RESOLUCIÓN Nº SPDP-SPD-2025-0006-R

# EL SUPERINTENDENTE DE PROTECCIÓN DE DATOS PERSONALES

Que el numeral 19 del artículo 66 de la Constitución de la República del Ecuador (“CRE”) reconoce y garantiza a las personas el derecho “a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos o información requerirán la autorización del titular o el mandato de la ley” ;

Que el artículo 213 de la CRE establece que “[l]as superintendencias son organismos técnicos de vigilancia, auditoría, intervención y control de las actividades económicas, sociales y ambientales, y de los servicios que prestan las entidades públicas y privadas, con el propósito de que estas actividades y servicios se sujeten al ordenamiento jurídico y atiendan al interés general (...)”; que forman parte de la Función de Transparencia y Control Social; y que, conforme lo dispone el artículo 204 idem, detentan “personalidad jurídica y autonomía administrativa, financiera, presupuestaria y organizativa (...)” ;

Que el artículo 135 del Código Orgánico Administrativo (“COA”) determina que “(...) corresponde a la Administración Pública, la dirección del procedimiento administrativo en ejercicio de las competencias que se le atribuyan en el ordenamiento jurídico y en este Código (...)” ;

Que el numeral 9 del artículo 68 de la Ley Orgánica de Protección de Datos Personales (“LOPDP”) tipifica, como infracción grave del responsable, el hecho de “[n]o suscribir contratos que incluyan cláusulas de confidencialidad y tratamiento adecuado de datos personales con el encargado y el personal a cargo del tratamiento de datos personales o que tenga conocimiento de los datos personales (…)” ;

Que, asimismo, el numeral 3 del artículo 70 de la LOPDP tipifica, como infracción grave del encargado, el hecho de “[n]o suscribir contratos que contengan cláusulas de confidencialidad y tratamiento adecuado de datos personales con el personal a cargo del tratamiento de datos personales o quien tenga conocimiento de los datos personales (…)” ;

Que a través de la LOPDP se creó la Superintendencia de Protección de Datos Personales, (“SPDP”), como un órgano de control, con potestad sancionatoria, de administración desconcentrada, con personalidad jurídica y autonomía administrativa, técnica, operativa y financiera, cuyo máximo titular es, de acuerdo con el inciso primero del artículo 76 ídem, el Superintendente de Protección de Datos Personales;

Que el numeral 5 del artículo 76 de la LOPDP dispone que “(…) [l]a Autoridad de Protección de Datos Personales es el órgano de control y vigilancia encargado de garantizar a todos los ciudadanos la protección de sus datos personales, y de realizar todas las acciones necesarias para que se respeten los principios, derechos, garantías y procedimientos previstos en la presente Ley y en su reglamento de aplicación, para lo cual le corresponde las siguientes funciones, atribuciones y facultades: (…) 5) Emitir normativa general o técnica, criterios y demás actos que sean necesarios para el ejercicio de sus competencias y la garantía del ejercicio del derecho a la protección de datos personales (…)” ;

Que el numeral 4 del artículo 76 de la LOPDP le atribuye a la SPDP funciones, atribuciones y facultades para “[r]ealizar o delegar auditorías técnicas al tratamiento de datos personales (…)” ;

Que mediante resolución Nº SPDP-SPDP-2024-0001-R, publicada en el Tercer Suplemento del Registro Oficial Nº 624 de agosto 19 de 2024, se aprobó el Estatuto Orgánico de Gestión Organizacional por Procesos de Arranque de la SPDP (“Estatuto SPDP”);

Que el literal b) del numeral 2 del artículo 10 del Estatuto SPDP, establece las atribuciones y responsabilidades de la Intendencia General de Regulación de Protección de Datos Personales

(“IRD”), entre las que consta la de “(…) [d]irigir y proponer la elaboración de las propuestas o proyectos normativos para crear, reformar o derogar los actos normativos, sean estos políticas, directrices, reglamentos, resoluciones, lineamientos, normas técnicas, oficios circulares, etcétera, necesarios para el ejercicio de todas las competencias y atribuciones propias de la Superintendencia de Protección de Datos Personales, con los previos informes técnicos de las unidades administrativas sustantivas y adjetivas relacionadas con el ámbito de aplicación de tales normas; así como, todos aquellos actos normativos relacionados con el ejercicio, tutela y procedimientos administrativos de gestión que garanticen a las personas naturales la plena vigencia de sus derechos y deberes previstos en dicha ley y su reglamento (…)” ;

Que mediante resolución Nº SPDP-SPD-2025-0001-R del 31 de enero del 2025, publicada en el Registro Oficial N° 750 del 24 de febrero del 2025, se establecieron las disposiciones, delegaciones de facultades y atribuciones a las autoridades, funcionarios y servidores públicos de la SPDP;

Que por el literal a) del artículo 4 ídem se le delegó a la IRD, entre otras, la responsabilidad de “[e]mitir normativa general o técnica, criterios y demás actos que sean necesarios para el ejercicio de sus competencias y la garantía del ejercicio del derecho a la protección de datos personales ”;

Que mediante resolución Nº SPDP-SPDP-2024-0018-R, publicada en el Segundo Suplemento del Registro Oficial Nº 679 del 8 de noviembre del 2024, se expidió el Reglamento para la Elaboración y Aprobación del Plan Regulatorio Institucional de la Superintendencia de Protección de Datos Personales, en cuya disposición transitoria se ha previsto que “(…) el PRI correspondiente a los años fiscales 2024 y 2025 no seguirá el procedimiento establecido en este reglamento y, por ende, se elaborará únicamente a base de los informes técnicos emitidos por las Unidades Administrativas correspondientes; validados por la IGRPDP; aprobados por el Superintendente o su delegado; y, finalmente, publicado en los portales oficiales de la SPDP cuando estén habilitados” ;

Que la IRD, mediante informe técnico Nº INF-SPDP-IRD-2025-0003 suscrito el 3 de enero del 2025, solicitó al Superintendente de Protección de Datos Personales la aprobación del Plan Regulatorio Institucional (“PRI”) del año fiscal 2025, a fin de cumplir con la disposición transitoria de la resolución Nº SPDP-SPDP-2024-0018-R, así como para garantizar la transparencia y eficacia de la SPDP;

