# EL SUPERINTENDENTE DE PROTECCIÓN DE DATOS PERSONALES
Que el numeral 19 del artículo 66 de la Constitución de la República del Ecuador (“CRE”) les garantiza y reconoce a las personas “[e]l derecho a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección (…)” ;
Que por virtud del artículo 4 de la Declaración N° 897 de la Comunidad Andina de Naciones, “[s]e reconoce y garantiza el derecho que tienen todos los usuarios de la Comunidad Andina al debido tratamiento de sus datos personales y a la titularidad sobre los mismos, así como el derecho de acceso, uso, rectificación, eliminación, cancelación, oposición, limitación al tratamiento o circulación de estos y a la portabilidad de su información (…)” ;
Que los Estándares de Protección de Datos Personales para los Estados Iberoamericanos, aprobados por la Red Iberoamericana de Protección de Datos (“RIPD”), expedidos en el 2017, promueven la adopción de principios tales como la responsabilidad proactiva, la evaluación previa de los riesgos, la proporcionalidad del tratamiento y la revisión periódica de las medidas adoptadas; principios que son plenamente aplicables a los tratamientos basados en el interés legítimo y observados por la Superintendencia de Protección de Datos Personales (“SPDP”), admitida como miembro de pleno derecho de la RIPD a partir del 3 de junio del 2024;
Que el artículo 213 de la CRE establece que “[l]as superintendencias son organismos técnicos de vigilancia, auditoría, intervención y control de las actividades económicas, sociales y ambientales, y de los servicios que prestan las entidades públicas y privadas, con el propósito de que estas actividades y servicios se sujeten al ordenamiento jurídico y atiendan al interés general (…)”; que forman parte de la Función de Transparencia y Control Social; y que, conforme lo dispone el artículo 204 idem, detentan “personalidad jurídica y autonomía administrativa, financiera, presupuestaria y organizativa (…)” ;
Que a través de la Ley Orgánica de Protección de Datos Personales (“LOPDP”) se creó la SPDP como un órgano de control, con potestad sancionatoria, de administración desconcentrada, con personalidad jurídica y autonomía administrativa, técnica, operativa y financiera, cuyo máximo titular es, de acuerdo con el inciso primero del artículo 76 ídem, el Superintendente de Protección de Datos Personales;
Que el artículo 1 de la LOPDP tiene por objetivo y finalidad “(…) garantizar el ejercicio del derecho de protección de datos personales, que incluye el acceso y decisión sobre información y datos de ese carácter, así como su correspondiente protección (…)” ;
Que el numeral 8 del artículo 7 de la LOPDP considera como lícito y legítimo aquel tratamiento que se lleva a cabo “[p]ara satisfacer un interés legítimo del responsable de tratamiento o de tercero, siempre que no prevalezca el interés o derechos fundamentales de los titulares al amparo de lo dispuesto en esta norma” ;
Que, a su vez, el artículo 9 de la LOPDP señala que el tratamiento que se basa en el interés legítimo está sujeto a las siguientes condiciones: “a) Únicamente podrán ser tratados los datos que sean estrictamente necesarios para la realización de la finalidad; b) El responsable debe garantizar que el tratamiento sea transparente para el titular; c) La [Superintendencia de Protección de Datos Personales] puede requerir al responsable un informe con (sic) de riesgo para la protección de datos en el cual se verificará si no hay amenazas concretas a las expectativas legítimas de los titulares y a sus derechos fundamentales” ;
Que el numeral 3 del artículo 16 de la LOPDP le confiere al titular el derecho a oponerse o negarse al tratamiento de sus datos, entre otros casos, “[c]uando no sea necesario su
consentimiento para el tratamiento como consecuencia de la concurrencia de un interés legítimo, (…)y se justifique en una situación concreta personal del titular, siempre que una ley no disponga lo contrario” ;
Que el artículo 76 de la LOPDP establece que “[l]a Autoridad de Protección de Datos Personales es el órgano de control y vigilancia encargado de garantizar a todos los ciudadanos la protección de sus datos personales, y de realizar todas las acciones necesarias para que se respeten los principios, derechos, garantías y procedimientos previstos en la [Ley Orgánica de Protección de Datos Personales]”;
Que el numeral 5 de ese mismo artículo 76 de la LOPDP le confiere a la SPDP funciones, atribuciones y facultades para “[e]mitir normativa general o técnica, criterios y demás actos que sean necesarios para el ejercicio de sus competencias y la garantía del ejercicio del derecho a la protección de datos personales” ;
Que el numeral 3 del artículo 7 del Reglamento General de la Ley Orgánica de Protección de Datos Personales (“RGLOPDP”), establece que, en caso de invocarse el interés legítimo como base de legitimación, “se aplicará la regla de ponderación, siempre que no prevalezcan los intereses o derechos y libertades del titular” ;
Que, en los términos de la misma citada norma, la ponderación antedicha “(…) se realizará a través de una evaluación meticulosa que atienda los siguientes factores: a. Evaluación del interés legítimo del responsable del tratamiento o del tercero interesado que deberá ser necesario y proporcionado; b. Impacto sobre los titulares que mida las consecuencias reales o potenciales derivadas del tratamiento; c. Equilibrio provisional, que contemple las medidas adoptadas por el responsable del tratamiento para cumplir sus obligaciones en términos de proporcionalidad y transparencia: y, d. Garantías adicionales aplicadas por el responsable del tratamiento para impedir cualquier impacto indebido sobre los titulares (…)” ;
Que el artículo 135 del Código Orgánico Administrativo (“COA”) determina que “[l]e corresponde a la Administración Pública, la dirección del procedimiento administrativo en ejercicio de las competencias que se le atribuyan en el ordenamiento jurídico y en este Código (…)” ;
Que mediante resolución N° SPDP-SPDP-2024-0001-R del 2 de agosto del 2024, publicada en el Tercer Suplemento del Registro Oficial N° 624 del 19 de agosto del 2024, el Superintendente de Protección de Datos Personales aprobó el Estatuto Orgánico de Gestión Organizacional por Procesos de Arranque de la Superintendencia de Protección de Datos Personales, reformada mediante resolución N° SPDP-IRD-2025-0028-R, a su vez expedida el 30 de julio del 2025 y publicada en el Registro Oficial N° 105 del 19 de agosto del 2025;
Que el artículo 1 de la misma resolución Nº SPDP-SPDP-2024-0001-R, en su Anexo 1, ha previsto que “[l]a Superintendencia de Protección de Datos Personales se alinea con su misión y define su Estructura Organizacional sustentada en su base normativa y su direccionamiento estratégico institucional, los cuales serán determinados en su Planificación Estratégica Institucional, Modelo de Gestión institucional y Matriz de Competencias (…)” ;
Que la letra b), numeral 2 del artículo 10 de la resolución N° SPDP-SPDP-2024-0001-R establece que a la Intendencia General de Regulación de Protección de Datos Personales (“IRD”) le corresponde, entre otras atribuciones y responsabilidades, “[d]irigir y proponer la elaboración de las propuestas o proyectos normativos para crear, reformar o derogar los actos normativos, sean estos políticas, directrices, reglamentos, resoluciones, lineamientos, normas técnicas, oficios circulares, etcétera, necesarios para el ejercicio de todas las competencias y atribuciones propias de la Superintendencia de Protección de Datos Personales, con los previos informes técnicos de las unidades administrativas sustantivas y adjetivas relacionadas con el ámbito de aplicación de tales normas; así como, todos aquellos actos normativos relacionados con el ejercicio, tutela y procedimientos administrativos de gestión que garanticen a las
