RESOLUCIÓN Nº SPDP-SPD-2025-0031-R

# EL SUPERINTENDENTE DE PROTECCIÓN DE DATOS PERSONALES

Que el numeral 19 del artículo 66 de la Constitución de la República del Ecuador (“CRE”) les reconoce y garantiza a las personas el derecho “a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos o información requerirán la autorización del titular o el mandato de la ley” ;

Que el artículo 213 de la CRE establece que “[l]as superintendencias son organismos técnicos de vigilancia, auditoría, intervención y control de las actividades económicas, sociales y ambientales, y de los servicios que prestan las entidades públicas y privadas, con el propósito de que estas actividades y servicios se sujeten al ordenamiento jurídico y atiendan al interés general (…)” ; que forman parte de la Función de Transparencia y Control Social; y que, conforme lo dispone el artículo 204 idem, detentan “personalidad jurídica y autonomía administrativa, financiera, presupuestaria y organizativa (…)” ;

Que a través de la Ley Orgánica de Protección de Datos Personales (“LOPDP”) se creó la Superintendencia de Protección de Datos Personales (“SPDP”) como un órgano de control, con potestad sancionatoria, de administración desconcentrada, con personalidad jurídica y autonomía administrativa, técnica, operativa y financiera, cuyo máximo titular es, de acuerdo con el párrafo primero del artículo 76 ídem, el Superintendente de Protección de Datos Personales;

Que el artículo 76 de la LOPDP establece que “[l]a Autoridad de Protección de Datos Personales es el órgano de control y vigilancia encargado de garantizar a todos los ciudadanos la protección de sus datos personales, y de realizar todas las acciones necesarias para que se respeten los principios, derechos, garantías y procedimientos previstos en la [Ley Orgánica de Protección de Datos Personales]”;

Que el numeral 5 de ese mismo artículo 76 de la LOPDP le confiere a la SPDP funciones, atribuciones y facultades para “[e]mitir normativa general o técnica, criterios y demás actos que sean necesarios para el ejercicio de sus competencias y la garantía del ejercicio del derecho a la protección de datos personales” ;

Que el párrafo primero del artículo 2 de la LOPDP señala que su ámbito de aplicación material se constriñe “al tratamiento de datos personales contenidos en cualquier tipo de soporte, automatizados o no, así como a toda modalidad de uso posterior (...)” ;

Que, de conformidad con los numerales 1 y 2 de su artículo 3, la LOPDP es aplicable cuando “[e]l tratamiento de datos personales se realice en cualquier parte del territorio nacional” y, también, si “[e]l responsable o encargado del tratamiento de datos personales se [encuentra] domiciliado en cualquier parte del territorio nacional” ;

Que entre las obligaciones que deben cumplir los responsables y encargados del tratamiento de datos personales, consta la de “[a]plicar e implementar requisitos y herramientas administrativas, técnicas, físicas, organizativas y jurídicas apropiadas, a fin de garantizar y demostrar que el tratamiento de datos personales se ha realizado conforme a lo previsto en la presente Ley, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales, o normativa sobre la materia”, tal cual lo señala el numeral 2 del artículo 47 de la LOPDP;

Que el artículo 2 del Reglamento General de la Ley Orgánica de Protección de Datos Personales (“RGLOPDP”) establece que sus disposiciones son aplicables “a todas las personas

naturales y jurídicas, nacionales y extranjeras, del sector público y privado, que realicen tratamiento de datos personales, en el contexto de que sus actividades como responsable o encargado de tratamiento de datos personales, tenga lugar en el territorio ecuatoriano o no”; y, de igual manera, que también deben ser aplicadas para el “tratamiento de datos personales por parte de personas naturales y jurídicas, que actúen como responsables y encargados del tratamiento de datos personales de titulares no residentes en Ecuador, cuando sus actividades de tratamiento sean realizadas en territorio nacional (…)” ;

Que el artículo 12 del RGLOPDP señala que, “[p]ara efectivizar el ejercicio de los derechos establecidos en la Ley Orgánica de Protección de Datos Personales, el responsable habilitará, preferentemente, herramientas o canales informáticos simplificados de fácil acceso para el titular, con la finalidad de receptar y atender oportunamente las solicitudes o peticiones formuladas que permitan y garanticen una interacción segura, fiable y rápida entre el responsable y el titular, sin perjuicio de que también puedan ser presentadas por medios físicos” ;

Que el artículo 33 del RGLOPDP establece que “[e]l responsable del tratamiento deberá, tanto en el momento de la determinación de los medios para el tratamiento como en el momento mismo del procesamiento de datos personales, aplicar medidas apropiadas que sean adecuadas para la observancia efectiva de los principios de protección de datos, así como de los derechos reconocidos en la Ley”, para lo cual habrá de tener en cuenta “el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, las circunstancias y los fines del tratamiento, así como la probabilidad y la gravedad de los riesgos para los intereses de los titulares” ;

