RESOLUCIÓN Nº SPDP-SPD-2025-0034-R

Esta resolución tiene por objeto establecer el procedimiento técnico y metodológico para ejecutar la evaluación y la revisión de la LOPDP, con el propósito de determinar: 1.1. Nivel de cumplimiento; 1.2. Promoción del derecho; 1.3. Vulneraciones a la seguridad de datos personales; 1.4. Pertinencia respecto a la implementación por sectores; y, 1.5. Evaluación a los sujetos regulados.

Las disposiciones de esta resolución serán de aplicación obligatoria para la SPDP y, de manera específica, para las Intendencias Generales y la Unidad de Planificación y Gestión Estratégica (“UPGE”), con el objeto de que ejecuten el procedimiento de evaluación y revisión de la LOPDP de conformidad con sus respectivas competencias. Este procedimiento no generará efectos vinculantes ni impondrá obligaciones para los sujetos regulados.

El procedimiento de evaluación y revisión se regirá por los siguientes principios: 3.1. Eficacia: Determina el nivel de cumplimiento de los actores sujetos a regulación del sistema de protección de datos personales, para cumplir cabalmente con los principios, derechos y obligaciones establecidos en la LOPDP. 3.2. Eficiencia: Identifica el nivel de cumplimiento de los actores sujetos a regulación del sistema de protección de datos personales a través de la optimización de sus recursos internos y la minimización de cargas administrativas, técnicas y económicas, a fin de promover los derechos y libertades fundamentales de los titulares. 3.3. Integralidad: Aborda las dimensiones jurídica, tecnológica, operativa y económica de la LOPDP, así como su impacto en los diferentes sectores regulados que ejecutan tratamientos de datos personales. 3.4. Participación: Fomenta la inclusión de los actores del sistema de protección de datos personales, incluidas la academia y la sociedad civil, a fin de promover los derechos y libertades fundamentales de los titulares de los datos. 3.5. Transparencia: Garantiza el acceso a la información pública en relación con el procedimiento de evaluación y revisión de la LOPDP, así como a sus resultados, con sujeción a los principios y derechos de la materia en cuestión. 3.6. Legalidad: La evaluación y revisión de la norma se enmarcará en las competencias legalmente establecidas y respetará el principio de reserva legal en materia de derechos fundamentales. 3.7. Proporcionalidad: Se tomará en cuenta la viabilidad de la implementación de la norma en los distintos sectores y/o sujetos regulados, a fin de asegurar un marco normativo razonable y equilibrado.

La evaluación y revisión de la LOPDP se realizará anualmente, en el periodo comprendido entre desde el uno (1) de enero y el treinta y uno (31) de diciembre de cada año. Sin perjuicio de aquello, de oficio podrán realizarse evaluaciones temáticas cuando existieren elementos que justifiquen su pertinencia, tales como reformas a la LOPDP, sentencias con carácter de precedente jurisprudencial o avances tecnológicos significativos.

El Superintendente de Protección de Datos Personales —o su delegado— es la autoridad competente para aprobar, mediante el acto administrativo pertinente, el Informe de Evaluación y Revisión de la Ley Orgánica de Protección de Datos (“Informe”).

El Grupo Técnico de Evaluación y Revisión (“GTER”) es el órgano de carácter multidisciplinario que desarrollará el Informe, para cumplir con los principios en materia de protección de datos y las disposiciones de esta resolución. Las designaciones para la conformación de este grupo deberán efectuarse formalmente y publicarse, para efectos de transparencia institucional.

El GTER estará conformado por: 7.1. La Intendencia General de Regulación de Protección de Datos Personales (“IRD”), quien realizará la coordinación del grupo; 7.2. La Intendencia General de Innovación Tecnológica y Seguridad de Datos Personales (“IIT”); 7.3. La UPGE; y, 7.4. En calidad de observadores: 7.4.1. Los representantes de la academia; 7.4.2. Los representantes de las organizaciones de la sociedad civil; y, 7.4.3. Los expertos de organismos internacionales relevantes en protección de datos personales. Los observadores aludidos en los números 7.4.1., 7.4.2. y 7.4.3. serán los que determine la IRD y solo tendrán voz consultiva dentro del GTER.