personas naturales la plena vigencia de sus derechos y deberes previstos en dicha ley y su reglamento (…)” ;
Que la letra c), numeral 2 del artículo 10 de la resolución N° SPDP-SPDP-2024-0001-R, establece, entre las atribuciones y responsabilidades de la IRD, la de “[d]irigir y proponer la presentación al Superintendente de Protección de Datos Personales de las propuestas de normas, reglamentos, directrices, resoluciones, normas técnicas, oficios circulares, etcétera, vinculados con la regulación de protección de datos personales, para su expedición (…)” ;
Que a través de la letra a) del artículo 4 de la resolución N° SPDP-SPD-2025-0001-R del 31 de enero del 2025, publicada en el Registro Oficial N° 750 del 24 de febrero del 2025, mediante la cual se expidieron las disposiciones, delegaciones de facultades y atribuciones a las autoridades, funcionarios y servidores públicos de la SPDP, se le delegó al Intendente General Regulación de Protección de Datos Personales, entre otras, la responsabilidad de “[e]mitir normativa general o técnica, criterios y demás actos que sean necesarios para el ejercicio de sus competencias y la garantía del ejercicio del derecho a la protección de datos personales (…)” ;
Que la disposición transitoria del Reglamento para la Elaboración y Aprobación del Plan Regulatorio Institucional de la SPDP —expedido mediante resolución Nº SPDP-SPDP-20240018-R del 30 de octubre del 2024, publicada en el Segundo Suplemento del Registro Oficial Nº 679 del 8 de noviembre del 2024— establece que “(…) el PRI correspondiente a los años fiscales 2024 y 2025 no seguirá el procedimiento establecido en este reglamento y, por ende, se elaborará únicamente a base de los informes técnicos emitidos por las Unidades Administrativas correspondientes; validados por la [IRD] ; aprobados por el Superintendente o su delegado; y, finalmente, publicado en los portales oficiales de la SPDP cuando estén habilitados” ;
Que mediante la resolución N° SPDP-SPD-2025-0002-R del 3 de febrero del 2025 se aprobó el Plan Regulatorio Institucional del año 2025, dentro del cual se ha establecido la necesidad de expedir la normativa para regular la aplicación y uso del interés legítimo como base legitimadora y, de esta manera, guiar a los administrados respecto de su uso correcto;
Que la IRD, mediante informe técnico Nº INF-SPDP-IRD-2025-0067 suscrito el 26 de agosto del 2025, justificó la pertinencia y la necesidad de emitir el Reglamento para la aplicación del interés legítimo como base de legitimación para el tratamiento de datos personales dentro del territorio de la República del Ecuador, así como el proyecto de resolución que lo contiene para que se lo publique;
Que mediante memorando N° SPDP-IRD-2025-0161-M suscrito el 26 de agosto del 2025, la IRD puso en conocimiento de la Dirección de Asesoría Jurídica (“DAJ”) el proyecto normativo denominado Reglamento para la aplicación del interés legítimo como base de legitimación para el tratamiento de datos personales dentro del territorio de la República del Ecuador, así como el informe técnico N° INF-SPDP-IRD-2025-0067, para que, en el término de diez (10) días y de acuerdo con la resolución N° SPDP-SPDP-2024-0022-R, se emita el informe en el que se constate que tal proyecto cumple con el principio de legalidad; que no vulnera ni contradice las normas matrices; y que coadyuva al cumplimiento de los objetivos de la SPDP;
Que mediante memorando N° SPDP-DAJ-2025-0072-M suscrito el 27 de agosto del 2025, la DAJ puso en conocimiento de la IRD el informe técnico N° INF-SPDP-DAJ-2025-0039, así como la validación legal del proyecto de resolución que servirá para expedir el Reglamento para la aplicación del interés legítimo como base de legitimación para el tratamiento de datos personales dentro del territorio de la República del Ecuador;
Que en el referido informe técnico N° INF-SPDP-DAJ-2025-0039, también suscrito el 27 de agosto del 2025, la DAJ determinó, en su parte pertinente, que el proyecto normativo
denominado Reglamento para la aplicación del interés legítimo como base de legitimación para el tratamiento de datos personales dentro del territorio de la República del Ecuador, es congruente con los principios establecidos en la LOPDP, ya que se orienta a garantizar que el tratamiento de datos personales cumpla con las disposiciones legales y se adopten prácticas adecuadas en su manejo, por lo que recomendó que “ [l]a IRD [disponga] a quien corresponda la publicación a través de la página web institucional e informar su publicación a través de las redes sociales institucionales, con la finalidad de que la ciudadanía, las organizaciones de la sociedad civil o interesados en general, de manera motivada, puedan remitir sus observaciones
o realizar aportes respecto del contenido, para lo cual se debe indicar la forma para recibir dichas observaciones y aportes que será dentro de un término de veinte (20) días contados desde su publicación” ;
Que mediante memorando N° SPDP-IRD-2025-0162-M suscrito el 27 de agosto del 2025, la IRD solicitó a las unidades administrativas de la SPDP que procedan con las acciones pertinentes, a fin de que publiquen el proyecto de Reglamento para la aplicación del interés legítimo como base de legitimación para el tratamiento de datos personales dentro del territorio de la República del Ecuador en la página web institucional, para que tal proyecto esté disponible para la ciudadanía, las organizaciones de la sociedad civil o interesados desde el 27 de agosto hasta el 24 de septiembre del 2025, inclusive, y así recibir sus observaciones o aportes, siempre que estuvieren debidamente motivados;
Que para cumplir con el artículo 12 de la resolución Nº SPDP-SPDP-2024-0022-R, se ejecutó el proceso de socialización del proyecto normativo durante el término de veinte (20) días; y, hecho lo anterior, a tal proyecto se le dio de baja el 25 de septiembre del 2025 de la página web institucional;
Que, como resultado del proceso descrito previamente, se redefinió la denominación del proyecto como Normativa general para la aplicación del interés legítimo como base de legitimación para el tratamiento de datos personales dentro del territorio de la República del Ecuador;
Que a través del técnico Nº INF-SPDP-IRD-2025-0091 del 24 de octubre del 2025, la IRD incorporó al informe técnico las observaciones y los aportes que se consideraron relevantes y adecuados, previa justificación de las modificaciones realizadas al proyecto normativo;
Que mediante memorando N° SPDP-IRD-2025-0210-M suscrito el 24 de octubre del 2025, la IRD remitió todo el expediente al suscrito Superintendente de Protección de Datos Personales para que realice en observaciones correspondientes o, en su caso, para que lo apruebe;
EN EJERCICIO de sus atribuciones constitucionales, legales y reglamentarias,
EXPEDIR LA NORMATIVA GENERAL PARA LA APLICACIÓN DEL INTERÉS LEGÍTIMO
COMO BASE DE LEGITIMACIÓN PARA EL TRATAMIENTO DE DATOS PERSONALES
DENTRO DEL TERRITORIO DE LA REPÚBLICA DEL ECUADOR
Esta normativa general tiene por objeto regular y determinar el ámbito de aplicación del interés legítimo como base de legitimación para el tratamiento de datos personales, de acuerdo con lo previsto en la LOPDP, el RGLOPDP y los criterios técnicos emitidos por la SPDP.
