La SPDP expidió una norma general que regula las transferencias nacionales e internacionales de datos personales, en aplicación de la Ley Orgánica de Protección de Datos Personales. La disposición establece requisitos, garantías y mecanismos de control para proteger los derechos de los titulares.
La Resolución No. SPDP-SPD-2026-0004-R, expedida el 2 de febrero de 2026 por la Superintendencia de Protección de Datos Personales (SPDP), aprueba la Norma General para la Transferencia Nacional e Internacional de Datos Personales. Esta regulación desarrolla las disposiciones de la Ley Orgánica de Protección de Datos Personales (LOPDP), estableciendo condiciones claras para la circulación de datos dentro y fuera del territorio ecuatoriano.
La norma es de aplicación obligatoria para responsables y encargados del tratamiento que realicen transferencias de datos personales, independientemente del medio o tecnología utilizada. Su objetivo es reforzar la seguridad jurídica y garantizar que las transferencias se realicen respetando los principios de legalidad, consentimiento y protección de los derechos de los titulares.
Disposiciones clave
1. Finalidad y ámbito de aplicación:
La norma busca asegurar que toda transferencia de datos personales, nacional o internacional, observe los principios de legalidad, finalidad, proporcionalidad, consentimiento y seguridad previstos en la LOPDP. Se aplica a transferencias realizadas entre responsables o encargados del tratamiento, tanto dentro del país como hacia el exterior.
2. Requisitos para transferencias nacionales e internacionales:
En las transferencias nacionales, se exige que el receptor garantice el cumplimiento de la LOPDP y que la operación se formalice mediante contrato o instrumento jurídico vinculante. Para las transferencias internacionales, estas solo serán permitidas cuando el país receptor cuente con un nivel de protección adecuado o cuando existan garantías suficientes, tales como cláusulas contractuales tipo, normas corporativas vinculantes o el consentimiento expreso del titular de los datos. La norma también contempla excepciones por razones de interés público, ejercicio de derechos legales o protección vital del titular.
3. Registro, notificación y fiscalización:
Los responsables del tratamiento deberán mantener un registro actualizado de las transferencias realizadas, el cual podrá ser requerido por la Superintendencia en procesos de control y fiscalización. Asimismo, se establece la obligación de notificar incidentes que comprometan la seguridad o confidencialidad de los datos transferidos. El incumplimiento de estas disposiciones podrá dar lugar a sanciones administrativas conforme al régimen previsto en la LOPDP.