La IRD, de conformidad con esta resolución, será la unidad administrativa competente de la SPDP para coordinar y dirigir el procedimiento de evaluación y revisión de la LOPDP.

De conformidad con la esta resolución, la UPGE será la unidad administrativa de la SPDP que actuará como secretaría técnica del GTER, brindando apoyo operativo y logístico para la elaboración, articulación y presentación del Informe.

El procedimiento de evaluación y revisión de la LOPDP se realizará de conformidad con el siguiente cronograma anual: 10.1. Del 1 de enero al 28 de febrero: Planificación y Diseño Metodológico. 10.2. Del 1 al 31 de marzo: Recopilación y Sistematización de la Información. 10.3. Del 1 de abril al 30 de junio: Análisis y Procesamiento de Datos. 10.4. Del 1 de julio al 31 de agosto: Elaboración del Informe de Evaluación y Revisión. 10.5. Del 1 de septiembre al 31 de octubre: Socialización y Validación. 10.6. Del 1 al 30 de noviembre: Presentación de Resultados. 10.7. Del 1 al 31 de diciembre: Seguimiento. Cuando existieren causas justificadas o imprevistos institucionales debidamente motivados, la SPDP podrá ajustar los plazos establecidos, siempre que se garantice el cumplimiento del procedimiento dentro del mismo año calendario. CAPÍTULO II

El GTER aprobará el Plan de Evaluación y Revisión, que constituye el mecanismo técnico institucional cuyo objeto consiste en determinar la forma en que se ejecutará la evaluación y revisión de la LOPDP, a través de los siguientes elementos: 11.1. Objetivos; 11.2. Cronograma; 11.3. Alcance; 11.4. Metodología; 11.5. Indicadores de evaluación específicos, medibles, relevantes y temporales (SMART), que permitan evaluar el cumplimiento, la pertinencia normativa y la eficacia de la LOPDP en sus dimensiones jurídica, institucional, tecnológica y ciudadana. Su definición y aplicación constarán en un anexo técnico del Informe; 11.6. Medios de recolección y análisis de información en relación con los sujetos regulados; 11.7. Preguntas de evaluación alineadas a los objetivos del plan; 11.8. Fuentes de información; 11.9. Matriz de evaluación de pertinencia normativa, que defina criterios e indicadores para analizar la alineación jurídica, adecuación tecnológica y aplicabilidad institucional de la LOPDP.

El diseño metodológico será desarrollado y elaborado por la UPGE, con la coordinación de la IRD y en articulación con el GTER, para lo cual se deberá detallar el enfoque de investigación, las técnicas de recolección, los tipos de información, así como el análisis de los datos. El diseño metodológico deberá contemplar el desarrollo de las líneas de base sectoriales, diferenciando las características propias de los sectores y/o sujetos regulados según el grado de digitalización, el volumen y la sensibilidad de datos tratados, los marcos normativos aplicables y los riesgos inherentes. Asimismo, se establecerán umbrales diferenciados de cumplimiento o madurez regulatoria; y, además, se podrá incluir la elaboración de informes técnicos sectoriales y/o sujetos regulados cuando ello se justifique por los hallazgos obtenidos.

El GTER, a través de la UPGE, levantará —por medio de encuestas, entrevistas a profundidad, grupos focales, documentación, análisis de bases de datos, peritajes técnicos y/o consultas a expertos nacionales e internacionales— la siguiente información: 13.1. Informes de gestión y ejecución de la SPDP (resoluciones, sanciones, reclamos atendidos); 13.2. Estudios sobre el nivel de conocimiento y ejercicio de los derechos por parte de los titulares de datos; 13.3. Análisis de la adopción de medidas de seguridad y buenas prácticas por parte de responsables y encargados del tratamiento; 13.4. Datos sobre incidentes de seguridad de datos y su gestión; 13.5. Evaluaciones del cumplimiento de principios por parte de entidades públicas y privadas; 13.6. Informes de auditoría relacionados con la protección de datos; y, 13.7. Análisis de las legislaciones y regulaciones internacionales. La información recopilada deberá seleccionarse a base de los criterios de confiabilidad, pertinencia y trazabilidad metodológica.

