# EL SUPERINTENDENTE DE PROTECCIÓN DE DATOS PERSONALES

CONSIDERANDO

Que el artículo 213 de la Constitución de la República del Ecuador (“CRE”) dispone que “[l]as superintendencias son organismos técnicos de vigilancia, auditoría, intervención y control de las actividades económicas, sociales y ambientales, y de los servicios que prestan las entidades públicas y privadas, con el propósito de que estas actividades y servicios se sujeten al ordenamiento jurídica y atiendan al interés general (...)” ; que forman parte de la Función de Transparencia y Control Social; y que, conforme lo determinado por el artículo 204 ídem, detentan “personalidad jurídica y autonomía administrativa, financiera, presupuestaria y organizativa (...)” ;

Que el artículo 226 CRE establece que “[l]as instituciones del Estado, sus organismos, dependencias, las servidoras o servidores públicos que actúen en virtud de una potestad estatal ejercerán solamente las competencias y facultades que les sean atribuidas en la Constitución y la ley tendrán el deber de coordinar acciones para el cumplimiento de sus fines y hacer efectivo el goce y ejercicio de los derechos reconocidos en la Constitución (…)” ;

Que a través de la Ley Orgánica de Protección de Datos Personales (“LOPDP”) se creó la Superintendencia de Protección de Datos Personales (“SPDP”) como un órgano de control, con potestad sancionatoria, de administración desconcentrada, con personalidad jurídica y autonomía administrativa, técnica, operativa y financiera, cuyo máximo titular es, de acuerdo con el inciso primero del artículo 76 ídem, el Superintendente de Protección de Datos Personales;

Que el artículo 76 LOPDP señala que la SPDP “es el órgano de control y vigilancia encargado de garantizar a todos los ciudadanos la protección de sus datos personales, y de realizar todas las acciones necesarias para que se respeten los principios, derechos, garantías y procedimientos”, a la par que el numeral 5 idem le atribuye la facultad de “[e]mitir normativa general o técnica, criterios y demás actos que sean necesarios para el ejercicio de sus competencias (…)” ;

Que el artículo 79 del Reglamento de la Ley Orgánica de Protección de Datos Personales (“RGLOPDP”) estatuye que la SPDP “goza de autonomía administrativa, técnica, operativa y financiera. Estará́ a cargo del Superintendente de Protección de Datos Personales y tendrá́ su sede en el Distrito Metropolitano de Quito (…)” ;

Que el los numerales 4 y 7 del artículo 80 RGLOPDP le otorgan a la SPDP atribuciones para “[e]mitir regulaciones para la protección de datos personales” y “[e]mitir guías de referencias que ayuden a los responsables y encargados del tratamiento de datos en el proceso de adecuación y cumplimiento de la normativa de protección de datos personales” ;

Que los numerales 1 y 4 del artículo 83 RGLOPDP le confieren al Superintendente de Protección de Datos Personales atribuciones para “®epresentar legal y judicialmente a la

[Superintendencia de] Protección de Datos Personales, en todos los actos, contratos y relaciones jurídicas sujetas a su competencia”, así como para “[a]probar y expedir normas internas, resoluciones y manuales que sean necesarios para el buen funcionamiento de la

[Superintendencia] a su cargo (…)” ;

Que mediante resolución Nº SPDP-SPDP-2024-0001-R, publicada en el Tercer Suplemento del Registro Oficial Nº 624 del 19 de agosto del 2024, se aprobó el Estatuto Orgánico de Gestión Organizacional por Procesos de Arranque de la SPDP;

Que el artículo 1 de la misma resolución Nº SPDP-SPDP-2024-0001-R, en su Anexo 1, ha previsto que “[l]a Superintendencia de Protección de Datos Personales se alinea con su misión y define su Estructura Organizacional sustentada en su base normativa y su direccionamiento

estratégico institucional, los cuales serán determinados en su Planificación Estratégica Institucional, Modelo de Gestión institucional y Matriz de Competencias (…)” ;