Que mediante resolución N° SPDP-SPD-2025-0002-R del 3 de febrero del 2025 se aprobó el PRI del año 2025, dentro del cual se estableció la necesidad de emitir el Reglamento que Establece la Obligación de Incorporar Cláusulas de Protección de Datos Personales en los Contratos Celebrados dentro del Territorio de la República del Ecuador ;

Que la IRD, a través del informe técnico Nº INF-SPDP-IRD-2025-0007 suscrito el 27 de febrero del 2025, justificó la pertinencia y la necesidad de emitir los lineamientos necesarios para la protección de los titulares, a fin de garantizar el adecuado tratamiento y protección de los derechos reconocidos en la LOPDP, el Reglamento General de la LOPDP y demás normativa aplicable; informe técnico en cuya parte pertinente se indica que “[l]a SPDP en ejercicio de sus funciones y atribuciones está facultada de conformidad con el numeral 5 del artículo 76 de la LOPDP para emitir el Reglamento de Contenidos Mínimos de las Cláusulas Modelo de Protección de Datos Personales en Contratos Celebrados dentro del Territorio de la República del Ecuador” ;

Que mediante memorando N° SPDP-IRD-2025-0021-M suscrito el 27 de febrero del 2025, la IRD puso en conocimiento de la Dirección de Asesoría Jurídica (“DAJ”), el proyecto normativo denominado Reglamento de Contenidos Mínimos de las Cláusulas Modelo de Protección de Datos Personales en Contratos Celebrados dentro del Territorio de la República del Ecuador y el informe técnico N° INF-SPDP-IRD-2025-0007, para que en el término de diez (10) días se pronuncie sobre la concordancia con la normativa y la legalidad, de conformidad con lo dispuesto en la resolución N° SPDP-SPDP-2024-0022-R;

Que la DAJ, en la parte pertinente de su informe técnico N° INF-SPDP-DAJ-2025-0005 suscrito el 27 de febrero del 2025, determinó que el Reglamento de Contenidos Mínimos de las Cláusulas Modelo de Protección de Datos Personales en Contratos Celebrados dentro del Territorio de la República del Ecuador es congruente con los principios establecidos en la LOPDP, no transgrede o

contradice normas matrices, cumple con el principio de legalidad y, por ello, recomendó que “(…)

[l]a IRD debe disponer a quien corresponda la publicación a través de la página web institucional e informar su publicación a través de las redes sociales institucionales, con la finalidad de que la ciudadanía, las organizaciones de la sociedad civil o interesados en general, de manera motivada, puedan remitir sus observaciones o realizar aportes respecto del contenido (…)” ;

Que a través del memorando N° SPDP-DAJ-2025-0019-M suscrito el 27 de febrero del 2025, la DAJ puso en conocimiento de la IRD el informe técnico N° INF-SPDP-DAJ-2025-0005, así como la validación legal del proyecto de resolución que viabilizaría la expedición del Reglamento de Contenidos Mínimos de las Cláusulas Modelo de Protección de Datos Personales en Contratos Celebrados dentro del Territorio de la República del Ecuador ;

Que en el memorando N° SPDP-IRD-2025-0024-M suscrito el 27 de febrero del 2025, la IRD solicitó a las unidades administrativas de la SPDP que procedan con las acciones pertinentes a fin de que publiquen el Reglamento de Contenidos Mínimos de las Cláusulas Modelo de Protección de Datos Personales en Contratos Celebrados dentro del Territorio de la República del Ecuador, en la página web institucional y en las redes sociales de la SPDP, para que el proyecto de normativa esté disponible para la ciudadanía, las organizaciones de la sociedad civil o interesados en general desde el 3 de marzo del 2025 hasta el 1 de abril del 2025, con el objeto de poder recibir sus observaciones

• aportes, siempre que estuvieren debidamente motivados;

Que para cumplir con la resolución Nº SPDP-SPDP-2024-0022-R, se ejecutó el proceso de socialización del Reglamento de Contenidos Mínimos de las Cláusulas Modelo de Protección de Datos Personales en Contratos Celebrados dentro del Territorio de la República del Ecuador, dentro del término de veinte (20) días, de conformidad con el artículo 12, y se procedió a dar de baja el proyecto normativo el 2 de abril del 2025 de la página web institucional y las redes sociales de la SPDP;

Que a través del informe técnico Nº INF-SPDP-IRD-2025-0023, suscrito el 30 de abril del 2025, la IRD incorporó al informe técnico las observaciones y aportes que se consideraron relevantes y adecuados, previa justificación de las modificaciones realizadas al proyecto normativo;

Que mediante memorando Nº SPDP-IRD-2025-0070-M, suscrito el 30 de abril del 2025, la IRD remitió todo el expediente al suscrito Superintendente de Protección de Datos Personales para que realice las observaciones correspondientes o, en su caso, para que lo apruebe;

EN EJERCICIO de sus atribuciones constitucionales, legales y reglamentarias,

EXPEDIR EL REGLAMENTO QUE ESTABLECE LA OBLIGACIÓN DE INCORPORAR CLÁUSULAS DE

PROTECCIÓN DE DATOS PERSONALES EN LOS CONTRATOS CELEBRADOS DENTRO DEL

TERRITORIO DE LA REPÚBLICA DEL ECUADOR

Artículo 1

protección de datos personales en las relaciones jurídico-contractuales que se generaren entre los diferentes actores del sistema, para así cumplir la LOPDP.

Las cláusulas de protección de datos personales establecen el respeto al cumplimiento de los principios establecidos en la normativa de protección de datos vigente y a los derechos de los titulares de los datos, de conformidad con las disposiciones legales aplicables. En este sentido, la obligación de incorporar cláusulas de protección de datos personales forma parte del sistema de gestión de cumplimiento y análisis de riesgos, como soporte documental y medida de seguridad jurídica.

Artículo 2

meramente referencial o ejemplificativo, aplicable a los integrantes del sistema de protección de datos personales establecidos en el artículo 5 de la LOPDP.

Artículo 3

personales a los textos contractuales sugeridos, no obligatorios —que no corresponden a las cláusulas tipo, estándar o modelo—, que sirven para estandarizar el contenido mínimo que deben tener las cláusulas en aquellos contratos que conlleven el procesamiento de datos personales, para

garantizar el cumplimiento de la normativa de protección de datos, promover buenas prácticas y asegurar los derechos de los titulares de datos personales.

