RESOLUCIÓN Nº SPDP-SPDP-2024-0019-R

EL SUPERINTENDENTE DE PROTECCIÓN DE DATOS PERSONALES

Que el numeral 19 del artículo 66 de la Constitución de la República del Ecuador les garantiza y reconoce a las personas el derecho “la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección (…)” ;

Que el artículo 1 de la Ley Orgánica de Protección de Datos Personales (“LOPDP”) declara como su objetivo y finalidad “garantizar el ejercicio del derecho de protección de datos personales, que incluye el acceso y decisión sobre información y datos de ese carácter, así́ como su correspondiente protección (…)” ;

Que a través de la LOPDP se creó la Superintendencia de Protección de Datos Personales (“SPDP”) como un órgano de control, con potestad sancionatoria, de administración desconcentrada, con personalidad jurídica y autonomía administrativa, técnica, operativa y financiera, cuyo máximo titular es, de acuerdo con el inciso primero del artículo 76 ídem, el Superintendente de Protección de Datos Personales;

Que el artículo 3 LOPDP define al responsable de tratamiento como aquella “(…) persona natural o jurídica, pública o privada, autoridad pública, u otro organismo, que solo o conjuntamente con otros decide sobre la finalidad y el tratamiento de datos personales. (…)” ;

Que la SPDP —al decidir sobre los fines y los tratamientos de datos personales y hallarse constituida como una persona jurídica pública— es, por ende, responsable de aquellos datos que tuviere que tratar para el ejercicio de las competencias que la ley le atribuye;

Que el artículo 12 LOPDP insta al responsable del tratamiento de datos personales a garantizar el derecho a la información de conformidad con los principios de lealtad y transparencia en favor del titular de datos personales;

Que en virtud de lo dispuesto en el numeral 4 del artículo 47 LOPDP, el responsable del tratamiento de datos personales está obligado, entre otros aspectos, a “[i]mplementar políticas de protección de datos personales afines al tratamiento de datos personales en cada caso en particular (…)” ;

Que el artículo 33 del Reglamento General de la LOPDP (“RGLOPDP”) le asigna al responsable del tratamiento la obligación de “aplicar medidas apropiadas que sean adecuadas para la observancia efectiva de los principios de protección de datos, así como de los derechos reconocidos en la Ley”; obligación que deberá observarla “tanto en el momento de la determinación de los medios para el tratamiento como en el momento mismo del procesamiento de datos personales”, para lo cual habrá de tener en cuenta “el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, las circunstancias y los fines del tratamiento, así como la probabilidad y la gravedad de los riesgos para los intereses de los titulares” ;

Que el artículo 58 RGLOPDP señala, como otra obligación del responsable del tratamiento, la de “aplicar medidas técnicas, jurídicas, administrativas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento de datos que realiza es conforme con la normativa” ;

Que mediante resolución Nº SPDP-SPDP-2024-0001-R, publicada en el Tercer Suplemento del Registro Oficial Nº 624 del 19 de agosto del 2024, el suscrito Superintendente de Protección de Datos Personales aprobó el Estatuto Orgánico de Gestión Organizacional por Procesos de Arranque de la Superintendencia de Protección de Datos

Personales;

Que el literal b) del numeral 2 del artículo 10 de la resolución Nº SPDP-SPDP-20240001-R, faculta a la Intendencia General de Innovación Tecnológica y Seguridad de Datos Personales (“IGITS”) para “[p]roponer y supervisar la implementación de política, lineamientos y mejores prácticas en materia de seguridad de la información y protección de datos personales, en concordancia con los estándares nacionales e internacionales (…)” ;

Que la IGITS, mediante informe técnico Nº SPDP-IGITS-2024-001-I suscrito el 20 de noviembre del 2024, evidenció la necesidad de emitir la Política de Privacidad y Protección de Datos Personales de la SPDP, para lo cual solicitó, al Superintendente de Protección de Datos Personales, la debida aprobación con el objeto de dar cumplimiento a la LODPD, el RGLOPDP y la normativa aplicable en la materia.

Que la Intendencia General de Regulación de Protección de Datos Personales, en atención al informe técnico Nº SPDP-IGITS-2024-001-I, emitió el informe técnico Nº SPDP-IGRPD2024-002-I que contiene el análisis de la procedencia del proyecto presentado por la IGITS; y, por lo tanto, recomendó la aprobación de la Política de Privacidad y Protección de Datos Personales de la SPDP de conformidad con el artículo 12 y el numeral 4 del artículo 47 de la LOPDP; el artículo 33 y el artículo 58 del RGLOPDP; y el literal b) numeral 2 del artículo 10 de la resolución Nº SPDP-SPDP-2024-0001-R, con el objetivo de garantizar el adecuado ejercicio de los derechos de protección de datos personales de la ciudadanía;

EN EJERCICIO de sus atribuciones constitucionales, legales y reglamentarias;

Aprobar los lineamientos y directrices de la Política de Privacidad y Protección de Datos Personales de la Superintendencia de Protección de Datos Personales del Ecuador, que consta como Anexo 1 de esta misma resolución, así como su publicación en los canales oficiales de la institución, a fin de garantizar el derecho a la información establecido en el artículo 12 LODPD.

Primera.- Disponer la implementación de la Política de Protección de Datos Personales de la SPDP en sus canales digitales oficiales que estuvieren habilitados, de conformidad con la resolución Nº SPDP-SPDP-2024-0011-R.

Segunda.- Divulgar a todas las áreas administrativas competentes el contenido de la Política de Protección de Datos Personales de la SPDP.

DISPOSICIÓN FINAL

Esta resolución entrará en vigor a partir de su suscripción, sin perjuicio de su publicación en el Registro Oficial.

Dada y firmada en Quito, Distrito Metropolitano, el 9 de diciembre del 2024.

``` Firmado electrónicamente por: FABRIZIO ROBERTO PERALTA DIAZ

```

FABRIZIO PERALTA-DÍAZ SUPERINTENDENTE DE PROTECCIÓN DE DATOS PERSONALES

**ANEXO 1**

POLÍTICA PRIVACIDAD Y PROTECCIÓN DE DATOS PERSONALES DE LA

SUPERINTENDENCIA DE PROTECCIÓN DE DATOS PERSONALES

POLÍTICA PRIVACIDAD Y PROTECCIÓN DE DATOS PERSONALES DE LA

SUPERINTENDENCIA DE PROTECCIÓN DE DATOS PERSONALES