Esta normativa general es de cumplimiento obligatorio para todos los responsables que apliquen el interés legítimo como base de legitimación en sus actividades de tratamiento de datos personales. Esta base de legitimación solo podrá aplicarse en el sector privado.
Las palabras enlistadas a continuación tendrán los siguientes significados: 3.1. Interés legítimo: Es una base de legitimación que le permite a una persona natural, a una persona jurídica o a otro organismo de derecho privado, tratar datos personales sin necesidad de obtener previamente el consentimiento de su titular, siempre que se verifique la prevalencia de los derechos y libertades del titular. 3.2. Evaluación de ponderación: Es el análisis debidamente motivado y documentado que permite valorar si está justificado el tratamiento que el responsable pretende aplicar sobre la base del interés legítimo, en garantía de los principios, los derechos y las libertades del titular de los datos.
El interés legítimo deberá ser: 4.1. Lícito: El tratamiento no podrá tener como propósito una actividad que esté prohibida en el territorio ecuatoriano. No se podrá utilizar el interés legítimo para justificar actividades que incumplan la legislación vigente. 4.2. Real y concreto: Deberá ser específico, determinado, identificable y responder a una necesidad cierta, actual y comprobable. No podrán aplicarse circunstancias hipotéticas producto del imaginario del responsable del tratamiento, ni motivarse en suposiciones, posibilidades o hechos futuros o inciertos. El interés legítimo podrá aplicarse en finalidades continuas, propias del giro ordinario del responsable, siempre que se encuentren debidamente justificadas. 4.3. Proporcional: El uso de los datos personales deberá ser adecuado, necesario, oportuno, relevante y no excesivo respecto de los derechos del titular frente al interés del responsable del tratamiento. Si dicho tratamiento causare un daño o perjuicio al titular de los datos, respecto al beneficio particular que busca alcanzar el responsable del tratamiento, no se podrá aplicar el interés legítimo como base de legitimación. 4.4. Compatible con las expectativas razonables del titular: El tratamiento de datos basado en el interés legítimo deberá ser informado al titular de manera clara, diferenciada y accesible; podrá brindarse por capas, pero siempre en lenguaje claro, accesible, sencillo y en español. El responsable, de forma previa a su ejecución, deberá proporcionar la información de toda actividad de tratamiento que se base en el interés legítimo; y, además, tal información será incluida en la política de privacidad que, a su vez, deberá hallarse permanentemente disponible en medios accesibles para el titular. Cualquier modificación en el tratamiento o uso de datos personales para una nueva finalidad deberá ser informada al titular de manera previa a su ejecución. La expectativa razonable del titular se determinará atendiendo a parámetros objetivos, tales como la naturaleza de los datos tratados, la relación previa entre el titular y el responsable, el contexto en que se recopilaron y la finalidad comunicada. Dicha expectativa se extinguirá cuando el titular manifestare su negativa a que se traten sus datos personales o si ejerciere su derecho de oposición.
Todo tratamiento que se pretenda basar en el interés legítimo, requerirá una evaluación de ponderación previa, motivada, documentada y disponible tanto para la SPDP como para el titular de los datos personales. Sin perjuicio de lo anterior, de manera excepcional se podrá realizar una evaluación de ponderación simplificada para tratamientos de bajo riesgo que sean recurrentes u homogéneos, mediante plantillas internas que contenga los parámetros mínimos del Anexo 1. Cada tratamiento deberá cumplir con esta obligación de manera individual. En caso de que la Superintendencia de Protección de Datos Personales, en el ejercicio de su competencia administrativa de control, llegare a determinar que el responsable ha aplicado una evaluación de ponderación simplificada en tratamientos de datos personales de riesgo medio, alto o crítico, para evitar el cumplimiento de la norma general que consta en el primer inciso de este artículo, dicha conducta constituirá una infracción grave y se impondrá la sanción más alta prevista en el régimen sancionatorio vigente. Para los efectos de esta normativa general, el responsable que prevea aplicar el interés legítimo como base de legitimación de un determinado tratamiento, deberá ser capaz de justificar el cumplimiento de todos los principios reconocidos en la LOPDP. El cumplimiento deberá acreditarse con evidencias existentes. Únicamente se podrá aplicar el interés legítimo como base de legitimación, siempre y cuando el responsable del tratamiento demuestre y acredite, de manera fehaciente, que el resultado de la evaluación de ponderación garantiza, en todo momento, los derechos y las libertades de los titulares, en concordancia con los principios establecidos en la LOPDP. En caso de que existiese duda sobre si el interés del responsable afecta o no a los derechos del titular, prevalecerán, en todo momento, los derechos del titular frente a cualquier otro interés.
La evaluación de ponderación deberá redactarse en lenguaje claro, accesible, sencillo y en español. Además, deberá incluir lo siguiente: 6.1. Idoneidad del interés legítimo: Se deberá describir el interés que motiva al responsable a tratar los datos personales. Este interés debe ser lícito, concreto, real, proporcional y vinculado con una finalidad legítima y determinada. 6.2. Justificación de la necesidad del tratamiento: Se deberá explicar por qué el tratamiento de los datos personales es indispensable para alcanzar la finalidad legítima identificada. Para ello, el responsable deberá justificar y demostrar que no existe otra forma menos invasiva para alcanzar ese mismo objetivo. 6.3. Ponderación: Se deberá evaluar si la finalidad del tratamiento es adecuada, necesaria, oportuna, relevante y no excesiva respecto de los derechos y libertades del titular. Para ello, se deberán analizar, al menos, los siguientes aspectos: 6.3.1. Naturaleza de los datos: Identificar si se trata de datos personales básicos
riesgo, se requerirán garantías reforzadas y, en su caso, una evaluación de impacto en la protección de datos previa a su implementación. 6.3.2. Categorías de titulares: Identificar si los datos pertenecen a grupos vulnerables, en especial niñas, niños y adolescentes, en cuyo caso habrá de garantizarse, en todo caso, el interés superior del menor mediante medidas adicionales reforzadas. 6.3.3. Contexto y expectativas razonables: Analizar la relación entre el titular y el responsable, así como el contexto en el que se recaban y utilizan los datos, para determinar si el tratamiento es previsible para el titular en atención a la finalidad que lo motiva. 6.3.4. Volumen y transferencias: Considerar el volumen de datos tratados y la existencia de comunicaciones o transferencias internacionales, atendiendo los riesgos asociados. 6.3.5. Gestión de riesgos: Incorporar un análisis documentado de los riesgos y las medidas de mitigación que deberán adoptarse. 6.4. Resultado de la evaluación: Una vez realizados los análisis, el responsable del tratamiento deberá justificar y demostrar, de manera documentada, que el tratamiento es admisible y acreditará las condiciones de su proporcionalidad. La evaluación deberá desarrollarse, por lo menos, mediante el cumplimiento de la Metodología para la Evaluación de Ponderación en Tratamientos, que consta en el Anexo 1 y que establece las etapas, elementos y evidencias mínimas requeridas. Podrá emplearse una metodología equivalente únicamente cuando se acreditare, de manera objetiva, su equivalencia técnica y trazabilidad, de conformidad con los lineamientos emitidos por la SPDP. La omisión de la evaluación de ponderación constituirá una infracción grave, de conformidad con lo previsto en la LOPDP.