Que el literal b) del numeral 2 del artículo 10 de la antedicha resolución Nº SPDP-SPDP2024-0001-R, establece las atribuciones y responsabilidades de la Intendencia General de Regulación de Protección de Datos Personales, entre las que consta “(…) Dirigir y proponer la elaboración de las propuestas o proyectos normativos para crear, reformar o derogar los actos normativos, sean estos políticas, directrices, reglamentos, resoluciones, lineamientos, normas técnicas, oficios circulares, etcétera, necesarios para el ejercicio de todas las competencias y atribuciones propias de la Superintendencia de Protección de Datos Personales, con los previos informes técnicos de las unidades administrativas sustantivas y adjetivas relacionadas con el ámbito de aplicación de tales normas; así como, todos aquellos actos normativos relacionados con el ejercicio, tutela y procedimientos administrativos de gestión que garanticen a las personas naturales la plena vigencia de sus derechos y deberes previstos en dicha ley y su reglamento (…)” ;

Que mediante memorando Nº SPDP-INT-0002-2024-DS del 13 de septiembre del 2024, se expidieron las acciones de personal de los funcionarios que ocupan los niveles jerárquicos superiores de las Intendencias Generales y Direcciones;

Que mediante resolución Nº SPDP-SPDP-2024-0007-R, publicada en el Primer Suplemento Nº 679 del Registro Oficial del 8 de noviembre del 2024, fueron expedidas las disposiciones, delegaciones de facultades y atribuciones a las autoridades, funcionarios y servidores públicos de la SPDP;

Que el artículo 1 de la aludida resolución Nº SPDP-SPDP-2024-0007-R dispone “(…) operativizar la delegación de las competencias, facultades, funciones, atribuciones y responsabilidades legalmente establecidas para el Superintendente de Protección de Datos Personales como máxima autoridad institucional, a favor de las distintas autoridades institucionales de grado jerárquico inferior de la Superintendencia de Protección de Datos Personales; emitir disposiciones para el correcto desenvolvimiento de las actividades inherentes a la Superintendencia de Protección de Datos Personales, así como designar ordenadores de gasto y pago y otras calidades necesarias para la gestión de los aspectos administrativo- financieros de la institución, de conformidad con el marco jurídico vigente” ;

Que en virtud del literal a) del artículo 4 de la misma resolución Nº SPDP-SPDP-2024-0007R se le han delegado al Intendente General de Regulación de Protección de Datos Personales, entre otras atribuciones y responsabilidades, la de “[e]mitir normativa general o técnica, criterios y demás actos que sean necesarios para el ejercicio de sus competencias y la garantía del ejercicio del derecho a la Protección de datos personales (…)” ;

Que mediante la resolución Nº SPDP-SPDP-2024-0018-R, publicada en el Segundo Suplemento del Registro Oficial Nº 679 de 8 de noviembre del 2024, se expidió el Reglamento para la Elaboración y Aprobación del Plan Regulatorio Institucional de la Superintendencia de Protección de Datos Personales (“REAPRI”), en cuya disposición transitoria única se ha previsto que “el PRI correspondiente a los años fiscales 2024 y 2025 no seguirá el procedimiento establecido en este reglamento y, por ende, se elaborará únicamente a base de los informes técnicos emitidos por las Unidades Administrativas correspondientes; validados por la IGRPDP; aprobados por el Superintendente o su delegado; y, finalmente, publicado en los portales oficiales de la SPDP cuando estén habilitados” ;

Que mediante resolución N° SPDP-SPDP-2024-0020-R del 9 de diciembre del 2024 se aprobó el Plan Regulatorio Institucional del año 2024, dentro del cual se ha establecido la necesidad de emitir el Reglamento para la Creación, Modificación y Derogatoria de la Normativa de la Superintendencia de Protección de Datos Personales;