Que la duodécima definición del artículo 4 de la LOPDP describe al delegado de protección de datos personales como la “[p]ersona natural encargada de informar al responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la Autoridad de Protección de Datos Personales, sirviendo como punto de contacto entre esta y la entidad responsable del tratamiento de datos” ;

Que el primer párrafo del artículo 48 del RGLOPDP complementa la definición legal antedicha, en el sentido de señalar que el delegado de protección de datos personales “se encarga principalmente de asesorar, velar y supervisar, de manera independiente, el cumplimiento de las obligaciones legales imputables al responsable y al encargado del tratamiento de datos personales” ;

Que el número 5 del artículo 83 del RGLOPDP determina que al Superintendente de Protección de Datos Personales detenta, entre otras atribuciones, la de “[a]probar y expedir normas internas, resoluciones y manuales que sean necesarios para el buen funcionamiento de la Autoridad a su cargo (…)” ;

Que por medio de la resolución Nº SPDP-SPDP-2024-0001-R del 2 de agosto del 2024, publicada en el Tercer Suplemento del Registro Oficial Nº 624 del 19 de agosto del 2024, el Superintendente de Protección de Datos Personales aprobó el Estatuto Orgánico de Gestión Organizacional por Procesos de Arranque de la Superintendencia de Protección de Datos Personales;

Que mediante memorando N° SPDP-DPD-2025-001-M de 14 de julio del 2025 la Delegada de Protección de Datos Personales de la SPDP sugirió la conformación del Comité de Protección de Datos Personales de la SPDP;

Que por medio del memorando N° SPDP-SPD-2025-0105-M del 4 de agosto del 2025, el Superintendente de Protección de datos Personales solicitó a la Dirección de Asesoría Jurídica (“DAJ”) la elaboración de un informe de legalidad para la conformación del Comité de Protección de Datos Personales de la SPDP, así como la validación del proyecto de resolución;

Que a través del memorando N° SPDP-DAJ-2025-0068-M del 8 de agosto del 2025, la DAJ remitió el informe N° INF-SPDP-DAJ-2025-0033, a través del cual concluye, entre otras cosas que “[l]a conformación del Comité de Protección de Datos Personales de la SPDP es

jurídicamente viable y se enmarca dentro de la normativa vigente para el cumplimiento de las funciones institucionales, por lo que se valida el proyecto de resolución”; y, por ende, recomienda “[a]coger lo mencionado por la Delegada de protección de datos personales y conformar el Comité de Protección de Datos Personales, mediante acto administrativo suscrito por la máxima autoridad” ;

EN EJERCICIO de sus atribuciones constitucionales, legales y reglamentarias,

Disponer la conformación del Comité de Protección de Datos Personales de la Superintendencia de Protección de Datos Personales (“Comité”), que estará integrado por los siguientes funcionarios:

1. El Superintendente de Protección de Datos Personales o su delegado, quien lo presidirá;

2. El Intendente General de Control y Sanción o su delegado;

3. El Intendente General de Regulación de Protección de Datos Personales o su delegado;

4. El Intendente General de Innovación Tecnológica y Seguridad de Datos Personales o su

delegado;

5. El Director de Asesoría Jurídica o su delegado, quien hará las funciones de secretario;

6. El Director Administrativo Financiero o su delegado; y,

7. El responsable de la Unidad No Jerarquizada de Planificación y Gestión Estratégica o su

delegado.

El Delegado de Protección de Datos de la SPDP participará en las sesiones del Comité con voz pero sin voto, con la finalidad de brindar asesoramiento permanente, realizar las revisiones que correspondan y ejercer las competencias y atribuciones establecidas en la LOPDP, el RGLOPDP y la demás normativa aplicable.

Primera.- Si en el ejercicio de su designación algún servidor violentare, incumpliere o inobservare las normas vigentes aplicables o se apartare de las instrucciones que recibiere, será personal y directamente responsable por sus decisiones, acciones u omisiones con relación al cumplimiento de la delegación otorgada.

Segunda.- Los Intendentes Generales, Directores y Responsables, además de todos los servidores involucrados en el funcionamiento del Comité, serán los encargados de la ejecución de esta resolución.

Tercera.- El Comité, en un término no mayor a quince días contados a partir de la vigencia de esta resolución, elaborará su reglamento de funcionamiento y, posteriormente, fijará su agenda de trabajo.

DISPOSICIÓN FINAL

Esta resolución entrará en vigencia a partir de su suscripción, sin perjuicio de su publicación en el Registro Oficial.

Dada y firmada en Quito, D. M., el 12 de agosto del 2025.

``` Firmado electrónicamente por: FABRIZIO ROBERTO PERALTA DIAZ Validar únicamente con FirmaEC