Artículo 4

consideración, por cualquiera de los siguientes defectos:

4.1. Ambigüedad o vaguedad: La cláusula de protección de datos personales, en cualquiera

de los contratos que se incluyere y sin importar quiénes fueren las partes, debe ser clara y específica en cuanto al tratamiento de los datos, la finalidad y los derechos de los titulares. En consecuencia, no debe prestarse, bajo ningún respecto, para dudas o interpretaciones indeterminadas, vagas o confusas.

4.2. Finalidades no legítimas: La cláusula no debe permitir ni describir el tratamiento de los

datos para fines que no fueren legítimos, lícitos, específicos y explícitos, conforme a la legislación de protección de datos.

4.3. Falta de bases de legitimación: En ningún caso se podrá establecer o estipular una

cláusula que busque realizar tratamientos de datos personales que no cuenten con una base de legitimación, de acuerdo con lo establecido en la LOPDP.

4.4. Falta de transparencia: Una cláusula de protección de datos no debe omitir información

importante, tales como la identidad del responsable del tratamiento o la del encargado del tratamiento, los derechos del titular de los datos, las finalidades de tratamiento, entre otras informaciones necesarias.

4.5. Omisión de la responsabilidad en la implementación de medidas de seguridad: La

cláusula de protección de datos no debe excluir la responsabilidad que tienen las partes suscriptoras del contrato de contar con medidas de seguridad que deben implementarse para proteger los datos personales del acceso no autorizado o el tratamiento indebido.

4.6. Excesos en la recopilación de datos: La cláusula no debe permitir que se recaben o

recojan datos en forma indiscriminada o que se traten más datos que los estrictamente necesarios para cumplir con la finalidad del tratamiento.

4.7. No respetar derechos de los titulares: La cláusula no debe impedir o limitar de manera

indebida, por acción u omisión, los derechos de los titulares de los datos ni su cabal ejercicio.

4.8. Condiciones de transferencia o comunicación de datos sin control: La cláusula de

protección de datos no debe permitir la transferencia o comunicación de los datos a terceros sin garantías adecuadas o sin informar previa, debida, suficiente y fehacientemente al titular de los datos.

4.9. Exenciones excesivas de responsabilidad: La cláusula de protección de datos no debe

eximir ni liberar ni al responsable ni al encargado del tratamiento de las obligaciones establecidas en la normativa de protección de datos personales vigente.

4.10. Falta de plazo de conservación de los datos: La cláusula no debe omitir información

sobre el período de retención de los datos personales, el cual debe ser limitado al tiempo necesario para cumplir con la finalidad del tratamiento.

4.11. Restricciones de derechos, tratamientos ilícitos y omisiones esenciales: Una cláusula

de protección de datos no debe contener disposiciones que vulneren, restrinjan, limiten o soslayen los derechos de los titulares de datos personales ni que permitan el tratamiento ilegítimo, ilícito o que omitan detalles esenciales sobre el manejo de los datos.

4.12. Otros: Los demás que estableciere la normativa en protección de datos personales

vigente.

Artículo 1

Este reglamento tiene por objeto establecer la obligatoriedad de incorporar cláusulas de protección de datos personales en las relaciones jurídico-contractuales que se generaren entre los diferentes actores del sistema, para así cumplir la LOPDP. Las cláusulas de protección de datos personales establecen el respeto al cumplimiento de los principios establecidos en la normativa de protección de datos vigente y a los derechos de los titulares de los datos, de conformidad con las disposiciones legales aplicables. En este sentido, la obligación de incorporar cláusulas de protección de datos personales forma parte del sistema de gestión de cumplimiento y análisis de riesgos, como soporte documental y medida de seguridad jurídica.

Artículo 2

El reglamento es de cumplimiento obligatorio. No obstante, su Anexo I tiene un carácter meramente referencial o ejemplificativo, aplicable a los integrantes del sistema de protección de datos personales establecidos en el artículo 5 de la LOPDP.

Artículo 3

Para los efectos de este reglamento, se entenderán como cláusulas de protección de datos personales a los textos contractuales sugeridos, no obligatorios —que no corresponden a las cláusulas tipo, estándar o modelo—, que sirven para estandarizar el contenido mínimo que deben tener las cláusulas en aquellos contratos que conlleven el procesamiento de datos personales, para garantizar el cumplimiento de la normativa de protección de datos, promover buenas prácticas y asegurar los derechos de los titulares de datos personales.

Artículo 4

Una cláusula de protección de datos personales no podrá caracterizarse, bajo ninguna consideración, por cualquiera de los siguientes defectos: 4.1. Ambigüedad o vaguedad: La cláusula de protección de datos personales, en cualquiera de los contratos que se incluyere y sin importar quiénes fueren las partes, debe ser clara y específica en cuanto al tratamiento de los datos, la finalidad y los derechos de los titulares. En consecuencia, no debe prestarse, bajo ningún respecto, para dudas o interpretaciones indeterminadas, vagas o confusas. 4.2. Finalidades no legítimas: La cláusula no debe permitir ni describir el tratamiento de los datos para fines que no fueren legítimos, lícitos, específicos y explícitos, conforme a la legislación de protección de datos. 4.3. Falta de bases de legitimación: En ningún caso se podrá establecer o estipular una cláusula que busque realizar tratamientos de datos personales que no cuenten con una base de legitimación, de acuerdo con lo establecido en la LOPDP. 4.4. Falta de transparencia: Una cláusula de protección de datos no debe omitir información importante, tales como la identidad del responsable del tratamiento o la del encargado del tratamiento, los derechos del titular de los datos, las finalidades de tratamiento, entre otras informaciones necesarias. 4.5. Omisión de la responsabilidad en la implementación de medidas de seguridad: La cláusula de protección de datos no debe excluir la responsabilidad que tienen las partes suscriptoras del contrato de contar con medidas de seguridad que deben implementarse para proteger los datos personales del acceso no autorizado o el tratamiento indebido. 4.6. Excesos en la recopilación de datos: La cláusula no debe permitir que se recaben o recojan datos en forma indiscriminada o que se traten más datos que los estrictamente necesarios para cumplir con la finalidad del tratamiento. 4.7. No respetar derechos de los titulares: La cláusula no debe impedir o limitar de manera indebida, por acción u omisión, los derechos de los titulares de los datos ni su cabal ejercicio. 4.8. Condiciones de transferencia o comunicación de datos sin control: La cláusula de protección de datos no debe permitir la transferencia o comunicación de los datos a terceros sin garantías adecuadas o sin informar previa, debida, suficiente y fehacientemente al titular de los datos. 4.9. Exenciones excesivas de responsabilidad: La cláusula de protección de datos no debe eximir ni liberar ni al responsable ni al encargado del tratamiento de las obligaciones establecidas en la normativa de protección de datos personales vigente. 4.10. Falta de plazo de conservación de los datos: La cláusula no debe omitir información sobre el período de retención de los datos personales, el cual debe ser limitado al tiempo necesario para cumplir con la finalidad del tratamiento. 4.11. Restricciones de derechos, tratamientos ilícitos y omisiones esenciales: Una cláusula de protección de datos no debe contener disposiciones que vulneren, restrinjan, limiten o soslayen los derechos de los titulares de datos personales ni que permitan el tratamiento ilegítimo, ilícito o que omitan detalles esenciales sobre el manejo de los datos. 4.12. Otros: Los demás que estableciere la normativa en protección de datos personales vigente.