La IIT ejecutará la sistematización de la información levantada por el GTER. Para ello, empleará fuentes primarias y secundarias, incluidos normativa, registros institucionales, resoluciones administrativas, encuestas y entrevistas a actores relevantes. La información será clasificada, validada y normalizada en bases de datos estructuradas, de conformidad con los lineamientos metodológicos aprobados por el GTER. Cuando la sistematización implique el tratamiento de categorías especiales de datos personales y datos sensibles, se deberán aplicar medidas técnicas, organizativas y jurídicas adecuadas, incluida la evaluación de impacto, si ello correspondiere de acuerdo con la normativa vigente. Siempre que se ejecutare un tratamiento de datos personales de carácter sensible, aquel deberá realizarse de conformidad con los principios, derechos y medidas de seguridad establecidas en la materia de protección de datos personales.

El GTER analizará la información sistematizada a la luz de objetivos e indicadores definidos en el Plan de Evaluación y Revisión, para lo cual utilizará herramientas de análisis jurídico, técnico y/o de políticas públicas. El procesamiento de la data identificará los avances logrados en la garantía de los derechos, las mejores prácticas implementadas, las limitaciones normativas o de infraestructura, los desafíos en la aplicación de la LOPDP, los riesgos emergentes y las oportunidades de mejora. El análisis deberá sustentarse en criterios técnicos objetivos, verificables y metodológicamente trazables.

El contenido del documento mencionado deberá contener, como mínimo, lo siguiente: 16.1. Un resumen ejecutivo. 16.2. La descripción de la metodología empleada. 16.3. Los hallazgos principales, desagregados por dimensiones de análisis. 16.4. Las conclusiones, que reflejen la valoración del impacto y la eficacia de la LOPDP. 16.5. Las recomendaciones, sustentadas en los hallazgos del informe, que podrán referirse a: 16.5.1. La reforma de la LOPDP y/o su reglamento; 16.5.2. La adecuación o mejora de normativa secundaria, políticas públicas, o lineamientos institucionales; 16.5.3. Propuestas de desarrollo tecnológico o fortalecimiento de capacidades; y/o, 16.5.4. Propuestas de nuevos indicadores o mecanismos de seguimiento y evaluación, si se considerare pertinente. 16.6. Y un análisis de la pertinencia normativa de la LOPDP, que se desarrollará a través de una matriz de criterios técnicos e indicadores definidos metodológicamente. El informe, que deberá redactarse con rigor técnico, claridad y objetividad, estará disponible en distintos formatos y se publicará en el sitio web institucional.

La UPGE será el órgano responsable de la redacción de los documentos técnicos del proceso de evaluación y revisión, especialmente del Informe, bajo la coordinación técnica del GTER y la supervisión de la IRD. El informe preliminar deberá cumplir con los parámetros metodológicos aprobados y será remitido al GTER para su revisión. El GTER contará con un término de diez (10) días para revisar la coherencia de la información, la pertinencia de las conclusiones y el cumplimiento de la normativa aplicable. En caso de inconsistencias, podrá solicitar a la UPGE que incorpore las observaciones. Una vez recibido el informe con las observaciones, la UPGE tendrá un término de cinco (5) días para incorporar los ajustes y remitir la versión corregida a la IRD. La IRD contará con un término de quince (15) días para verificar el cumplimiento de los criterios técnicos y aprobar el informe. Aprobado el documento, la IRD notificará a la unidad correspondiente para su publicación institucional a través de las plataformas digitales de la SPDP.

El borrador del informe será sometido a un proceso de socialización, que deberá ejecutarse del 1 al 30 de septiembre de cada año. La socialización deberá incluir, al menos, un canal público de participación digital, habilitado para recibir aportes durante el plazo señalado. Adicionalmente, la IRD podrá convocar a reuniones técnicas públicas, siempre y cuando lo considere pertinente, como un mecanismo de carácter complementario. Los aportes recibidos deberán ser sistematizados y podrán ser considerados por el GTER en los casos que fueren pertinentes para la elaboración del Informe final.