EN EJERCICIO de sus facultades y atribuciones constitucionales, legales y reglamentarias,

RESUELVE

EXPEDIR EL REGLAMENTO PARA LA CREACIÓN, MODIFICACIÓN Y DEROGATORIA DE LA

NORMATIVA DE LA SUPERINTENDENCIA DE PROTECCIÓN DE DATOS PERSONALES

Este reglamento establece el marco regulatorio para la creación, modificación y derogatoria de la normativa en materia de protección de datos personales, así como de aquella que permita y viabilice el cumplimiento de las obligaciones constitucionales, legales y reglamentarias de la Superintendencia de Protección de Datos Personales. Para el cumplimiento del objeto del presente Reglamento, la Intendencia General de Regulación de Protección de Datos Personales aplicará un mecanismo de clasificación y evaluación de conformidad con sus competencias, previo a la aprobación de la normativa a ser expedida por el Superintendente de Protección de Datos Personales.

Las palabras, siglas y acrónimos enlistados a continuación a efectos de este Reglamento tendrán el siguiente significado: 2.1. IGRPDP: Intendencia General de Regulación de Protección de Datos Personales o, según el contexto, el Intendente General de Regulación de Protección de Datos Personales. 2.2. Informe técnico: Acto de simple administración que, basado en criterios, métodos, protocolos o procedimientos, determina la pertinencia y la necesidad de aprobar la emisión de regulaciones en materia de protección de datos personales o para el cumplimiento de las obligaciones constitucionales, legales y reglamentarias de la entidad. 2.3. Normas matrices: Conjunto de normativa que hace alusión a la Constitución de la República del Ecuador, el Código Orgánico Administrativo, la Ley Orgánica de Protección de Datos Personales, el Reglamento General de la Ley Orgánica de Protección de Datos Personales y demás normativa emitida por la Superintendencia de Protección de Datos Personales. 2.4. Regulación: Conjunto de lineamientos emitidos por la Superintendencia de Protección de Datos Personales para regular las actividades de los integrantes del sistema de protección de datos personales, de acuerdo con lo previsto en el ordenamiento jurídico. 2.5. SPDP: La Superintendencia de Protección de Datos Personales. Podrá también aludírsela como “la institución” o “la entidad”. 2.6. Superintendente: La máxima autoridad de la SPDP. 2.7. Unidades administrativas: El conjunto de Intendencias Generales, Direcciones y Responsables de áreas de la SPDP.

Toda normativa sujeta a creación, modificación o derogatoria deberá mantener concordancia en relación a los principios, derechos y obligaciones establecidos en el ordenamiento jurídico ecuatoriano.

Las unidades administrativas de la SPDP deberán elaborar las propuestas de normativa referentes a la protección de datos personales o relacionadas con el cumplimiento de las obligaciones establecidas en las normas matrices. Al efecto, las unidades administrativas de la SPDP deberán generar un memorando que contendrá el requerimiento para la creación, modificación o derogatoria, junto con el proyecto o borrador de la propuesta normativa en formato de resolución, así como el informe técnico de necesidad que justifique la pertinencia y necesidad de tal propuesta. Todos estos documentos serán remitidos a la IGRPDP. El informe técnico de necesidad se elaborará de conformidad con el formato de cada unidad administrativa de la SPDP y será remitido con las firmas electrónicas de responsabilidad correspondientes.

Antes de desarrollar la propuesta de normativa, cada unidad administrativa deberá examinar y analizar las fuentes normativas, jurisprudenciales, doctrinales, bibliográficas y técnicas existentes, tanto a nivel nacional e internacional, que pudieren ser aplicables al tema que será objeto de regulación. Las propuestas de normativa en materia de protección de datos personales podrán considerar, de manera referencial, las regulaciones expedidas en jurisdicciones internacionales, siempre y cuando su técnica jurídica y pertinencia aporten al desarrollo del ordenamiento interno y puedan ser fácilmente adaptadas al entorno local, lo cual deberá justificarse en el informe técnico de necesidad.

