP), y tiene como objetivo identificar, clasificar y controlar aquellos tratamientos que, por su volumen, impacto y alcance, representan riesgos significativos para los derechos de los titulares.
Disposiciones clave
1. Modelo técnico obligatorio para determinar la escala del tratamiento
El eje central de esta normativa es el Modelo Técnico de Gran Escala (MTGE), que evalúa siete variables específicas: número de titulares involucrados, volumen de datos, categorías de datos tratados, frecuencia del tratamiento, duración o permanencia, y alcance geográfico (nacional y transfronterizo). Cada una de estas variables se pondera en una escala numérica, y el resultado total debe sumarse. Si el puntaje alcanza o supera los seis puntos, el tratamiento se clasifica automáticamente como “a gran escala”.
2. Obligaciones jurídicas derivadas de la clasificación de gran escala
La clasificación como tratamiento a gran escala activa una serie de obligaciones reforzadas para los responsables y encargados. Entre ellas se incluyen la elaboración obligatoria de una Evaluación de Impacto en Protección de Datos (EIPD), la designación formal de un Delegado de Protección de Datos (DPD), la actualización del Registro de Actividades de Tratamiento y la implementación de medidas de seguridad más rigurosas. Además, se exige la aplicación de principios de privacidad desde el diseño y por defecto, y la realización de auditorías internas o externas al menos una vez al año.
3. Supervisión, transparencia y entrada en vigencia
La Superintendencia podrá requerir, en cualquier momento, el cálculo justificativo del MTGE y la documentación de respaldo. Asimismo, los responsables deberán mantener disponible su política de privacidad y elaborar informes anuales de cumplimiento. Esta normativa entra en vigor de manera inmediata, sin perjuicio de su posterior publicación en el Registro Oficial, consolidando así el enfoque de responsabilidad proactiva consagrado en la LOPDP.