Las observaciones y/o los aportes que fuese recibidos serán organizados y sistematizados por la UPGE, para que los notifique a la IRD para su debida aprobación en el término de diez (10) días; término que discurrirá desde la culminación del proceso de socialización. Para ello, la IRD deberá emitir las instrucciones que correspondan en relación con las observaciones y/o los aportes sistematizados que serán acogidos dentro del Informe, sustentando técnica y objetivamente su acogida, lo cual será notificado a la UPGE para que, dentro del término de diez (10) días, los incorpore en el borrador de Informe. Recibidas las instrucciones antes señaladas, la UPGE deberá incorporar al Informe las observaciones y/o los aportes que la IRD hubiese considerado pertinentes; y, luego, notificará su cumplimiento a dicha unidad administrativa. Estas actividades deberán ejecutarse dentro del término de diez (10) días. Finalmente, recibido el Informe, la IRD deberá notificarlo dentro del término de cinco (5) días al Superintendente de Protección de Datos Personales para su debida aprobación.

Previo a expedirse el Informe, se ejecutará el siguiente proceso: 20.1. De la notificación: Culminada la fase de Socialización y Validación, la IRD deberá notificarle al Superintendente de Protección de Datos Personales el Informe hasta el 30 de noviembre. 20.2. De la revisión final: Una vez que el Superintendente de Protección de Datos Personales hubiese recibido el Informe, dispondrá de un término de diez (10) días para solicitar que se realicen las modificaciones pertinentes. 20.3. De las modificaciones: A partir de la notificación realizada por el Superintendente de Protección de Datos Personales para que se ejecuten las modificaciones solicitadas, la UPGE dispondrá de un término de tres (3) días para realizarlas y remitir el Informe a la IRD para su revisión. La IRD tendrá un término de cinco (5) días para realizar la revisión de las modificaciones solicitadas, así como para remitir el Informe al Superintendente de Protección de Datos Personales para su debida aprobación. 20.4. De la aprobación: Notificado el Informe a la máxima autoridad, esta última dispondrá de un término de cinco (5) días para aprobarlo, así como para solicitarle, a la competente unidad administrativa de la SPDP, que se lo publique en las plataformas oficiales institucionales. Una vez aprobado el Informe, se lo podrá utilizar como un insumo técnico para orientar decisiones regulatorias futuras, incluidas reformas normativas, planificación institucional y la formulación de políticas públicas en materia de protección de datos personales.

De forma permanente, la UPGE realizará el monitoreo y seguimiento de la ejecución de las recomendaciones derivadas del proceso de revisión y evaluación de la LOPDP, cuyos resultados, en lo tocante a los avances logrados y los obstáculos enfrentados, serán informados al Superintendente de Protección de Datos Personales y a la ciudadanía hasta el 31 de diciembre de cada año. Dicha información deberá constar en un informe de conocimiento público, que detalle las acciones adoptadas, las acciones pendientes y las barreras identificadas; informe que deberá publicarse a través de las plataformas institucionales.

La SPDP deberá asignar los recursos necesarios del Plan Operativo Anual para el cumplimiento de las responsabilidades derivadas de esta resolución. Dichos recursos deberán ser suficientes, proporcionales y oportunamente ejecutables, e incluirán personal técnico especializado, herramientas informáticas, así como recursos logísticos y financieros, de acuerdo con los requerimientos del procedimiento.

• Tanto esta resolución como el Informe de Evaluación y Revisión de la LOPDP y

sus anexos técnicos, serán publicados en la plataforma digital institucional de la SPDP con el objeto de posibilitar su libre acceso y difusión. Dicha publicación deberá realizarse en el término de quince (15) días posteriores a su aprobación y mantenerse de forma permanente y accesible en formatos abiertos, que faciliten su consulta y reutilización por parte de los diferentes actores. DISPOSICIÓN GENERAL La UPGE deberá elaborar la Guía Metodológica, así como el Procedimiento de Monitoreo y Seguimiento del Informe de Evaluación y Revisión de la LOPDP, en el plazo de tres meses contados a partir de la publicación de esta resolución en el Registro Oficial. Dichos instrumentos podrán ser considerados para el desarrollo y elaboración del Informe de Evaluación y Revisión de los ejercicios fiscales 2024, 2025 y 2026.