Primera.- Tendrán una naturaleza meramente referencial y optativa los contenidos detallados en el Anexo I de este reglamento.

Segunda.- La SPDP podrá actualizar, cada vez que lo considere necesario, el Anexo I de este instrumento, prevalida de un informe técnico de justificación emitido por la IRD, así como de un informe jurídico de la Dirección de Asesoría Jurídica, los cuales motivarán la emisión de la resolución de actualización que corresponda y que habrá de publicarse en el Registro Oficial y en los portales oficiales institucionales correspondientes.

Tercera.- Las cláusulas contenidas en el Anexo I de este instrumento no crean figuras no previstas en el ordenamiento jurídico ecuatoriano, sino que establecen las condiciones jurídicas mínimas que deben reconocerse en las relaciones jurídico-contractuales entre los integrantes del sistema de protección de datos personales, y que constan ya establecidas en la LOPDP.

DISPOSICIÓN FINAL

Esta resolución entrará en vigencia a partir de su suscripción, sin perjuicio de su publicación en el Registro Oficial.

Dada y firmada en Quito, D. M., el 30 de abril del 2025.

``` Firmado electrónicamente por: FABRIZIO ROBERTO PERALTA DIAZ Validar únicamente con FirmaEC

Tabla de contenido

1 Modelo de cláusula entre responsable y titular .............................................................. 7

2 Modelo de cláusula entre responsable y encargado de tratamiento ............................. 10

3 Modelo de cláusula entre responsable y destinatario ................................................... 13

4 Modelo de cláusula responsables conjuntos ................................................................. 15

1 Modelo de cláusula entre responsable y titular

“ CLÁUSULA _.- Protección de Datos Personales:

x.1. Tratamiento de Datos Personales

En cumplimiento con la Ley Orgánica de Protección de Datos Personales (LOPDP) y su normativa conexa, [nombre de la empresa/organización], en calidad de responsable del tratamiento, informa al titular de los datos personales que la información proporcionada será objeto de tratamiento con las siguientes finalidades:

• [Especificar el propósito específico del tratamiento de los datos, por ejemplo: gestión

de clientes, realización de campañas publicitarias, prestación de servicios, etc.]

• [Si aplica, especificar la finalidad del tratamiento de datos sensibles, como información

sobre salud, creencias, entre otros.]

x.2. Tipo de Datos Personales Recabados

El tratamiento de datos personales podrá incluir, entre otros, los siguientes tipos de información:

[incluir los datos que se van a tratar los cuales se deberán clasificar en sus categorías según corresponda a cada giro de negocio y tratamiento

• Datos identificativos: nombre, cédula de identidad, dirección, teléfono, correo

electrónico, etc.

• Datos especiales:

`o` Sensibles

`o` Salud

`o` Niños niñas y adolescentes

`o` Personas con discapacidad

`o` Crediticios

`o` Personas fallecidas]

x.3. Base legitimadora

[En caso de ser consentimiento se podrá usar como mínimo el texto a continuación]

El titular de los datos personales autoriza expresamente, al momento de proporcionar su información, el tratamiento de los mismos en conformidad con la presente cláusula y la normativa vigente en materia de protección de datos personales en Ecuador. En caso de tratarse de datos sensibles, el consentimiento será solicitado y recabado de manera explícita y fehaciente.

[En caso de que la base legitimadora sea obligación legal]

De conformidad con lo dispuesto en la LOPDP y la legislación nacional vigente en materia de protección de datos personales, se informa que los datos personales recabados serán tratados para dar debido cumplimiento a las finalidades detalladas en el acápite uno (1) de la presente cláusula, en virtud de la normativa vigente en [especificar ámbito: laboral, fiscal, contable, administrativa, etc.] .

La base jurídica que legitima este tratamiento es el cumplimiento de una obligación legal aplicable al responsable del tratamiento.

[En caso de que la base legitimadora sea cumplimiento contractual]

En cumplimiento de la LOPDP y la legislación nacional vigente, se informa que los datos personales facilitados serán tratados por [nombre de la empresa/organización], en su calidad de responsable del tratamiento, para dar cumplimiento a las finalidades detalladas en el acápite uno (1) de la presente cláusula las cuales corresponden a la obligación de gestionar y ejecutar la relación contractual existente entre las partes.

La base jurídica que legitima este tratamiento es la ejecución de un contrato . Sin la aportación de los datos personales necesarios, no sería posible formalizar ni ejecutar dicha relación contractual.

[En caso de que la base legitimadora sea interés legítimo]

De conformidad con lo establecido la LOPDP y la normativa nacional aplicable, se informa que los datos personales proporcionados serán tratados por [nombre del responsable del tratamiento] para cumplir con las finalidades especificadas en el acápite uno (1) de la presente cláusula de

[en dicho acápite se deberá especificar finalidad concreta, por ejemplo: enviar comunicaciones comerciales, mejorar la calidad del servicio, garantizar la seguridad de las instalaciones, prevenir el fraude, etc.].

La base jurídica que legitima este tratamiento es el interés legítimo del responsable del tratamiento. Dicho interés ha sido previamente valorado y se ha concluido que no prevalecen los intereses, derechos o libertades fundamentales de los titulares de datos que requieran la protección de sus datos personales.

El titular de datos podrá oponerse a este tratamiento en cualquier momento, conforme a lo dispuesto en la LOPDP, su Reglamento y demás normativa aplicable.

x.4. Derechos del Titular de los Datos

De acuerdo con la LOPDP, el titular de los datos personales podrá ejercer los siguientes derechos:

• Acceder a sus datos personales de manera gratuita y periódica.

• Información: a ser informado respecto a los fines de tratamiento, bases de datos personales,