El informe técnico de necesidad deberá tener los siguientes apartados: 6.1. Antecedentes, competencia, normativa aplicable, entre otros aspectos; 6.2. Justificación de la necesidad; 6.3. Identificación del proyecto normativo; 6.4. Análisis de legislación comparada, jurisprudencia, doctrina, bibliografía, datos técnicos y análisis económico, en caso de existir; 6.5. Firmas de responsabilidad (elaborado, revisado y aprobado); y, 6.6. El proyecto o borrador de normativa en formato de resolución.

La IGRPDP receptará los proyectos de regulación de normativa de protección de datos personales e iniciará el proceso de evaluación de conformidad con el siguiente método: 7.1. Se receptarán las propuestas de normativa de las unidades administrativas únicamente con los siguientes documentos: 7.1.1. Memorando; 7.1.2. Informe técnico de necesidad; y, 7.1.3. Propuesta de normativa en formato de resolución. 7.2. Se clasificarán las propuestas de normativa en orden cronológico; no obstante, y siempre que se justifique la urgencia en el informe técnico de necesidad, las que fueren consideradas como prioritarias serán despachadas de manera anticipada por parte de la IGRPDP. 7.3. Se evaluarán las propuestas de normativa y, según corresponda, se optará por alguna de estas alternativas: 7.3.1. Modificación u observaciones: Si las propuestas de normativa son vagas, ambiguas u omiten el contenido de las normas matrices. 7.3.2. Aprobación: Si las propuestas de normativa no incurren en los supuestos anteriormente detallados. 7.3.3. Archivo: Si las propuestas de normativa no cumplen con los principios u objetivos de la LOPDP, o si se considera que no aportan al desarrollo y garantía de los derechos de los titulares de datos personales. La IGRPDP notificará a las unidades administrativas sobre la aprobación, modificación o archivo de la propuesta de normativa en un término de treinta (30) días, con el objeto de que se ejecuten las acciones que pertinentes.

Ante el pronunciamiento de modificación, las unidades administrativas tendrán un término de diez (10) días para subsanar las observaciones que hubiese señalado la IGRPDP o, en su caso, para modificar su propuesta inicial.

En caso de que la propuesta de normativa no cumpliere con los principios u objetivos de la LOPDP, o si se estimare que no aportan al desarrollo y garantía de los derechos de los titulares de datos personales, la IGRPDP emitirá un informe técnico en el que habrá de evidenciarse aquello y, en consecuencia, se procederá al archivo del proyecto.

En caso de que la propuesta fuere aceptada, la IGRPDP elaborará un informe técnico en el que deberá analizarse la necesidad y la pertinencia para la emisión de la normativa. Una vez aprobado el proyecto, la IGRPDP remitirá a la Dirección de Asesoría Jurídica el expediente que deberá contener los siguientes documentos: 10.1. Memorando de la unidad administrativa requirente; 10.2. Informe técnico de necesidad de la unidad administrativa requirente; 10.3. Propuesta de normativa, en formato de resolución, preparada por la unidad administrativa requirente; 10.4. Informe técnico donde conste la aprobación de la IGRPDP; y, 10.5. Memorando de la IGRPDP que servirá para enviar los documentos a la Dirección de Asesoría Jurídica y solicitar la validación legal e informe jurídico sobre el proyecto normativo.

Una vez remitido el expediente del proyecto normativo por parte de la IGRPDP, la Dirección de Asesoría Jurídica, dentro del término de diez (10) días, deberá emitir un informe en el que se constate que tal proyecto cumple el principio de legalidad; que no vulnera ni contradice a las normas matrices; y que, efectivamente, coadyuva al cumplimiento de los objetivos de la SPDP.

