La SPDP fija directrices claras para garantizar el ejercicio pleno del derecho a la protección de datos en Ecuador.
El 7 de agosto de 2025, la Superintendencia de Protección de Datos Personales (SPDP) expidió la Resolución SPDP-SPD-2025-0030-R, mediante la cual se aprueba el Reglamento para la Seudonimización, Anonimización, Bloqueo, Suspensión y Eliminación de Datos Personales. Esta normativa desarrolla los procedimientos técnicos y jurídicos para que los responsables y encargados del tratamiento de datos personales apliquen medidas que garanticen el ejercicio efectivo del derecho a la protección de datos.
El Reglamento se emite en ejercicio de las atribuciones otorgadas por la Ley Orgánica de Protección de Datos Personales (LOPDP) y su Reglamento General. Su aplicación es obligatoria para todos los integrantes del sistema nacional de protección de datos personales, y marca un hito normativo al incorporar medidas específicas alineadas con el ciclo de vida del dato y los principios de proporcionalidad, minimización y seguridad.
Disposiciones clave
Objetivo y alcance del reglamento
El nuevo reglamento tiene por objeto establecer lineamientos claros para la aplicación de cinco medidas clave: seudonimización, anonimización, bloqueo, suspensión y eliminación de datos personales. Estas medidas deben aplicarse con base en análisis de riesgos, conforme al ciclo de vida del dato y respetando los derechos fundamentales de los titulares.
Seudonimización y anonimización
La seudonimización permite mantener la posibilidad de reidentificar a la persona bajo condiciones seguras, mientras que la anonimización impide la identificación, incluso indirecta, del titular. Esta última es prioritaria especialmente para el tratamiento de datos sensibles, como los de salud, y requiere evaluación técnica previa y, en algunos casos, autorización expresa de la SPDP.
Bloqueo y suspensión del tratamiento
El reglamento establece que los datos podrán ser bloqueados una vez cumplida su finalidad, manteniéndose en sistemas con acceso restringido.
Por su parte, el derecho a la suspensión permite al titular exigir el cese temporal del tratamiento de sus datos, obligación que debe cumplirse en un máximo de tres días, tanto por el responsable como por el encargado del tratamiento.
Eliminación de datos y responsabilidades
Los titulares tienen derecho a exigir la eliminación definitiva de sus datos, incluyendo los almacenados por terceros. Esta eliminación se extiende incluso a datos de personas fallecidas, bajo ciertas condiciones.
Además, se establece que al terminar una relación jurídica entre responsable y encargado, este último debe devolver o eliminar los datos en un plazo de cinco días. La SPDP podrá imponer medidas correctivas y sanciones ante el incumplimiento de estas obligaciones.
Guía técnica pendiente
El reglamento prevé que, en un plazo máximo de seis meses, se deberá aprobar una Guía Técnica para la aplicación efectiva de estas medidas, a cargo de la Intendencia General de Innovación Tecnológica y Seguridad de Datos Personales.
