# EL SUPERINTENDENTE DE PROTECCIÓN DE DATOS PERSONALES

CONSIDERANDO

Que el numeral 19 del artículo 66 de la Constitución de la República del Ecuador (“CRE”) les reconoce y garantiza a las personas el derecho “a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos o información requerirán la autorización del titular o el mandato de la ley” ;

Que el artículo 213 CRE establece que “[l]as superintendencias son organismos técnicos de vigilancia, auditoría, intervención y control de las actividades económicas, sociales y ambientales, y de los servicios que prestan las entidades públicas y privadas, con el propósito de que estas actividades y servicios se sujeten al ordenamiento jurídico y atiendan al interés general (…)” ; que forman parte de la Función de Transparencia y Control Social; y que, conforme lo dispone el artículo 204 idem, detentan “personalidad jurídica y autonomía administrativa, financiera, presupuestaria y organizativa (…)” ;

Que a través de la LOPDP se creó la Superintendencia de Protección de Datos Personales (“SPDP”) como un órgano de control, con potestad sancionatoria, de administración desconcentrada, con personalidad jurídica y autonomía administrativa, técnica, operativa y financiera, cuyo máximo titular es, de acuerdo con el inciso primero del artículo 76 ídem, el Superintendente de Protección de Datos Personales;

Que el artículo 135 del Código Orgánico Administrativo (“COA”) determina que “ (…) Le corresponde a la Administración Pública, la dirección del procedimiento administrativo en ejercicio de las competencias que se le atribuyan en el ordenamiento jurídico y en este Código (…)” ;

Que el artículo 76 de la LOPDP establece que “[l]a Autoridad de Protección de Datos Personales es el órgano de control y vigilancia encargado de garantizar a todos los ciudadanos la protección de sus datos personales, y de realizar todas las acciones necesarias para que se respeten los principios, derechos, garantías y procedimientos previstos en la [Ley Orgánica de Protección de Datos Personales]”;

Que los numerales 4 y 5 del artículo 76 de la LOPDP le atribuye a la SPDP, entre otras funciones, atribuciones y facultades, la de “[r]ealizar o delegar auditorías técnicas al tratamiento de datos personales”, así como la de “[e]mitir normativa general o técnica, criterios y demás actos que sean necesarios para el ejercicio de sus competencias y la garantía del ejercicio del derecho a la protección de datos personales” ;

Que el Capítulo V de la LOPDP se denomina “Transferencia o Comunicación de Datos Personales por Terceros” ;

Que, a su vez, el Capítulo IX de la LOPDP se titula “Transferencia o Comunicación Internacional de Datos Personales” ;

Que mediante resolución N° SPDP-SPDP-2024-0001-R del 2 de agosto del 2024, publicada en el Tercer Suplemento del Registro Oficial N° 624 del 19 de agosto del 2024, el Superintendente de Protección de Datos Personales aprobó el Estatuto Orgánico de Gestión Organizacional por Procesos de Arranque de la Superintendencia de Protección de Datos Personales;

Que la letra b), numeral 2 del artículo 10 de la resolución N° SPDP-SPDP-2024-0001-R establece que a la Intendencia General de Regulación de Protección de Datos Personales (“IRD”) le corresponde, entre otras atribuciones y responsabilidades, “[d]irigir y proponer la elaboración de las propuestas o proyectos normativos para crear, reformar o derogar los actos

normativos, sean estos políticas, directrices, reglamentos, resoluciones, lineamientos, normas técnicas, oficios circulares, etcétera, necesarios para el ejercicio de todas las competencias y atribuciones propias de la Superintendencia de Protección de Datos Personales, con los previos informes técnicos de las unidades administrativas sustantivas y adjetivas relacionadas con el ámbito de aplicación de tales normas; así como, todos aquellos actos normativos relacionados con el ejercicio, tutela y procedimientos administrativos de gestión que garanticen a las personas naturales la plena vigencia de sus derechos y deberes previstos en dicha ley y su reglamento (…)” ;

Que la letra c), numeral 2 del artículo 10 de la resolución N° SPDP-SPDP-2024-0001-R, establece, entre las atribuciones y responsabilidades de la IRD, la de “[d]irigir y proponer la presentación al Superintendente de Protección de Datos Personales de las propuestas de normas, reglamentos, directrices, resoluciones, normas técnicas, oficios circulares, etcétera, vinculados con la regulación de protección de datos personales, para su expedición (…)” ;