Se deberá evaluar si el tratamiento pudiese afectar a los derechos y libertades de los titulares, así como al ordenamiento jurídico vigente. Esta evaluación deberá realizarse de acuerdo con lo establecido en la LOPDP, el RGLOPDP y la normativa especializada emitida por la Superintendencia de Protección de Datos Personales.
Deberán detallarse las acciones o mecanismos que el responsable implementará para minimizar o eliminar cualquier riesgo identificado en el análisis de la gestión de riesgo y la evaluación de impacto previstos en los artículos precedentes. Estas medidas deberán ser proporcionales y eficaces.
El responsable del tratamiento deberá mantener disponible, de manera física y electrónica, la evaluación de ponderación tanto para el titular de datos como para la Superintendencia de Protección de Datos Personales. Para cumplir con el principio de transparencia —sin que, por ello, se dejen de respetar la información reservada, los secretos comerciales o los de seguridad empresarial del responsable del tratamiento—, la información del titular deberá ser comunicada en un lenguaje claro, accesible, sencillo y en español. La versión íntegra estará disponible en todo momento para la SPDP, sin restricción alguna.
El interés legítimo podrá constituir una base de legitimación para el tratamiento de datos personales, exclusivamente en los casos previstos en este título, siempre que dicho tratamiento supere satisfactoriamente la evaluación de ponderación.
Se podrá ejecutar el tratamiento de datos personales para fines de mercadotecnia directa, siempre y cuando: 11.1. El tratamiento no afecte los derechos y las libertades fundamentales de los titulares de los datos; 11.2. En el tratamiento no se utilicen datos personales de niñas, niños y adolescentes, ni datos sensibles (ideología, religión, afiliación sindical, creencias, origen racial o etnia, vida sexual, datos genéticos o biométricos, entre otros); 11.3. El tratamiento estuviere dirigido a aquellos titulares: 11.3.1. Con los que el responsable mantenga o hubiese mantenido una relación contractual previa; o, 11.3.2. Con los que exista una expectativa razonable de contacto, considerando su relación con el responsable y el contexto en que los datos fueron obtenidos, en cumplimiento del principio de juridicidad. El responsable del tratamiento, de conformidad con la LOPDP, deberá informar previamente al titular en lenguaje claro, accesible, sencillo y en español, sobre el uso de sus datos personales para las actividades de tratamiento que son los propios de la mercadotecnia directa, lo que podrá cumplirse mediante notificación de la política de privacidad o del tratamiento en sí. Se admite la segmentación y elaboración de perfiles con fines de mercadotecnia directa, siempre que no produzcan efectos jurídicos significativos, ni se afecten de manera grave los derechos del titular. 11.4. Se proporcione, en cada comunicación, un mecanismo visible, gratuito y eficaz para que el titular ejerza su derecho de oposición al tratamiento; oposición que deberá atenderse sin dilación y con efecto inmediato, sin necesidad de exigírsele justificación adicional.
Se podrá ejecutar el tratamiento de datos para la prevención, la detección y el reporte de fraudes, lavado de activos, financiamiento del terrorismo y delitos conexos, siempre y cuando se limite a los datos estrictamente necesarios para identificar, analizar o reportar operaciones sospechosas, patrones irregulares o intentos de fraude o lavado de activos, financiamiento del terrorismo y delitos conexos. En caso de tratamiento de datos crediticios, se deberá observar lo que estuviere previsto en la LOPDP y en la normativa sectorial aplicable. Podrán conservarse listas de bloqueo y evidencias por el tiempo estrictamente necesario para prevenir reincidencias y defender reclamaciones relativas a la Ley de Prevención de Lavados de Activos y del Financiamiento de Delitos.
Se podrá ejecutar el tratamiento de datos personales para la comunicación interna entre personas jurídicas de un mismo grupo empresarial, siempre que se cumplan las siguientes condiciones: 13.1. Acreditación del grupo empresarial: La existencia de un grupo empresarial podrá acreditarse con cualquiera de los siguientes mecanismos: 13.1.1. Certificación de actos societarios inscritos; 13.1.2. Certificado de información general o nómina de accionistas, emitidos por la autoridad competente; 13.1.3. Declaración suscrita por el representante legal, respaldada por registros mercantiles o equivalentes; o, 13.1.4. Certificación o documento equivalente que acredite control directo o indirecto. La SPDP podrá requerir cualquier información adicional, si lo estimare necesario. 13.2. Finalidad y proporcionalidad: La comunicación o transferencia dentro del grupo deberá limitarse a los datos personales estrictamente necesarios para la ejecución de gestiones internas legítimas, tales como auditoría, control interno, servicios corporativos compartidos, gestión financiera o administrativa, entre otros. En caso de transferencias internacionales dentro del mismo grupo empresarial, aquellas deberán sujetarse a las reglas de adecuación o a la existencia de garantías adecuadas de acuerdo con la LOPDP, el RGLOPDP y demás normativa aplicable. 13.3. Transparencia para el titular: El responsable garantizará, en todo momento, que el titular conozca oportunamente cómo se configura el flujo de sus datos dentro del grupo empresarial, para lo cual habrá de ser informado sobre: 13.3.1. Las finalidades específicas del tratamiento; 13.3.2. La identidad de los responsables y encargados involucrados; 13.3.3. Las medidas de seguridad y protección aplicables; y, 13.3.4. Los mecanismos, vías o canales para ejercer sus derechos. La información para el titular podrá proporcionarse mediante esquemas de información por capas, siempre que aquella fuese clara.
Se podrá ejecutar el tratamiento de datos personales para la seguridad de redes y sistemas de tecnologías de la información y comunicación (“TIC”), siempre y cuando: 14.1. El responsable adopte controles técnicos y medidas organizativas de acuerdo con resultado de los riesgos identificados, siguiendo los preceptos determinados en la normativa de análisis de riegos y evaluación de impacto emitida por la SPDP; 14.2. Las medidas adoptadas, siguiendo la lógica del número anterior, se encuentren orientadas a reducir la probabilidad de ocurrencia y la magnitud del impacto en los titulares de datos personales por posibles ataques informáticos de confidencialidad, integridad o disponibilidad; 14.3. Las medidas contemplen los paradigmas de privacidad por diseño y por defecto, así como el paradigma PETs (por Privacy Enhancing Technologies ); y, 14.4. Las medidas de seguridad se sustenten en protocolos de ciberseguridad adoptados por el responsable, que podrán incluir políticas de gestión de incidentes, planes de continuidad operativa y controles de acceso físico y lógico, así como medidas de seguridad técnicas necesarias para la detección, prevención y respuesta.