tipos de tratamiento, tiempo de conservación, existencia de base de datos en la que constan sus bases de datos, origen de los datos personales cuando no hayan sido obtenidos directamente por el titular, otras finalidades de tratamiento, datos de contacto del responsable de tratamiento, datos de contacto del delegado de protección de datos personales, transferencias o comunicaciones nacionales o internacionales con los destinatarios sus clases, sus finalidades y garantías de la transferencia. Las consecuencias de entrega o no entrega de información, efecto de entregar datos personales erróneos o inexactos, la posibilidad de revocar el consentimiento, forma en la que puede hacer efectivos sus derechos de acceso, eliminación, rectificación y actualización, oposición, anulación, limitación del tratamiento y a no ser objeto de una decisión basada únicamente en valoraciones automatizadas. A ser informado de los mecanismos para hacer efectivo su derecho a la portabilidad, dónde y cómo realizar sus reclamos ante el responsable del tratamiento de datos y la Autoridad de Protección de Datos Personales, y; la existencia de valoraciones y decisiones automatizadas, incluida la elaboración de perfiles.

• Solicitar la rectificación, actualización, suspensión o eliminación de sus datos personales.

• Oponerse o negarse al tratamiento de sus datos personales cuando:

`o` No se afecten derechos y libertades fundamentales de terceros, no se trate de información pública, interés público o que no esté ordenado por una ley.

`o` Cuando sea para mercadotecnia directa y, elaboración de perfiles.

`o` Cuando se hayan usado sus datos en razón de interés legítimo del responsable de tratamiento y se justifique en una situación concreta personal del titular siempre que no haya ley que disponga lo contrario.

• Solicitar la portabilidad de los datos, en caso de que sea aplicable.

• Retirar el consentimiento en cualquier momento, sin que ello afecte la legalidad del

tratamiento basado en el consentimiento previo a su retirada.

• A no ser objeto de decisiones basadas única o parcialmente en valoraciones automatizadas

x.5. Medidas de Seguridad

El responsable de tratamiento, [empresa, compañía], adoptará las medidas físicas, técnicas, legales, organizativas y administrativas necesarias para garantizar la seguridad de los datos personales y protegerlos contra el acceso no autorizado, alteración, divulgación o destrucción de la información.

x.6. Transferencia de Datos Personales

Caso 1: [Los datos personales serán trasferidos y comunicados únicamente para finalidades de almacenamiento y, en caso de ser necesario serán comunicados y transferidos a las autoridades competentes por obligación legal.]

Caso 2: [Para el siguiente tratamiento de datos personales no se realizarán transferencias ni comunicaciones de datos personales.]

En el caso de que los datos personales sean transferidos a terceros, dentro o fuera de Ecuador, se garantizará que dichos terceros ofrezcan un nivel adecuado de protección conforme a la normativa de protección de datos personales vigente y, en todo momento podrá consultar sobre estos ejerciendo su derecho de acceso e información.

x.7. Plazo de Conservación de los Datos

Los datos personales serán conservados únicamente durante el tiempo necesario para cumplir con las finalidades de tratamiento para las que fueron recabados y conforme a los plazos establecidos por la ley o por la necesidad del tratamiento.”

2 Modelo de cláusula entre responsable y encargado de tratamiento

“CLÁUSULA _.- Tratamiento de Datos Personales entre Responsable y Encargado del tratamiento:

Para el presente contrato se considerará a [nombre de la persona natural o jurídica] como responsable del tratamiento de datos personales y, a [nombre de la persona natural o jurídica] como encargado del tratamiento de datos personales. La presente cláusula no exime a las partes de suscribir un contrato de encargo de tratamiento de acuerdo con la Ley Orgánica de Protección de Datos Personales.

x.1. Finalidad del Tratamiento

El encargado del tratamiento se compromete a tratar los datos personales de conformidad con las finalidades previstas en [especificar el número de cláusula donde se identifica el objeto del contrato], siendo estas:

• [Enumerar las finalidades del tratamiento, como prestación de servicios, envío de

comunicaciones, procesamiento de pagos, etc.]

El encargado del tratamiento solo podrá tratar los datos personales para las finalidades mencionadas y no podrá utilizarlos para fines distintos a los expresamente autorizados por el responsable.

x.2. Responsabilidad del Responsable

El responsable del tratamiento declara y garantiza que los datos personales proporcionados al encargado de tratamiento han sido recabados de manera lícita y legítima de acuerdo con la normativa de datos personales vigente y, cuentan con el consentimiento del titular de los datos, cuando así lo exija la normativa. El responsable es el único que responderá ante los titulares de los datos por el cumplimiento de la ley y los derechos de estos.

Sus obligaciones de específicas se detallan conforme a la normativa vigente en el contrato de encargo de tratamiento.

x.3. Obligaciones del encargado de tratamiento

Las obligaciones específicas del encargado del tratamiento se detallan específicamente en el Contrato de encargo de tratamiento de acuerdo con la Ley Orgánica de Protección de Datos Personales y demás artículos correspondientes de su Reglamento.

Sin embargo, se recalcan las siguientes obligaciones en relación con tratamiento de los datos personales:

• Tratar los datos personales únicamente conforme a las instrucciones del responsable del

tratamiento y dentro del marco de la finalidad establecida en el presente Contrato.

• Adoptar las medidas físicas, técnicas, legales, administrativas y organizativas

necesarias para garantizar la seguridad de los datos personales y protegerlos en su integridad, disponibilidad y confidencialidad.

• No transferir los datos personales a terceros, salvo que se cuente con la autorización

previa y escrita del responsable o en caso de que lo exija la ley.

• Informar de inmediato al responsable en caso de que se detecte alguna vulneración de

seguridad que pueda comprometer los datos personales, a más tardar en el término de dos (2) días término desde que tuvo conocimiento de la vulneración de seguridad.

• Notificar e informar al responsable del tratamiento en el término de dos (2) días sobre

la solicitud de atención a derechos de protección de datos personales, así como la información pertinente a fin de garantizar la respuesta dentro del término establecido en la Ley.

• Permitir y contribuir con las auditorías o inspecciones que el responsable considere

necesarias para garantizar el cumplimiento de las obligaciones en materia de protección de datos. [Se podrá incluir intervalos razonables para la ejecución de auditorías en caso de considerarlo necesario].

En caso de que el encargado de tratamiento destine los datos personales para otras finalidades de tratamiento determinando este los fines y medios, se considerará, responsable del tratamiento en lo que respecta a dicho tratamiento.

