La SPDP establece requisitos técnicos y límites claros para esta figura en el sector privado.
Mediante la Resolución No. SPDP-SPD-2025-0041-R, emitida el 7 de noviembre de 2025, la Superintendencia de Protección de Datos Personales (SPDP) expidió la Normativa General para la Aplicación del Interés Legítimo como base de legitimación para el tratamiento de datos personales en Ecuador.
La regulación, de cumplimiento obligatorio en el sector privado, define los criterios bajo los cuales esta figura puede ser invocada, y establece salvaguardias destinadas a proteger los derechos de los titulares frente a tratamientos sin consentimiento.
Disposiciones clave
1. Evaluación de Ponderación: un requisito obligatorio y documentado:
La normativa establece que el uso del interés legítimo requiere, de forma previa, una Evaluación de Ponderación (EP) motivada y documentada. Esta evaluación debe demostrar que el tratamiento es idóneo, necesario y proporcional, y que no vulnera los derechos ni las libertades fundamentales de los titulares. La omisión de esta evaluación constituye una infracción grave. La EP debe mantenerse en un registro ordenado, accesible y actualizado durante al menos cinco años, y revisarse anualmente o ante cualquier cambio sustancial en las condiciones del tratamiento. Asimismo, debe estar disponible tanto para la autoridad como para los titulares, en un lenguaje claro y accesible.
2. Supuestos admisibles para aplicar el interés legítimo:
El reglamento permite el uso del interés legítimo en ciertos casos, siempre que exista una EP válida. Se incluyen fines de mercadotecnia directa bajo condiciones específicas, actividades para prevenir o reportar delitos financieros, comunicaciones internas dentro de grupos empresariales, medidas de seguridad en TIC, y videovigilancia sin grabación de audio, siempre que respeten los principios de proporcionalidad y minimización.
3. Prohibiciones expresas de tratamiento bajo interés legítimo:
Queda prohibido el uso del interés legítimo para tratar datos sensibles o de menores, así como para realizar tratamientos masivos que sean incompatibles con la finalidad inicial. También se restringe la elaboración de perfiles automatizados con efectos jurídicos o significativos, salvo en sectores como el financiero y bajo condiciones estrictas como revisión humana, medidas reforzadas de seguridad y supervisión de la autoridad.
4. Responsabilidades del responsable del tratamiento:
Las organizaciones deberán aplicar una metodología clara para la EP, reforzar sus controles técnicos, garantizar la transparencia mediante avisos adecuados y habilitar medios eficaces para el ejercicio del derecho de oposición. Además, deben conservar evidencia documental del cumplimiento normativo, accesible para auditorías y comprensible para los titulares, en cumplimiento del principio de responsabilidad proactiva.