Se podrá ejecutar el tratamiento de datos personales para sistemas de videovigilancia, siempre y cuando: 15.1. El tratamiento tuviere por finalidad la seguridad de personas, bienes o instalaciones, sin perjuicio de observar, en todo momento, los principios de necesidad y proporcionalidad, y sin dejar de incluir mecanismos claros, accesibles y gratuitos para que el titular pueda ejercer sus derechos; y, 15.2. La instalación de los sistemas de videovigilancia se justifique en necesidades concretas, tales como la prevención de delitos, el control de accesos, el resguardo de instalaciones críticas o la supervisión de zonas vulnerables. En ningún caso se podrán videovigilar zonas que conlleven la vulneración de la intimidad y privacidad de los titulares de datos personales, tales como baños, vestidores, lactarios, comedores, etcétera. Queda prohibida la aplicación del interés legítimo como fundamento para la grabación de audio en sistemas de videovigilancia. En ningún caso podrá utilizarse grabación de audio para fines de supervisión, de control del desempeño laboral ni para captar conversaciones privadas o sensibles. Esta práctica se considera una afectación ilegítima a los derechos de intimidad y libertad de expresión, además de contraria a la protección de los datos personales de los trabajadores. Art 16.- Se prohíbe la aplicación del interés legítimo como base de legitimación para el tratamiento de datos personales en los siguientes casos: 16.1. Datos sensibles. 16.2. Categorías especiales de datos, salvo que: 16.2.1. El tratamiento sea estrictamente indispensable para el cumplimiento de la finalidad; 16.2.2. El resultado de la evaluación de ponderación garantice, en todo momento, los derechos y las libertades de los titulares; y, 16.2.3. Se apliquen medidas reforzadas de seguridad y protección de derechos. 16.3. Cuando se elaboren perfiles totalmente automatizados que produzcan efectos jurídicos significativos o que pudieren afectar gravemente los derechos de los titulares. De manera excepcional, esto es, en la medida en que se implementen medidas de seguridad reforzadas, se podrán elaborar perfiles para los sectores financieros, bancarios y seguros, siempre que: 16.3.1. Cumpla, especialmente, los principios de transparencia, pertinencia y minimización, proporcionalidad y seguridad de datos personales; 16.3.2. Exista un mecanismo de tutela para el derecho de oposición; y, 16.3.3. Exista una revisión humana y supervisión de la autoridad competente. 16.4. En datos personales de niñas, niños y adolescentes. Solo se podrá aplicar el interés legítimo si existiere una justificación expresa vinculada al interés superior del niño, que conste en la evaluación de ponderación o, cuando corresponda, en la evaluación de impacto, con medidas reforzadas de protección. 16.5. En tratamientos masivos o en la reutilización de datos personales, cuando la nueva finalidad sea incompatible con la finalidad original para la que se recopilaron, salvo lo previsto en el artículo 11 de esta resolución.
El titular de los datos personales podrá ejercer, en todo momento, su derecho de oposición, de acuerdo con la LOPDP y el RGLOPDP. Una vez que el titular ejerza su derecho de oposición y/o de suspensión, el responsable del tratamiento deberá atender dichos derechos de manera inmediata, de conformidad con lo dispuesto en la LOPDP.
El responsable deberá mantener un registro ordenado, accesible y actualizado de todas las evaluaciones de ponderación realizadas. Este registro estará disponible en todo momento para el titular de los datos y para la Superintendencia de Protección de Datos Personales. En garantía del derecho de acceso, el titular de los datos personales podrá solicitar que se le proporcione la evaluación de ponderación, que deberá ser entregada de forma completa, en un lenguaje claro, sencillo, accesible y en español. Aunque la información reservada o que contuviere secretos comerciales del responsable podrá no ser comunicada al titular de datos personales, la versión íntegra estará disponible, en todo momento, para la SPDP, sin restricción alguna. Será obligatorio revisar, modificar y/o actualizar la evaluación de ponderación en el plazo de un (1) año contando desde el ultimo registro; no obstante lo anterior, el responsable del tratamiento podrá revisar, modificar y actualizar, en cualquier momento, la evaluación de ponderación. La evaluación perderá vigencia y validez automáticamente cuando se modifiquen la finalidad, la categoría de los datos, el tipo de titulares o los riesgos identificados.
Toda información sobre el tratamiento basado en interés legítimo deberá estar redactada en lenguaje claro, accesible, sencillo y en español, de tal manera que pueda ser fácilmente entendible para cualquier persona que no posea conocimientos jurídicos o técnicos. DISPOSICIÓN GENERAL El Anexo 1 de esta resolución contendrá los criterios mínimos para la evaluación de ponderación para la aplicación del interés legítimo como base de legitimación. Su contenido debe implementarse de acuerdo con la metodología de riesgos del responsable y según el nivel de riesgo del tratamiento, permitiéndose la utilización de metodologías equivalentes, siempre que aquellas contemplen los elementos esenciales previstos en el Anexo 1 y se justifique su aplicación con la documentación correspondiente. La SPDP podrá actualizar, cada vez que lo considere necesario, el Anexo 1 de este instrumento, con la previa emisión del informe técnico de justificación de la IRD, en el cual se motivará la expedición de la resolución de actualización que corresponda. La actualización deberá publicarse en el Registro Oficial y en los portales oficiales institucionales correspondientes. DISPOSICIÓN FINAL Esta resolución entrará en vigencia a partir de su suscripción, sin perjuicio de su publicación en el Registro Oficial. Dada y firmada en Santiago de Guayaquil, el 7 de noviembre del 2025. Firmado electrónicamente por:
previsto que “[l]a Superintendencia de Protección de Datos Personales se alinea con su misión y define su Estructura Organizacional sustentada en su base normativa y su direccionamiento estratégico institucional, los cuales serán determinados en su Planificación Estratégica Institucional, Modelo de Gestión institucional y Matriz de Competencias (…)” ;
Que la letra b), numeral 2 del artículo 10 de la resolución N° SPDP-SPDP-2024-0001-R establece que a la Intendencia General de Regulación de Protección de Datos Personales (“IRD”) le corresponde, entre otras atribuciones y responsabilidades, “[d]irigir y proponer la elaboración de las propuestas o proyectos normativos para crear, reformar o derogar los actos normativos, sean estos políticas, directrices, reglamentos, resoluciones, lineamientos, normas técnicas, oficios circulares, etcétera, necesarios para el ejercicio de todas las competencias y atribuciones propias de la Superintendencia de Protección de Datos Personales, con los previos informes técnicos de las unidades administrativas sustantivas y adjetivas relacionadas con el ámbito de aplicación de tales normas; así como, todos aquellos actos normativos relacionados con el ejercicio, tutela y procedimientos administrativos de gestión que garanticen a las
personas naturales la plena vigencia de sus derechos y deberes previstos en dicha ley y su reglamento (…)” ;
Que la letra c), numeral 2 del artículo 10 de la resolución N° SPDP-SPDP-2024-0001-R, establece, entre las atribuciones y responsabilidades de la IRD, la de “[d]irigir y proponer la presentación al Superintendente de Protección de Datos Personales de las propuestas de normas, reglamentos, directrices, resoluciones, normas técnicas, oficios circulares, etcétera, vinculados con la regulación de protección de datos personales, para su expedición (…)” ;