x.4. Subcontratación del Tratamiento

El encargado del tratamiento no podrá subcontratar el tratamiento de los datos personales sin la autorización previa y por escrito del responsable del tratamiento. En caso de subcontratación, el encargado del tratamiento se compromete a asegurar que el subcontratista cumpla con las mismas obligaciones de protección de datos que tiene con el responsable del tratamiento, estableciendo un acuerdo que regule dicha subcontratación.

En caso de realizar subcontratación, el tercero asumirá las mismas obligaciones establecidas para el encargado de tratamiento establecidas en el contrato de encargo y las contempladas en la normativa de protección de datos personales vigente, es así que el subcontratado/subencargado de tratamiento deberá cumplir con las instrucciones de tratamiento de datos dadas por el responsable y encargado del tratamiento.

En caso de que el subencargado de tratamiento sufra una vulneración de seguridad a los datos personales, el encargado de tratamiento seguirá siendo plenamente responsable de la misma frente al responsable de tratamiento debiendo cumplir con la notificación de la vulneración dentro del término de dos (2) días al responsable.

x.5. Derecho de Repetición Contra el Encargado

Las partes reconocen que, conforme con lo establecido en la normativa aplicable en materia de protección de datos personales, el responsable del tratamiento asume la responsabilidad frente al titular de los datos por cualquier daño que se derive del tratamiento ilícito de los datos personales.

No obstante, cuando el incumplimiento de las obligaciones legales, contractuales o técnicas en materia de protección de datos sea atribuible al encargado del tratamiento, este deberá asumir la responsabilidad por los daños y perjuicios causados y mantener indemne al responsable por cualquier reclamación, sanción, multa, daño o gasto que se derive directa o indirectamente de dicho incumplimiento.

Asimismo, se acuerda expresamente que el responsable de tratamiento tendrá derecho a repetir contra el encargado de tratamiento por los importes que haya debido asumir frente a terceros (incluidos titulares, autoridades o tribunales) como consecuencia de actuaciones u omisiones imputables al encargado de tratamiento.

Ambas partes se comprometen a delimitar claramente sus respectivas obligaciones y responsabilidades mediante el correspondiente contrato de encargo del tratamiento.

x.6. Derechos de los Titulares de los Datos

El encargado de tratamiento se compromete a cooperar con el responsable de tratamiento para garantizar que los titulares de los datos puedan ejercer sus derechos. El encargado de tratamiento notificará al responsable del tratamiento cualquier solicitud que reciba directamente del titular de los datos, y deberá prestar su apoyo en el cumplimiento efectivo de la solicitud dentro del plazo de quince (15) días establecido en la Ley Orgánica de Protección de Datos Personales.

x.7. Devolución o Eliminación de los Datos

Al finalizar el tratamiento de los datos personales, el encargado del tratamiento deberá devolver todos los datos personales al responsable del tratamiento tanto los que ha tenido acceso para realizar el tratamiento como los que surjan como resultado del procesamiento de los mismos o, si así lo solicita este último, la eliminación segura de todos los datos personales tratados, de acuerdo con lo establecido en la normativa de protección de datos.

De manera excepcional el encargado de tratamiento podrá conservar los datos personales tratados con la finalidad de dar cumplimiento a una obligación legal, datos los cuales deberán mantenerse alojados en una base de datos distinta a la inicial y deberán estar bloqueados con todas las medidas de seguridad necesarias que garanticen la integridad, disponibilidad y confidencialidad de la información.

x.8. Plazo de Conservación

El encargado de tratamiento solo podrá conservar los datos personales durante el tiempo estrictamente necesario para cumplir con las finalidades del tratamiento y conforme a las instrucciones del responsable.

x.9. Confidencialidad

El encargado del tratamiento se compromete a mantener la confidencialidad sobre los datos personales tratados y a no divulgarlos a terceros sin la autorización expresa y por escrito del responsable del tratamiento, salvo que sea requerido por una obligación legal o por orden judicial. En este sentido, el encargado del tratamiento se compromete y garantiza que cuenta con convenios de confidencialidad o cláusulas de confidencialidad con todo su personal especialmente con quienes tienen acceso o que llegaren a conocer sobre los datos personales objeto de tratamiento. Asimismo, declara que cuenta con todas las medidas de seguridad necesarias para garantizar la seguridad de la información.”

3 Modelo de cláusula entre responsable y destinatario

“ CLÁUSULA __.- Tratamiento de Datos Personales:

x.1. Objeto del Tratamiento

El responsable del tratamiento, [nombre de la persona jurídica o natural], y el destinatario,

[nombre de la persona natural o jurídica que ha sido comunicada con datos personales], acuerdan que el destinatario recibirá datos personales por parte del responsable de tratamiento, los cuales destinará para sus propios fines con sus propios medios de tratamiento para sus propios intereses, sin que actúe como encargado del tratamiento del responsable. El destinatario es responsable del tratamiento de los datos personales una vez que los reciba.

x.2. Finalidad de Tratamiento

La transferencia o comunicación de datos personales tiene como finalidad [describir detalladamente el propósito].

x.3. Datos personales involucrados

Las categorías de datos personales objeto del presente contrato son las siguientes:

x.2.1. Básicos: [ej. Nombres, apellidos, correo electrónico]

x.2.2. Especiales: [ej. sensibles, de salud, de menores de edad, de personas con discapacidad, crediticios, de personas fallecidas: cuenta bancaria, número de cédula, etc.]

x.4. Responsabilidad del Responsable de Tratamiento Emisor

De acuerdo con la Ley Orgánica de Protección de Datos Personales el responsable del tratamiento declara que previo a la transferencia o comunicación de datos personales ha solicitado y cuenta con el consentimiento de todos los titulares de datos personales quienes han autorizado de manera libre y explicita que se realice la transferencia o comunicación de datos personales.

