RESOLUCIÓN Nº SPDP-SPDP-2024-0010-R

# EL SUPERINTENDENTE DE PROTECCIÓN DE DATOS PERSONALES

Que a través de la Ley Orgánica de Protección de Datos Personales (“LOPDP”), publicada en el Quinto Suplemento del Registro Oficial Nº 459 del 26 mayo del 2021, se creó la Superintendencia de Protección de Datos Personales como un órgano técnico de control, con potestad sancionatoria, de administración desconcentrada, con personalidad jurídica y autonomía administrativa, técnica, operativa y financiera;

Que artículo 38 LOPDP señala que: “El mecanismo gubernamental de seguridad de la información deberá incluir las medidas que deban implementarse en el caso de tratamiento de datos personales para hacer frente a cualquier riesgo, amenaza, vulnerabilidad, accesos no autorizados, pérdidas, alteraciones, destrucción o comunicación accidental o ilícita en el tratamiento de los datos conforme al principio de seguridad de datos personales. El mecanismo gubernamental de seguridad de la información abarcará y aplicará a todas las instituciones del sector público, contenidas en el artículo 225 de la Constitución de la República de Ecuador, así como a terceros que presten servicios públicos mediante concesión, u otras figuras legalmente reconocidas. Estas, podrán incorporar medidas adicionales al mecanismo gubernamental de seguridad de la información” ;

Que el artículo 83 del Reglamento General de la Ley Orgánica de Protección de Datos Personales determina que “(…) Son atribuciones del Superintendente de Protección de Datos Personales, a más de las señaladas en la Ley y este Reglamento, las siguientes: (...) 5. Aprobar y expedir normas internas, resoluciones y manuales que sean necesarios para el buen funcionamiento de la Autoridad a su cargo (…)” ;

Que el literal d) del artículo 19 de la Ley Orgánica para la Transformación Digital y Audiovisual (“LOTDA”) establece que, en el marco de seguridad digital del Estado, a las entidades de la Administración Pública les corresponde “establecer, mantener y documentar un Sistema de Gestión de la Seguridad de la Información” ;

Que el artículo 20 LOTDA estatuye que el Marco de Seguridad Digital “se articula y sustenta en las normas, procesos, roles, responsabilidades y mecanismos regulados e implementados a nivel nacional en materia de Seguridad de la Información” ; que la seguridad de la información “se enfoca en la información, de manera independiente de su formato y soporte” ; y, que la seguridad digital “se ocupa de las medidas de la seguridad de la información procesada, transmitida, almacenada o contenida en el entorno digital, procurando generar confianza, gestionando los riesgos que afecten la seguridad de las personas y la prosperidad económica y social en dicho entorno” ;

Que mediante acuerdo Nº MINTEL-MINTEL-2024-0003 dictado por el Ministro de Telecomunicaciones y de la Sociedad de la Información, publicado en el Tercer Suplemento del Registro Oficial Nº 509 del 1 de marzo del 2024, se expidió el Esquema Gubernamental de Seguridad de la Información – EGSI, cuya implementación es obligatoria en las entidades, organismos e instituciones del sector público, de conformidad con lo establecido en el artículo 225 de la Constitución de la República del Ecuador;

Que el artículo 6 del citado acuerdo Nº MINTEL-MINTEL-2024-0003 señala, como obligación de la máxima autoridad de la respectiva institución, designar, dentro de aquella, un Comité de Seguridad de la Información (“CSI”) que estará integrado por “los responsables de las siguientes áreas o quienes hagan sus veces: Planificación quien lo presidirá, Talento Humano, Administrativa, Comunicación Social, Tecnologías de la Información, Jurídica y el Delegado de protección de datos” ;

Que el artículo 8 del aludido acuerdo Nº MINTEL-MINTEL-2024-0003 determina que la máxima autoridad deberá designar, al interior de la institución que dirige, “un funcionario como

Oficial de Seguridad de la Información (OSI)”, que deberá acreditar formación y experiencia de no menos de dos años en “áreas de seguridad de la información, ciberseguridad, de preferencia del nivel jerárquico superior” ;

Que mediante resolución Nº SPDP-SPDP-2024-0001-R del 2 de agosto del 2024, publicada en el Tercer Suplemento del Registro Oficial Nº 624 del 19 de agosto del 2024, el Superintendente de Protección de Datos Personales aprobó el Estatuto Orgánico de Gestión Organizacional por Procesos de Arranque de la Superintendencia de Protección de Datos Personales;

EN EJERCICIO de las facultades y atribuciones constitucionales, legales y reglamentarias,

Primera.- Los Intendentes Generales, Directores y Responsables de Unidad, además de todos los servidores involucrados en el desarrollo y ejecución del CSI, serán los encargados de la ejecución de esta resolución.

Segunda.- El CSI de la SPDP, en un término no mayor a quince días contados a partir de la vigencia de esta resolución, elaborará su agenda y reglamento de funcionamiento.

Tercera.- El presidente del CSI comunicará la designación del OSI de la SPDP a la Subsecretaria de Gobierno Electrónico y Registro Civil del Ministerio de Telecomunicaciones y de la Sociedad de la Información, a través de las herramientas que para el efecto se utilicen.

DISPOSICIÓN FINAL

Esta resolución entrará en vigencia a partir de su suscripción, sin perjuicio de su publicación en el Registro Oficial.

Dada y firmada en la ciudad de Santiago de Guayaquil, el 21 de octubre del 2024.

``` Firmado electrónicamente por: FABRIZIO ROBERTO PERALTA DIAZ

```

FABRIZIO PERALTA-DÍAZ SUPERINTENDENTE DE PROTECCIÓN DE DATOS PERSONALES