Que a través de la letra a) del artículo 4 de la resolución N° SPDP-SPD-2025-0001-R del 31 de enero del 2025, publicada en el Registro Oficial N° 750 del 24 de febrero del 2025, mediante la cual se expidieron las disposiciones, delegaciones de facultades y atribuciones a las autoridades, funcionarios y servidores públicos de la SPDP, se le delegó al Intendente General Regulación de Protección de Datos Personales, entre otras, la responsabilidad de “[e]mitir normativa general o técnica, criterios y demás actos que sean necesarios para el ejercicio de sus competencias y la garantía del ejercicio del derecho a la protección de datos personales (…)” ;
Que la disposición transitoria del Reglamento para la Elaboración y Aprobación del Plan Regulatorio Institucional de la SPDP —expedido mediante resolución Nº SPDP-SPDP-20240018-R del 30 de octubre del 2024, publicada en el Segundo Suplemento del Registro Oficial Nº 679 del 8 de noviembre del 2024— establece que “(…) el PRI correspondiente a los años fiscales 2024 y 2025 no seguirá el procedimiento establecido en este reglamento y, por ende, se elaborará únicamente a base de los informes técnicos emitidos por las Unidades Administrativas correspondientes; validados por la [IRD] ; aprobados por el Superintendente o su delegado; y, finalmente, publicado en los portales oficiales de la SPDP cuando estén habilitados” ;
Que mediante la resolución N° SPDP-SPD-2025-0002-R del 3 de febrero del 2025 se aprobó el Plan Regulatorio Institucional del año 2025, dentro del cual se ha establecido la necesidad de expedir la normativa para regular la aplicación y uso del interés legítimo como base legitimadora y, de esta manera, guiar a los administrados respecto de su uso correcto;
Que la IRD, mediante informe técnico Nº INF-SPDP-IRD-2025-0067 suscrito el 26 de agosto del 2025, justificó la pertinencia y la necesidad de emitir el Reglamento para la aplicación del interés legítimo como base de legitimación para el tratamiento de datos personales dentro del territorio de la República del Ecuador, así como el proyecto de resolución que lo contiene para que se lo publique;
Que mediante memorando N° SPDP-IRD-2025-0161-M suscrito el 26 de agosto del 2025, la IRD puso en conocimiento de la Dirección de Asesoría Jurídica (“DAJ”) el proyecto normativo denominado Reglamento para la aplicación del interés legítimo como base de legitimación para el tratamiento de datos personales dentro del territorio de la República del Ecuador, así como el informe técnico N° INF-SPDP-IRD-2025-0067, para que, en el término de diez (10) días y de acuerdo con la resolución N° SPDP-SPDP-2024-0022-R, se emita el informe en el que se constate que tal proyecto cumple con el principio de legalidad; que no vulnera ni contradice las normas matrices; y que coadyuva al cumplimiento de los objetivos de la SPDP;
Que mediante memorando N° SPDP-DAJ-2025-0072-M suscrito el 27 de agosto del 2025, la DAJ puso en conocimiento de la IRD el informe técnico N° INF-SPDP-DAJ-2025-0039, así como la validación legal del proyecto de resolución que servirá para expedir el Reglamento para la aplicación del interés legítimo como base de legitimación para el tratamiento de datos personales dentro del territorio de la República del Ecuador;
Que en el referido informe técnico N° INF-SPDP-DAJ-2025-0039, también suscrito el 27 de agosto del 2025, la DAJ determinó, en su parte pertinente, que el proyecto normativo
denominado Reglamento para la aplicación del interés legítimo como base de legitimación para el tratamiento de datos personales dentro del territorio de la República del Ecuador, es congruente con los principios establecidos en la LOPDP, ya que se orienta a garantizar que el tratamiento de datos personales cumpla con las disposiciones legales y se adopten prácticas adecuadas en su manejo, por lo que recomendó que “ [l]a IRD [disponga] a quien corresponda la publicación a través de la página web institucional e informar su publicación a través de las redes sociales institucionales, con la finalidad de que la ciudadanía, las organizaciones de la sociedad civil o interesados en general, de manera motivada, puedan remitir sus observaciones
o realizar aportes respecto del contenido, para lo cual se debe indicar la forma para recibir dichas observaciones y aportes que será dentro de un término de veinte (20) días contados desde su publicación” ;
Que mediante memorando N° SPDP-IRD-2025-0162-M suscrito el 27 de agosto del 2025, la IRD solicitó a las unidades administrativas de la SPDP que procedan con las acciones pertinentes, a fin de que publiquen el proyecto de Reglamento para la aplicación del interés legítimo como base de legitimación para el tratamiento de datos personales dentro del territorio de la República del Ecuador en la página web institucional, para que tal proyecto esté disponible para la ciudadanía, las organizaciones de la sociedad civil o interesados desde el 27 de agosto hasta el 24 de septiembre del 2025, inclusive, y así recibir sus observaciones o aportes, siempre que estuvieren debidamente motivados;
Que para cumplir con el artículo 12 de la resolución Nº SPDP-SPDP-2024-0022-R, se ejecutó el proceso de socialización del proyecto normativo durante el término de veinte (20) días; y, hecho lo anterior, a tal proyecto se le dio de baja el 25 de septiembre del 2025 de la página web institucional;
Que, como resultado del proceso descrito previamente, se redefinió la denominación del proyecto como Normativa general para la aplicación del interés legítimo como base de legitimación para el tratamiento de datos personales dentro del territorio de la República del Ecuador;
Que a través del técnico Nº INF-SPDP-IRD-2025-0091 del 24 de octubre del 2025, la IRD incorporó al informe técnico las observaciones y los aportes que se consideraron relevantes y adecuados, previa justificación de las modificaciones realizadas al proyecto normativo;
Que mediante memorando N° SPDP-IRD-2025-0210-M suscrito el 24 de octubre del 2025, la IRD remitió todo el expediente al suscrito Superintendente de Protección de Datos Personales para que realice en observaciones correspondientes o, en su caso, para que lo apruebe;
EN EJERCICIO de sus atribuciones constitucionales, legales y reglamentarias,
Esta normativa general tiene por objeto regular y determinar el ámbito de aplicación del interés legítimo como base de legitimación para el tratamiento de datos personales, de acuerdo con lo previsto en la LOPDP, el RGLOPDP y los criterios técnicos emitidos por la SPDP.
Esta normativa general es de cumplimiento obligatorio para todos los responsables que apliquen el interés legítimo como base de legitimación en sus actividades de tratamiento de datos personales. Esta base de legitimación solo podrá aplicarse en el sector privado.
Las palabras enlistadas a continuación tendrán los siguientes significados: 3.1. Interés legítimo: Es una base de legitimación que le permite a una persona natural, a una persona jurídica o a otro organismo de derecho privado, tratar datos personales sin necesidad de obtener previamente el consentimiento de su titular, siempre que se verifique la prevalencia de los derechos y libertades del titular. 3.2. Evaluación de ponderación: Es el análisis debidamente motivado y documentado que permite valorar si está justificado el tratamiento que el responsable pretende aplicar sobre la base del interés legítimo, en garantía de los principios, los derechos y las libertades del titular de los datos.
