# EL SUPERINTENDENTE DE PROTECCIÓN DE DATOS PERSONALES

CONSIDERANDO

Que el numeral 19 del artículo 66 de la Constitución de la República del Ecuador (“CRE”) les reconoce y garantiza a las personas el derecho “a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos o información requerirán la autorización del titular o el mandato de la ley” ;

Que el artículo 213 CRE establece que “[l]as superintendencias son organismos técnicos de vigilancia, auditoría, intervención y control de las actividades económicas, sociales y ambientales, y de los servicios que prestan las entidades públicas y privadas, con el propósito de que estas actividades y servicios se sujeten al ordenamiento jurídico y atiendan al interés general (…)” ; que forman parte de la Función de Transparencia y Control Social; y que, conforme lo dispone el artículo 204 idem, detentan “personalidad jurídica y autonomía administrativa, financiera, presupuestaria y organizativa (…)” ;

Que a través de la LOPDP se creó la Superintendencia de Protección de Datos Personales (“SPDP”) como un órgano de control, con potestad sancionatoria, de administración desconcentrada, con personalidad jurídica y autonomía administrativa, técnica, operativa y financiera, cuyo máximo titular es, de acuerdo con el inciso primero del artículo 76 ídem, el Superintendente de Protección de Datos Personales;

Que el artículo 76 de la LOPDP establece que “[l]a Autoridad de Protección de Datos Personales es el órgano de control y vigilancia encargado de garantizar a todos los ciudadanos la protección de sus datos personales, y de realizar todas las acciones necesarias para que se respeten los principios, derechos, garantías y procedimientos previstos en la [Ley Orgánica de Protección de Datos Personales]”;

Que los numerales 2 y 5 del artículo 76 de la LOPDP le atribuyen a la SPDP, entre otras funciones, atribuciones y facultades, la de “[e]jercer la potestad sancionadora respecto de responsables, delegados, encargados y terceros (…)”, así como la de “[e]mitir normativa general o técnica, criterios y demás actos que sean necesarios para el ejercicio de sus competencias y la garantía del ejercicio del derecho a la protección de datos personales” ;

Que los artículos 67 y 68 de la LOPDP tipifican las conductas que, respectivamente, son consideradas como infracciones leves e infracciones graves del responsable del tratamiento, de la misma manera que lo hacen los artículos 69 y 70, en su orden, respecto del encargado;

Que los artículos 71 y 72 de la LOPDP señalan cuáles son las sanciones por infracciones leves y por infracciones graves, respectivamente, aunque ¾tanto para las unas como para las otras¾ se determina que la SPDP deberá establecer las multas aplicables en función del principio de proporcionalidad, en atención a los siguientes presupuestos: (a) La intencionalidad; (b) La reiteración de la infracción; (c) La naturaleza del perjuicio ocasionado; y, (d) La reincidencia;

Que tratándose de servidores o funcionarios del sector público, las multas pueden oscilar entre uno a diez salarios básicos unificados del trabajador en general, en el caso de infracciones leves; y de diez a veinte salarios básicos unificados, cuando las infracciones son graves;

Que en el caso de responsables, encargados del tratamiento de datos personales o terceros que fueren entidades de derecho privado o empresas públicas, las multas por infracciones leves oscilan entre el 0.1% o el 0.7%; y, cuando son graves, pueden ubicarse entre el 0.7% y el 1%, en ambos casos calculadas sobre el volumen de negocio correspondiente al ejercicio inmediatamente anterior al de la imposición de la multa;

Que el artículo 73 de la LOPDP ha definido al volumen de negocio como “la cuantía resultante de la venta de productos y de la prestación de servicios realizados por operadores económicos, durante el último ejercicio que corresponda a sus actividades, previa deducción del Impuesto al Valor Agregado y de otros impuestos directamente relacionados con la operación económica (...)” ;

Que el artículo 135 del Código Orgánico Administrativo (“COA”) determina que “ (…) Le corresponde a la Administración Pública, la dirección del procedimiento administrativo en ejercicio de las competencias que se le atribuyan en el ordenamiento jurídico y en este Código (…)” ;

Que mediante resolución N° SPDP-SPDP-2024-0001-R del 2 de agosto del 2024, publicada en el Tercer Suplemento del Registro Oficial N° 624 del 19 de agosto del 2024, el Superintendente de Protección de Datos Personales aprobó el Estatuto Orgánico de Gestión Organizacional por Procesos de Arranque de la Superintendencia de Protección de Datos Personales;

Que la letra b), numeral 2 del artículo 10 de la resolución N° SPDP-SPDP-2024-0001-R establece que a la Intendencia General de Regulación de Protección de Datos Personales (“IRD”) le corresponde, entre otras atribuciones y responsabilidades, “[d]irigir y proponer la elaboración de las propuestas o proyectos normativos para crear, reformar o derogar los actos normativos, sean estos políticas, directrices, reglamentos, resoluciones, lineamientos, normas técnicas, oficios circulares, etcétera, necesarios para el ejercicio de todas las competencias y atribuciones propias de la Superintendencia de Protección de Datos Personales, con los previos informes técnicos de las unidades administrativas sustantivas y adjetivas relacionadas con el ámbito de aplicación de tales normas; así como, todos aquellos actos normativos relacionados con el ejercicio, tutela y procedimientos administrativos de gestión que garanticen a las personas naturales la plena vigencia de sus derechos y deberes previstos en dicha ley y su reglamento (…)” ;