Que a través de la letra a) del artículo 4 de la resolución N° SPDP-SPD-2025-0001-R del 31 de enero del 2025, publicada en el Registro Oficial N° 750 del 24 de febrero del 2025, mediante la cual se expidieron las disposiciones, delegaciones de facultades y atribuciones a las autoridades, funcionarios y servidores públicos de la SPDP, se le delegó al Intendente General Regulación de Protección de Datos Personales, entre otras, la responsabilidad de “[e]mitir normativa general o técnica, criterios y demás actos que sean necesarios para el ejercicio de sus competencias y la garantía del ejercicio del derecho a la protección de datos personales (…)” ;

Que la disposición transitoria del Reglamento para la Elaboración y Aprobación del Plan Regulatorio Institucional de la SPDP ¾expedido mediante resolución Nº SPDP-SPDP-20240018-R del 30 de octubre del 2024, publicada en el Segundo Suplemento del Registro Oficial Nº 679 del 8 de noviembre del 2024¾ establece que “(…) el PRI correspondiente a los años fiscales 2024 y 2025 no seguirá el procedimiento establecido en este reglamento y, por ende, se elaborará únicamente a base de los informes técnicos emitidos por las Unidades Administrativas correspondientes; validados por la IGRPDP; aprobados por el Superintendente

o su delegado; y, finalmente, publicado en los portales oficiales de la SPDP cuando estén habilitados” ;

Que mediante la resolución N° SPDP-SPD-2025-0002-R del 3 de febrero del 2025 se aprobó el Plan Regulatorio Institucional del año 2025, dentro del cual se ha establecido la necesidad de expedir la normativa para aclarar la aplicación del Capítulo V y el Capítulo IX de la LOPDP;

Que por medio del memorando N° SPDP-IRD-2025-0068-M, suscrito el 30 de abril del 2025, la IRD puso en conocimiento de la Dirección de Asesoría Jurídica (“DAJ”) tanto la Normativa General para la Aplicación de la Ley Orgánica de Protección de Datos Personales y su Reglamento en las Transferencias o Comunicaciones Nacionales e Internacionales de Datos Personales, como el informe técnico N° INF-SPDP-IRD-2025- 0021, para que, dentro del término de diez días, realice las diligencias pertinentes de conformidad con lo dispuesto en la resolución N° SPDP-SPDP-2024-0022-R del 31 de diciembre del 2024, que contiene el Reglamento para la Creación, Modificación y Derogatoria de la Normativa de la Superintendencia de Protección de Datos Personales, publicado en el Registro Oficial N° 734 del 31 de enero del 2025;

Que mediante memorando N° SPDP-DAJ-2025-0040-M suscrito el 30 de abril del 2025, la DAJ validó el proyecto de resolución y puso en conocimiento de la IRD el informe jurídico INF-SPDP-DAJ-2025-0010, en el cual recomienda “(…) solicitar a quien corresponda la publicación a través de la página web institucional e informar su publicación a través de las redes sociales institucionales, con la finalidad de que la ciudadanía, las organizaciones de la sociedad civil o interesados en general, de manera motivada, puedan remitir sus observaciones

o realizar aportes respecto del contenido, para lo cual se debe indicar la forma para recibir

dichas observaciones y aportes que será dentro de un término de veinte (20) días contados desde su publicación” ;

Que a través del memorando N° SPDP-IRD-2025-0072-M suscrito el 30 de abril del 2025, la IRD solicitó a las unidades administrativas de la SPDP que procedan con las acciones pertinentes, a fin de que publiquen la Normativa General para la Aplicación de la Ley Orgánica de Protección de Datos Personales y su Reglamento en las Transferencias o Comunicaciones Nacionales e Internacionales de Datos Personales en la página web institucional y en las redes sociales de la SPDP, para que el proyecto de normativa esté disponible para la ciudadanía, las organizaciones de la sociedad civil o los interesados en general desde el 30 de abril al 30 de mayo del 2025, con el objeto de poder recibir sus observaciones o aportes, siempre que estuvieren debidamente motivados;