Ejemplo: “La ausencia de videovigilancia aumentaría el riesgo de accesos no autorizados sin posibilidad de identificar a las personas implicadas en una situación particular, afectando a la integridad o a la seguridad de los empleados y bienes.” ( ejemplos unicamente explicativos)
ETAPA 3 – PONDERACIÓN
Objetivo: Evaluar si el tratamiento es adecuado y equilibrado frente al posible impacto en los titulares.
Naturaleza y categorías de datos
Módulo de verificación – Ausencia de categorías especiales
Declaración
Dejar constancia por escrito de que el tratamiento no involucra ninguna de las siguientes categorías especiales establecidas en el Art.25 de la LOPDP, y la definición que consta en el Art. 4 de la LOPDP:
Ejemplo: “El tratamiento de datos personales para (mencionar la finalidad) no involucra categorías especiales de datos personales conforme al Art. 25 de la LOPDP. Se limita al uso de datos identificativos básicos (como: nombres, apellidos, cédula y correo electrónico etc.) que son estrictamente necesarios para (determinar la actividad de tratamiento específica). No se recaban ni procesan datos sensibles, de salud, de menores de edad o relativos a discapacidad.” ( ejemplos unicamente explicativos)
NOTA: En caso de no verificarse que se involucra alguna categoría especial continuar con etapa 4.
NOTA: En caso de verificarse que se involucra alguna categoría especial continuar con el siguiente procedimiento:
Según el Art. 25 LOPDP, se debe dejar claro si el tratamiento de datos personales involucra:
|Categoría especial involucrada|Sí/No|Descripción del tipo de dato personal| |---|---|---| |Datos sensibles||| |Datos de salud||| |Datos de menores||| |Datos de discapacidad|||
a. Explicar por qué es estrictamente indispensable tratar esta categoría
especial
Se debe justificar que el tratamiento de la categoría especial conforme lo establecido en la LOPDP es imprescindible para cumplir con la finalidad legítima. No basta con que sea útil o conveniente: debe ser esencial para alcanzar el objetivo y no posible de reemplazar por un dato personal menos sensible.
Ejemplo: “Para verificar que los conductores de vehículos de transporte privado no ejecutan sus funciones bajo los efectos del alcohol y/o sustancias psicotrópicas, resulta estrictamente indispensable realizarles pruebas de detección. La información obtenida constituye una categoría especial de datos personales. Este tratamiento es esencial para garantizar la seguridad vial y la protección de la vida e integridad de las personas naturales. Por lo tanto, no existe una alternativa menos intrusiva que permita verificar con igual certeza la aptitud del conductor; omitir esta información podría generar graves riesgos para la seguridad pública.” ( ejemplos únicamente explicativos)
b. Indicar la no existencia de alternativas menos intrusivas evaluadas y por
qué fueron descartadas
Documentar que se analizaron métodos que impliquen menos impacto en la privacidad y por qué no ofrecen el mismo nivel de eficacia o seguridad.
Ejemplo: “Se analizó la opción de aceptar una declaración verbal del trabajador sobre su estado de salud para permitir su reincorporación a sus labores. Esta alternativa fue descartada porque no ofrece una verificación
objetiva ni asegura un ambiente laboral seguro. Por ello, se determinó que el examen médico realizado por profesionales de la salud autorizados es la medida necesaria.” ( ejemplos únicamente explicativos)
c. Describir cómo se limita el tratamiento al mínimo necesario (principio de
pertinencia y minimización)
Se debe asegurar que solo se recopilan y procesan los datos personales indispensables para cumplir con la finalidad del tratamiento, indicando los tipos de datos personales específicos que se capturan y cuales se excluyen, además, se deberá definir un tiempo de conservación hasta el cumplimiento de la finalidad del tratamiento, y se limite el acceso a las personas estrictamente necesarias, detallando porqué cada persona con acceso es necesaria.
Ejemplo: “ Para la realización de exámenes médicos ocupaciones en la empresa, se solicitan únicamente los siguientes datos personales: nombre completo del trabajador, número de identificación, número de teléfono y correo electrónico. No se recaban antecedentes clínicos completos ni información sobre hábitos personales. Estos datos se conservan únicamente hasta finalizar el proceso de coordinación y entrega de resultados médicos. El acceso está restringido a todo el personal que no pertenezca al área de salud ocupacional, y quienes requieren la información para identificar al trabajador, agendar la cita y comunicar los resultados de forma confidencial.” ( ejemplos únicamente explicativos)
ETAPA 4 – MEDIDAS DE SEGURIDAD
Objetivo: Registrar las acciones concretas que el responsable implementará para reducir los riesgos a los datos de los titulares.
# 1. Descripción general
En este apartado se deben documentar únicamente las medidas que:
Art. 38 del Reglamento General).
Objetivo:
Registrar de forma clara cada medida de seguridad adoptada, su tipo, y la evidencia que la respalda, cumpliendo con lo establecido del Reglamento General a la LOPDP.
`o` Cifrado de datos en tránsito y en reposo.
`o` Seudonimización o anonimización.
`o` Autenticación multifactor para acceso.
`o` Registro y trazabilidad de accesos.
`o` Políticas internas claras y actualizadas.
`o` Capacitación específica del personal con acceso.
`o` Procedimientos de control de uso de datos.
`o` Cláusulas de confidencialidad con proveedores.
`o` Acuerdos de encargo de tratamiento que incluyan medidas específicas.
`o` Información clara a los titulares.
`o` Facilitar el ejercicio de derechos de forma sencilla.
Nota: Toda medida de seguridad adoptada, deberá quedar documentada de manera expresa, indicando su tipo (técnica, organizativa, administrativa, jurídica o informativa) y la evidencia que respalde su implementación efectiva. Esta documentación formará parte integrante de la evaluación de ponderación
Ejemplo:
|Tipo de<br>riesgo<br>identificado|Medida de<br>Seguridad|Tipo (Técnica /<br>Organizativa /<br>Contractual /<br>Informativa)|Descripción<br>detallada|Evidencia<br>adjunta| |---|---|---|---|---| |Acceso<br>no<br>autorizado a la<br>base de datos|Implementación de<br>cifrado<br>AES-256<br>en reposo|Técnica|Cifrado<br>completo<br>de<br>base de datos,<br>clave de 256<br>bits,<br>gestión<br>centralizada de<br>llaves|Capturas<br>de<br>configuración<br>de cifrado| |Uso indebido<br>por<br>personal<br>interno|Capacitación anual<br>obligatoria<br>sobre<br>manejo de datos|Organizativa|Curso<br>presencial<br>y <br>virtual<br>para<br>todo el personal<br>con acceso a<br>datos<br>personales|Registro<br>de<br>asistencia<br>y <br>materiales del<br>curso| |Riesgo<br>de<br>fuga<br>por<br>terceros<br>proveedores|Inclusión<br>de<br>cláusulas<br>de<br>confidencialidad y<br>de<br>medidas<br>de|Contractual|Cláusula<br>específica que<br>obliga<br>al<br>proveedor<br>a <br>aplicar cifrado|Copia<br>del<br>contrato<br>firmado|
|Col1|seguridad en<br>contratos|Col3|y reportar<br>incidentes en<br>48h|Col5| |---|---|---|---|---| |Falta<br>de<br>transparencia<br>ante titulares|Publicación<br>de<br>aviso de privacidad<br>simplificado|Informativa|Aviso<br>en<br>lenguaje claro,<br>disponible<br>en<br>web<br>y <br>en<br>puntos<br>de<br>recolección de<br>datos|URL<br>y <br>fotografía del<br>aviso físico|
ETAPA 5 - CONCLUSIÓN Y RESULTADO
Objetivo: Emitir una decisión final documentada que establezca si el tratamiento es o no admisible bajo interés legítimo.