Asimismo, el responsable del tratamiento declara que cuenta con todas las medidas de seguridad de carácter físicas, organizativas, administrativas, jurídicas y técnicas para proteger la integridad, disponibilidad y confidencialidad de los datos personales en tránsito.

En este sentido, el responsable del tratamiento reconoce que será responsable de cualquier vulneración que puedan sufrir los datos personales mientras se encuentren siendo transferidos o comunicados.

x.5. Responsabilidad del Destinatario

El destinatario asume plena responsabilidad por los datos personales que reciba del responsable del tratamiento y, entiende que, al momento de recibir los datos se convierte de manera inmediata en responsable de tratamiento de datos personales y deberá cumplir con las normativas de protección de datos personales vigentes en Ecuador. Una vez recibida la información el destinatario se compromete a legitimar de acuerdo con lo establecido en la Ley Orgánica de Protección de Datos Personales cada uno de los tratamientos de datos personales que realice para cada una de sus finalidades específicas correspondientes.

El destinatario es responsable de:

• Garantizar la seguridad, confidencialidad e integridad de los datos personales recibidos.

• Cumplir con todas las obligaciones legales relacionadas con la protección de los

derechos de los titulares de los datos.

• Asumir la responsabilidad por cualquier uso no autorizado o indebido de los datos

personales que reciba.

x.6. Confidencialidad y Seguridad

El destinatario se compromete a mantener la confidencialidad de los datos personales y a adoptar las medidas físicas, jurídicas, técnicas, administrativas y organizativas de seguridad necesarias para protegerlos contra accesos no autorizados, alteraciones, pérdidas o destrucción.

x.7. Transferencia de Datos Personales

En caso de que el destinatario requiera transferir los datos personales a terceros (dentro o fuera de Ecuador), se compromete a cumplir con la legislación vigente y a garantizar que dichos terceros ofrezcan un nivel adecuado de protección de los datos personales. El destinatario deberá obtener la autorización previa de cada titular de datos personales.

x.8. Derechos de los Titulares de los Datos

El destinatario se compromete a respetar los derechos de los titulares de los datos personales, tales como el derecho de acceso, rectificación, supresión, oposición, a no ser objeto de decisiones parcialmente o automatizadas, y los demás derechos previstos en la Ley Orgánica de Protección de Datos Personales.

x.9. Duración del Tratamiento

Tanto el responsable como el destinatario son responsables de establecer el periodo de conservación de cada uno de los datos personales objeto de tratamiento y, de dar efectivo cumplimiento al principio de información en los términos establecidos en la normativa vigente de protección de datos personales de Ecuador.”

4 Modelo de cláusula responsables conjuntos

“ CLÁUSULA .- Protección de Datos Personales:

En cumplimiento con la normativa de protección de datos personales de Ecuador, ambas partes acuerdan lo siguiente con respecto al tratamiento de datos personales:

x.1. Partes

Las partes, [referente a las personas naturales o jurídicas, públicas o privadas quienes son comparecientes en el presente contrato], quienes serán responsables conjuntos del tratamiento de los datos personales que se traten para las finalidades detalladas en el punto dos de la presente cláusula. Ambas partes se comprometen a garantizar el cumplimiento de la normativa vigente en materia de protección de datos personales.

Las partes declaran y reconocen que son enteramente responsables de tratamiento de datos personales para cada una de las finalidades detalladas en el presente contrato, las cuales se han establecido de maneja conjunta con los medios del tratamiento de los datos personales que se emplearan para cumplir con las finalidades.

x.2. Finalidad del Tratamiento

El tratamiento de los datos personales será realizado con las siguientes finalidades:

• [Describir la finalidad específica, como "gestión administrativa", "evaluación de

servicios", "enviar comunicaciones comerciales", etc.].

Ambas partes garantizarán que el tratamiento se realizará únicamente para estas finalidades y no se destinará a otros fines sin contar con una base legitimadora adecuada y correspondiente a la nueva finalidad.

x.3. Obligaciones de las Partes

Las partes se comprometen a cumplir con las obligaciones establecidas en la LOPDP y demás normativas aplicables, garantizando, entre otras cosas:

1. La adopción de medidas de seguridad adecuadas para la protección de los datos

personales.

1. Suscripción de convenios de confidencialidad o cláusulas de confidencialidad con sus

trabajadores, colaboradores, proveedores para garantizar el buen manejo de los datos personales.

1. La garantía de que el tratamiento será realizado de manera lícita, legítima, transparente

y con fines específicos y explícitos.

1. El respeto a los derechos de los titulares de los datos, en los plazos y formas que la

normativa de protección de datos personales disponga.

x.4. Derechos de los Titulares de los Datos

Ambas partes se comprometen a garantizar que los titulares de los datos personales serán debidamente informados sobre el tratamiento de sus datos y podrán ejercer sus derechos conforme con lo dispuesto por la normativa aplicable. Las partes al ser responsables de tratamiento tienen pleno conocimiento que los titulares de datos personales podrán ejercer sus derechos ante cualquiera de las partes y, este deberá ser conocido por la otra parte, sin embargo, esta comunicación no puede ser un impedimento ni traba para el cumplimiento de la solicitud del titular dentro de los plazos previstos en la normativa correspondiente de protección de datos personales.

x.5. Responsabilidad y Garantías de Cumplimiento

Las partes acuerdan ser responsables del tratamiento de los datos personales y, por lo tanto, compartir la responsabilidad en el cumplimiento de las obligaciones relativas a la protección de datos. Ambas partes garantizarán que el tratamiento sea realizado conforme a las disposiciones legales y tomarán las medidas necesarias para cumplir con sus respectivas responsabilidades en materia de seguridad y protección de los datos personales.

x.6. Comunicación o Transferencia de Datos a Terceros

Las partes se comprometen a no ceder, transferir, comunicar ni compartir los datos personales con terceros, salvo que se cuente con el consentimiento expreso de los titulares de los datos o cuando sea requerido por la normativa aplicable. En caso de ser necesario compartir los datos con un tercero, ambas partes garantizarán que dicho tercero cumpla con las disposiciones de protección de datos personales.