Que, para cumplir con la resolución Nº SPDP-SPDP-2024-0022-R, se ejecutó el proceso de socialización de la Normativa General para la Aplicación de la Ley Orgánica de Protección de Datos Personales y su Reglamento en las Transferencias o Comunicaciones Nacionales e Internacionales de Datos Personales, dentro del término de veinte días, de conformidad con el artículo 12 de dicha resolución;

Que a través del informe técnico Nº INF-SPDP-IRD-2025-0045, suscrito el 21 de julio del 2025, la IRD incorporó al informe técnico las observaciones y aportes que se consideraron relevantes y adecuados, previa justificación de las modificaciones realizadas al proyecto normativo;

Que mediante memorando Nº SPDP-IRD-2025-0127-M, suscrito el 21 de julio del 2025, la IRD remitió todo el expediente al suscrito Superintendente de Protección de Datos Personales para que realice las observaciones correspondientes o, en su caso, para que lo apruebe;

EN EJERCICIO de sus atribuciones constitucionales, legales y reglamentarias,

RESUELVE

EXPEDIR LA NORMATIVA GENERAL PARA LA APLICACIÓN DE LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES Y SU REGLAMENTO EN LAS

TRANSFERENCIAS O COMUNICACIONES NACIONALES E INTERNACIONALES DE

DATOS PERSONALES

capítulos de la Ley Orgánica de Protección de Datos Personales y su Reglamento, que guardan relación con las disposiciones que regulan las transferencias o comunicaciones de datos personales.

personales que, enumerados en el artículo 5 de la LOPDP, realizaren transferencias o comunicaciones de datos personales.

disposiciones contenidas en el Capítulo IX de la LOPDP deben ser aplicadas de forma

relaciones jurídicas relacionadas con las transferencias o comunicaciones de datos personales a nivel tanto nacional (esto es, de manera local) como internacionalmente. Por ende, las

concordante con todas las disposiciones del Capítulo V de ese mismo cuerpo legal.

aplicarse las disposiciones tanto del Capítulo V como las del Capítulo IX de la Ley Orgánica de Protección de Datos Personales.

Así también, en los casos de comunicaciones o transferencias internacionales de datos personales deberán aplicarse, de forma concordante, los capítulos V y XII del Reglamento General de la Ley LOPDP.

DISPOSICIÓN FINAL

Esta resolución entrará en vigencia a partir de su suscripción, sin perjuicio de su publicación en el Registro Oficial.

Dada y firmada en Santiago de Guayaquil, el 25 de julio del 2025.

``` Firmado electrónicamente por: FABRIZIO ROBERTO PERALTA DIAZ Validar únicamente con FirmaEC

Esta normativa general tiene por objeto establecer la correcta aplicación de los capítulos de la Ley Orgánica de Protección de Datos Personales y su Reglamento, que guardan relación con las disposiciones que regulan las transferencias o comunicaciones de datos personales.

Esta normativa es aplicable a todos los integrantes del sistema de protección de datos personales que, enumerados en el artículo 5 de la LOPDP, realizaren transferencias o comunicaciones de datos personales.

El Capítulo V de la Ley Orgánica de Protección de Datos Personales regula las relaciones jurídicas relacionadas con las transferencias o comunicaciones de datos personales a nivel tanto nacional (esto es, de manera local) como internacionalmente. Por ende, las

disposiciones contenidas en el Capítulo IX de la LOPDP deben ser aplicadas de forma

concordante con todas las disposiciones del Capítulo V de ese mismo cuerpo legal.

En toda comunicación o transferencia internacional de datos personales deberán aplicarse las disposiciones tanto del Capítulo V como las del Capítulo IX de la Ley Orgánica de Protección de Datos Personales. Así también, en los casos de comunicaciones o transferencias internacionales de datos personales deberán aplicarse, de forma concordante, los capítulos V y XII del Reglamento General de la Ley LOPDP. DISPOSICIÓN FINAL Esta resolución entrará en vigencia a partir de su suscripción, sin perjuicio de su publicación en el Registro Oficial. Dada y firmada en Santiago de Guayaquil, el 25 de julio del 2025. ``` Firmado electrónicamente por: FABRIZIO ROBERTO PERALTA DIAZ Validar únicamente con FirmaEC