Que la letra c), numeral 2 del artículo 10 de la resolución N° SPDP-SPDP-2024-0001-R, establece, entre las atribuciones y responsabilidades de la IRD, la de “[d]irigir y proponer la presentación al Superintendente de Protección de Datos Personales de las propuestas de normas, reglamentos, directrices, resoluciones, normas técnicas, oficios circulares, etcétera, vinculados con la regulación de protección de datos personales, para su expedición (…)” ;

Que a través de la letra a) del artículo 4 de la resolución N° SPDP-SPD-2025-0001-R del 31 de enero del 2025, publicada en el Registro Oficial N° 750 del 24 de febrero del 2025, mediante la cual se expidieron las disposiciones, delegaciones de facultades y atribuciones a las autoridades, funcionarios y servidores públicos de la SPDP, se le delegó al Intendente General Regulación de Protección de Datos Personales, entre otras, la responsabilidad de “[e]mitir normativa general o técnica, criterios y demás actos que sean necesarios para el ejercicio de sus competencias y la garantía del ejercicio del derecho a la protección de datos personales (…)” ;

Que la disposición transitoria del Reglamento para la Elaboración y Aprobación del Plan Regulatorio Institucional de la SPDP ¾expedido mediante resolución Nº SPDP-SPDP-20240018-R del 30 de octubre del 2024, publicada en el Segundo Suplemento del Registro Oficial Nº 679 del 8 de noviembre del 2024¾ establece que “(…) el PRI correspondiente a los años fiscales 2024 y 2025 no seguirá el procedimiento establecido en este reglamento y, por ende, se elaborará únicamente a base de los informes técnicos emitidos por las Unidades Administrativas correspondientes; validados por la IGRPDP; aprobados por el Superintendente

o su delegado; y, finalmente, publicado en los portales oficiales de la SPDP cuando estén habilitados” ;

Que mediante la resolución N° SPDP-SPD-2025-0002-R del 3 de febrero del 2025 se aprobó el Plan Regulatorio Institucional del año 2025, dentro del cual se ha establecido la necesidad de emitir el Reglamento para la Aplicación de la Metodología para el Cálculo de las Multas en el Régimen Administrativo Sancionatorio de la SPDP;

Que por medio del memorando N° SPDP-IRD-2025-0048-M, suscrito el 28 de marzo del 2025, la IRD puso en conocimiento de la Dirección de Asesoría Jurídica (“DAJ”) tanto el Reglamento para la Aplicación de la Metodología para el Cálculo de las Multas en el Régimen Administrativo Sancionatorio de la SPDP, como el informe técnico N° INF-SPDP-IRD-20250014, para que, dentro del término de diez días, realice las diligencias pertinentes de conformidad con lo dispuesto en la resolución N° SPDP-SPDP-2024-0022-R del 31 de diciembre del 2024, que contiene el Reglamento para la Creación, Modificación y Derogatoria de la Normativa de la Superintendencia de Protección de Datos Personales, publicado en el Registro Oficial N° 734 del 31 de enero del 2025;

Que mediante memorando N° SPDP-DAJ-2025-0031-M suscrito el 29 de marzo del 2025, la DAJ validó el proyecto de resolución y puso en conocimiento de la IRD el informe jurídico Nº INF-SPDP-DAJ-2025-0007, en el cual recomienda “(…) solicitar a quien corresponda la publicación a través de la página web institucional e informar su publicación a través de las redes sociales institucionales, con la finalidad de que la ciudadanía, las organizaciones de la sociedad civil o interesados en general, de manera motivada, puedan remitir sus observaciones

o realizar aportes respecto del contenido, para lo cual se debe indicar la forma para recibir dichas observaciones y aportes que será dentro de un término de veinte (20) días contados desde su publicación” ;

Que a través del memorando N° SPDP-IRD-2025-0050-M suscrito el 31 de marzo del 2025, la IRD solicitó a las unidades administrativas de la SPDP que procedan con las acciones pertinentes, a fin de que publiquen el Reglamento para la Aplicación de la Metodología para el Cálculo de las Multas en el Régimen Administrativo Sancionatorio de la Superintendencia de Protección de Datos Personales, en la página web institucional y en las redes sociales de la SPDP, para que el proyecto de normativa esté disponible para la ciudadanía, las organizaciones de la sociedad civil o los interesados en general desde el 1 al 29 de abril del 2025, con el objeto de poder recibir sus observaciones o aportes, siempre que estuvieren debidamente motivados;