x.7. Medidas de Seguridad

Ambas partes adoptarán las medidas de seguridad físicas, técnicas, jurídicas, administrativas y organizativas necesarias para proteger los datos personales en su disponibilidad, integridad y confidencialidad. Las partes deberán realizar evaluaciones periódicas para garantizar la eficacia de dichas medidas.

x.8. Notificación de Incidentes de Seguridad

En caso de que se produzca una vulneración de la seguridad de los datos personales, las partes se comprometen a notificar dicho incidente a la autoridad de datos personales y al titular de datos, en el caso que corresponda, dentro del plazo estipulado por la normativa aplicable. Acuerdan que se realizará una notificación en la cual comparezcan ambas partes como responsables conjuntos.

x.9. Duración del Tratamiento

Las partes acuerdan que se conservarán los datos personales accedidos y tratados por el tiempo mínimo necesario para cumplir con las finalidades específicas previamente detalladas. Una vez terminada la finalidad para la cual fueron recabados los datos personales las partes se comprometen a eliminar, bloquear, anonimizar estos según corresponda de acuerdo con lo establecido por la normativa de datos personales vigente.”

Artículo 1

La adopción de medidas de seguridad adecuadas para la protección de los datos

Este reglamento tiene por objeto establecer la obligatoriedad de incorporar cláusulas de protección de datos personales en las relaciones jurídico-contractuales que se generaren entre los diferentes actores del sistema, para así cumplir la LOPDP. Las cláusulas de protección de datos personales establecen el respeto al cumplimiento de los principios establecidos en la normativa de protección de datos vigente y a los derechos de los titulares de los datos, de conformidad con las disposiciones legales aplicables. En este sentido, la obligación de incorporar cláusulas de protección de datos personales forma parte del sistema de gestión de cumplimiento y análisis de riesgos, como soporte documental y medida de seguridad jurídica.

Artículo 2

Suscripción de convenios de confidencialidad o cláusulas de confidencialidad con sus

El reglamento es de cumplimiento obligatorio. No obstante, su Anexo I tiene un carácter meramente referencial o ejemplificativo, aplicable a los integrantes del sistema de protección de datos personales establecidos en el artículo 5 de la LOPDP.

Artículo 3

La garantía de que el tratamiento será realizado de manera lícita, legítima, transparente

Para los efectos de este reglamento, se entenderán como cláusulas de protección de datos personales a los textos contractuales sugeridos, no obligatorios —que no corresponden a las cláusulas tipo, estándar o modelo—, que sirven para estandarizar el contenido mínimo que deben tener las cláusulas en aquellos contratos que conlleven el procesamiento de datos personales, para garantizar el cumplimiento de la normativa de protección de datos, promover buenas prácticas y asegurar los derechos de los titulares de datos personales.

Artículo 4

El respeto a los derechos de los titulares de los datos, en los plazos y formas que la

Una cláusula de protección de datos personales no podrá caracterizarse, bajo ninguna consideración, por cualquiera de los siguientes defectos: 4.1. Ambigüedad o vaguedad: La cláusula de protección de datos personales, en cualquiera de los contratos que se incluyere y sin importar quiénes fueren las partes, debe ser clara y específica en cuanto al tratamiento de los datos, la finalidad y los derechos de los titulares. En consecuencia, no debe prestarse, bajo ningún respecto, para dudas o interpretaciones indeterminadas, vagas o confusas. 4.2. Finalidades no legítimas: La cláusula no debe permitir ni describir el tratamiento de los datos para fines que no fueren legítimos, lícitos, específicos y explícitos, conforme a la legislación de protección de datos. 4.3. Falta de bases de legitimación: En ningún caso se podrá establecer o estipular una cláusula que busque realizar tratamientos de datos personales que no cuenten con una base de legitimación, de acuerdo con lo establecido en la LOPDP. 4.4. Falta de transparencia: Una cláusula de protección de datos no debe omitir información importante, tales como la identidad del responsable del tratamiento o la del encargado del tratamiento, los derechos del titular de los datos, las finalidades de tratamiento, entre otras informaciones necesarias. 4.5. Omisión de la responsabilidad en la implementación de medidas de seguridad: La cláusula de protección de datos no debe excluir la responsabilidad que tienen las partes suscriptoras del contrato de contar con medidas de seguridad que deben implementarse para proteger los datos personales del acceso no autorizado o el tratamiento indebido. 4.6. Excesos en la recopilación de datos: La cláusula no debe permitir que se recaben o recojan datos en forma indiscriminada o que se traten más datos que los estrictamente necesarios para cumplir con la finalidad del tratamiento. 4.7. No respetar derechos de los titulares: La cláusula no debe impedir o limitar de manera indebida, por acción u omisión, los derechos de los titulares de los datos ni su cabal ejercicio. 4.8. Condiciones de transferencia o comunicación de datos sin control: La cláusula de protección de datos no debe permitir la transferencia o comunicación de los datos a terceros sin garantías adecuadas o sin informar previa, debida, suficiente y fehacientemente al titular de los datos. 4.9. Exenciones excesivas de responsabilidad: La cláusula de protección de datos no debe eximir ni liberar ni al responsable ni al encargado del tratamiento de las obligaciones establecidas en la normativa de protección de datos personales vigente. 4.10. Falta de plazo de conservación de los datos: La cláusula no debe omitir información sobre el período de retención de los datos personales, el cual debe ser limitado al tiempo necesario para cumplir con la finalidad del tratamiento. 4.11. Restricciones de derechos, tratamientos ilícitos y omisiones esenciales: Una cláusula de protección de datos no debe contener disposiciones que vulneren, restrinjan, limiten o soslayen los derechos de los titulares de datos personales ni que permitan el tratamiento ilegítimo, ilícito o que omitan detalles esenciales sobre el manejo de los datos. 4.12. Otros: Los demás que estableciere la normativa en protección de datos personales vigente.