Una vez recibido el proyecto normativo junto con el informe jurídico, la IGRPDP dispondrá que el contenido de tal proyecto sea publicado a través de la página web institucional e informada su publicación a través de las redes sociales institucionales, con la finalidad de que la ciudadanía, las organizaciones de la sociedad civil o interesados en general, de manera motivada, puedan remitir sus observaciones o realizar aportes respecto del contenido, para lo cual se abrirá un término de veinte (20) días contados desde su publicación. Tales observaciones o aportes no serán vinculantes para la SPDP; no obstante, serán revisados, analizados y, de estimárselo como conveniente o necesario, incorporados por la IGRPDP a su informe técnico.

Una vez cumplido el término descrito en el artículo precedente, la IGRPDP incorporará al informe técnico las observaciones

  • aportes, de haberlos; y, en caso de existir alguna modificación al proyecto normativo, se lo

hará constar, justificadamente, en ese mismo informe. Cuando estuviere listo el proyecto normativo final y el informe técnico respectivo, serán remitidos a la máxima autoridad junto con todo el expediente, a través de un memorando, en el término de diez (10) días. Desde que el Superintendente reciba el expediente del proyecto normativo dispondrá de un término de diez (10) días para asentar sus observaciones o para aprobarlo. Solo se entenderá aprobado el proyecto normativo una vez que fuere firmado por el Superintendente, quien dispondrá su publicación en los medios de la SPDP y, de ser lo pertinente, en el Registro Oficial.

En caso de que existieren observaciones al proyecto normativo, el Superintendente las remitirá a la IGRPDP para que, en el término de cinco (5) días, solicite a la unidad administrativa requirente que solvente las observaciones, asimismo dentro del término de cinco (5) días. Solventadas tales observaciones, serán remitidas a la IGRPDP para su revisión; y, en caso de que se estime necesario, se volverá a enviar a la Dirección Jurídica para los fines previstos en el artículo 11. Hecho lo anterior, se procederá de acuerdo con lo previsto en este Título.

Para modificar o extinguir las normativas expedidas por la SPDP, la unidad administrativa requirente deberá enviar los siguientes documentos a la IGRPDP: 15.1. Memorando dirigido al Superintendente; 15.2. Informe técnico; y, 15.3. Documento que contenga la modificación de las regulaciones expedidas por la SPDP.

Recibidos los documentos que se detallan en el artículo precedente, corresponderá a la IGRPDP proceder conforme con lo establecido en el apartado 7.3. de este reglamento.

Modificaciones u observaciones a la propuesta de modificación o derogatoria.- Las modificaciones u observaciones a la propuesta de modificación o derogatoria se regirá de conformidad con lo dispuesto con el artículo 8. En caso de que el término no se cumpliere o no se remitieren las modificaciones u observaciones dispuestas por la IGRPDP, se le pondrá fin al procedimiento y se ordenará el archivo.

El procedimiento de aprobación se regirá por lo dispuesto en el Título III de este reglamento.

DISPOSICIONES GENERALES

Primera.- Por cuanto la implementación y funcionamiento de la SPDP se inició en la segunda quincena de septiembre del 2024; y, además, tomando en cuenta lo establecido en la resolución N° SPDP-SPDP-2024-0018-R, considérese, en consecuencia, que este reglamento forma parte del Plan Regulatorio Institucional (“PRI”) del año fiscal 2024, con lo que se deja señalada constancia de su cumplimiento.

Segunda.- Aprobada esta resolución, notifíquese con su contenido a las unidades administrativas competentes de la SPDP.

DISPOSICIÓN FINAL

La presente resolución entrará en vigencia a partir del 31 de enero del 2025, sin perjuicio de su publicación en el Registro Oficial.

Dada y firmada en Santiago de Guayaquil, el 31 de diciembre del 2024.

``` Firmado electrónicamente por: FABRIZIO ROBERTO PERALTA DIAZ

```

FABRIZIO PERALTA-DÍAZ SUPERINTENDENTE DE PROTECCIÓN DE DATOS PERSONALES