Que, para cumplir con la resolución Nº SPDP-SPDP-2024-0022-R, se ejecutó el proceso de socialización del Reglamento para la Aplicación de la Metodología para el Cálculo de las Multas en el Régimen Administrativo Sancionatorio de la Superintendencia de Protección de Datos Personales, dentro del término de veinte días, de conformidad con el artículo 12 de dicha resolución;

Que a través del informe técnico Nº INF-SPDP-IRD-2025-0043, suscrito el 14 de julio del 2025, la IRD incorporó al informe técnico las observaciones y aportes que se consideraron relevantes y adecuados, previa justificación de las modificaciones realizadas al proyecto normativo;

Que mediante memorando Nº SPDP-IRD-2025-0122-M, suscrito el 14 de julio del 2025, la IRD remitió todo el expediente al suscrito Superintendente de Protección de Datos Personales para que realice las observaciones correspondientes o, en su caso, para que lo apruebe;

EN EJERCICIO de sus atribuciones constitucionales, legales y reglamentarias,

RESUELVE

EXPEDIR EL REGLAMENTO PARA LA APLICACIÓN DE LA METODOLOGÍA PARA EL CÁLCULO DE LAS MULTAS EN EL RÉGIMEN ADMINISTRATIVO SANCIONATORIO DE LA

SUPERINTENDENCIA DE PROTECCIÓN DE DATOS PERSONALES

multas aplicables a infracciones leves y graves establecidas en la Ley Orgánica de Protección de Datos Personales dentro del rango permitido, en ejercicio de la potestad sancionadora de la SPDP.

Anexo I en los procesos administrativos sancionadores. De igual manera, deberá entregar a la

SPDP en su calidad de autoridad competente, al momento de establecer la sanción pecuniaria aplicable dentro del régimen sancionatorio administrativo.

DISPOSICIÓN GENERAL

La Superintendencia de Protección de Datos Personales, en cualquier momento, podrá modificar la metodología con la finalidad de mejorar su aplicación, previo informe favorable de la Intendencia General de Regulación de Protección de Datos Personales.

DISPOSICIÓN TRANSITORIA

La Intendencia General de Innovación Tecnológica y Seguridad de Datos Personales, en el plazo de tres meses contados a partir de la publicación en el Registro Oficial de este reglamento, desarrollará e implementará el sistema informático institucional que permitirá la aplicación del

Intendencia General de Control y Sanción el Manual de Usuario Final y el Manual de Instalación, junto con el software correspondiente.

DISPOSICIÓN FINAL

Esta resolución entrará en vigencia a partir de su suscripción, sin perjuicio de su publicación en el Registro Oficial.

Dada y firmada en Quito, D. M., el 16 de julio del 2025.

``` Firmado electrónicamente por: FABRIZIO ROBERTO PERALTA DIAZ Validar únicamente con FirmaEC

Este reglamento tiene como objeto establecer la metodología para el cálculo de las multas aplicables a infracciones leves y graves establecidas en la Ley Orgánica de Protección de Datos Personales dentro del rango permitido, en ejercicio de la potestad sancionadora de la SPDP.

Este reglamento, con su Anexo I, son de aplicación obligatoria y para el uso de la SPDP en su calidad de autoridad competente, al momento de establecer la sanción pecuniaria aplicable dentro del régimen sancionatorio administrativo. DISPOSICIÓN GENERAL La Superintendencia de Protección de Datos Personales, en cualquier momento, podrá modificar la metodología con la finalidad de mejorar su aplicación, previo informe favorable de la Intendencia General de Regulación de Protección de Datos Personales. DISPOSICIÓN TRANSITORIA La Intendencia General de Innovación Tecnológica y Seguridad de Datos Personales, en el plazo de tres meses contados a partir de la publicación en el Registro Oficial de este reglamento, desarrollará e implementará el sistema informático institucional que permitirá la aplicación del

Anexo I en los procesos administrativos sancionadores. De igual manera, deberá entregar a la

Intendencia General de Control y Sanción el Manual de Usuario Final y el Manual de Instalación, junto con el software correspondiente. DISPOSICIÓN FINAL Esta resolución entrará en vigencia a partir de su suscripción, sin perjuicio de su publicación en el Registro Oficial. Dada y firmada en Quito, D. M., el 16 de julio del 2025. ``` Firmado electrónicamente por: FABRIZIO ROBERTO PERALTA DIAZ Validar únicamente con FirmaEC

Anexo I en los procesos administrativos sancionadores. De igual manera, deberá entregar a la

Intendencia General de Control y Sanción el Manual de Usuario Final y el Manual de Instalación, junto con el software correspondiente.

DISPOSICIÓN FINAL

Esta resolución entrará en vigencia a partir de su suscripción, sin perjuicio de su publicación en el Registro Oficial.

Dada y firmada en Quito, D. M., el 16 de julio del 2025.

``` Firmado electrónicamente por: FABRIZIO ROBERTO PERALTA DIAZ Validar únicamente con FirmaEC