`o` Si prevalece el interés legítimo: indicar que se ha determinado que el
tratamiento es admisible bajo esta base legal, cumpliendo con todos los requisitos y medidas de seguridad.
`o` Si no prevalece : señalar que el tratamiento no es admisible y, por tanto, no se
llevará a cabo o deberá cambiarse la base legal.
Ejemplo admisible: “Con base en el análisis realizado, se concluye que el interés legítimo aplicado garantiza los derechos y libertades de los titulares, debido a que se han implementado medidas de seguridad suficientes. El tratamiento de datos es, por tanto, admisible bajo esta base legal.”
Ejemplo no admisible: “Con base en el análisis realizado, se concluye que el interés legítimo aplicado no garantiza los derechos y libertades de los titulares. El tratamiento de datos no es admisible bajo esta base legal y no será implementado en los términos evaluados.”
DECLARACIÓN FINAL Y CONSERVACIÓN
La declaración final de la evaluación de ponderación deberá ser firmada por el responsable del tratamiento, con la indicación expresa de:
Fecha de elaboración:
Nombre y cargo:
Firma y sello institucional:
Los documentos anexos que respalden la evaluación de ponderación deberán estar debidamente sumillados, foliados y descritos en un índice adjunto, a fin de garantizar su integridad, trazabilidad y consulta futura por parte del titular de los datos y la autoridad de control.
El documento completo de la evaluación de ponderación y sus anexos deberán conservarse en un registro interno por un plazo mínimo de cinco años, o durante el tiempo que dure el tratamiento y un período adicional de dos años posteriores a su finalización, lo que resulte mayor. Durante dicho tiempo deberá permanecer disponible para requerimientos de la Superintendencia de Protección de Datos Personales.
Esta normativa general tiene por objeto regular y determinar el ámbito de aplicación del interés legítimo como base de legitimación para el tratamiento de datos personales, de acuerdo con lo previsto en la LOPDP, el RGLOPDP y los criterios técnicos emitidos por la SPDP.
Esta normativa general es de cumplimiento obligatorio para todos los responsables que apliquen el interés legítimo como base de legitimación en sus actividades de tratamiento de datos personales. Esta base de legitimación solo podrá aplicarse en el sector privado.
Las palabras enlistadas a continuación tendrán los siguientes significados: 3.1. Interés legítimo: Es una base de legitimación que le permite a una persona natural, a una persona jurídica o a otro organismo de derecho privado, tratar datos personales sin necesidad de obtener previamente el consentimiento de su titular, siempre que se verifique la prevalencia de los derechos y libertades del titular. 3.2. Evaluación de ponderación: Es el análisis debidamente motivado y documentado que permite valorar si está justificado el tratamiento que el responsable pretende aplicar sobre la base del interés legítimo, en garantía de los principios, los derechos y las libertades del titular de los datos.
El interés legítimo deberá ser: 4.1. Lícito: El tratamiento no podrá tener como propósito una actividad que esté prohibida en el territorio ecuatoriano. No se podrá utilizar el interés legítimo para justificar actividades que incumplan la legislación vigente. 4.2. Real y concreto: Deberá ser específico, determinado, identificable y responder a una necesidad cierta, actual y comprobable. No podrán aplicarse circunstancias hipotéticas producto del imaginario del responsable del tratamiento, ni motivarse en suposiciones, posibilidades o hechos futuros o inciertos. El interés legítimo podrá aplicarse en finalidades continuas, propias del giro ordinario del responsable, siempre que se encuentren debidamente justificadas. 4.3. Proporcional: El uso de los datos personales deberá ser adecuado, necesario, oportuno, relevante y no excesivo respecto de los derechos del titular frente al interés del responsable del tratamiento. Si dicho tratamiento causare un daño o perjuicio al titular de los datos, respecto al beneficio particular que busca alcanzar el responsable del tratamiento, no se podrá aplicar el interés legítimo como base de legitimación. 4.4. Compatible con las expectativas razonables del titular: El tratamiento de datos basado en el interés legítimo deberá ser informado al titular de manera clara, diferenciada y accesible; podrá brindarse por capas, pero siempre en lenguaje claro, accesible, sencillo y en español. El responsable, de forma previa a su ejecución, deberá proporcionar la información de toda actividad de tratamiento que se base en el interés legítimo; y, además, tal información será incluida en la política de privacidad que, a su vez, deberá hallarse permanentemente disponible en medios accesibles para el titular. Cualquier modificación en el tratamiento o uso de datos personales para una nueva finalidad deberá ser informada al titular de manera previa a su ejecución. La expectativa razonable del titular se determinará atendiendo a parámetros objetivos, tales como la naturaleza de los datos tratados, la relación previa entre el titular y el responsable, el contexto en que se recopilaron y la finalidad comunicada. Dicha expectativa se extinguirá cuando el titular manifestare su negativa a que se traten sus datos personales o si ejerciere su derecho de oposición.
Todo tratamiento que se pretenda basar en el interés legítimo, requerirá una evaluación de ponderación previa, motivada, documentada y disponible tanto para la SPDP como para el titular de los datos personales. Sin perjuicio de lo anterior, de manera excepcional se podrá realizar una evaluación de ponderación simplificada para tratamientos de bajo riesgo que sean recurrentes u homogéneos, mediante plantillas internas que contenga los parámetros mínimos del Anexo 1. Cada tratamiento deberá cumplir con esta obligación de manera individual. En caso de que la Superintendencia de Protección de Datos Personales, en el ejercicio de su competencia administrativa de control, llegare a determinar que el responsable ha aplicado una evaluación de ponderación simplificada en tratamientos de datos personales de riesgo medio, alto o crítico, para evitar el cumplimiento de la norma general que consta en el primer inciso de este artículo, dicha conducta constituirá una infracción grave y se impondrá la sanción más alta prevista en el régimen sancionatorio vigente. Para los efectos de esta normativa general, el responsable que prevea aplicar el interés legítimo como base de legitimación de un determinado tratamiento, deberá ser capaz de justificar el cumplimiento de todos los principios reconocidos en la LOPDP. El cumplimiento deberá acreditarse con evidencias existentes. Únicamente se podrá aplicar el interés legítimo como base de legitimación, siempre y cuando el responsable del tratamiento demuestre y acredite, de manera fehaciente, que el resultado de la evaluación de ponderación garantiza, en todo momento, los derechos y las libertades de los titulares, en concordancia con los principios establecidos en la LOPDP. En caso de que existiese duda sobre si el interés del responsable afecta o no a los derechos del titular, prevalecerán, en todo momento, los derechos del titular frente a cualquier otro interés.