# EL SUPERINTENDENTE DE PROTECCIÓN DE DATOS PERSONALES
Que el numeral 19 del artículo 66 de la Constitución de la República del Ecuador (“CRE”) les reconoce y garantiza a las personas el derecho “a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos o información requerirán la autorización del titular o el mandato de la ley” ;
Que el artículo 213 de la CRE establece que “[l]as superintendencias son organismos técnicos de vigilancia, auditoría, intervención y control de las actividades económicas, sociales y ambientales, y de los servicios que prestan las entidades públicas y privadas, con el propósito de que estas actividades y servicios se sujeten al ordenamiento jurídico y atiendan al interés general (…)” ; que forman parte de la Función de Transparencia y Control Social; y que, conforme lo dispone el artículo 204 idem, detentan “personalidad jurídica y autonomía administrativa, financiera, presupuestaria y organizativa (…)” ;
Que a través de la LOPDP se creó la Superintendencia de Protección de Datos Personales (“SPDP”) como un órgano de control, con potestad sancionatoria, de administración desconcentrada, con personalidad jurídica y autonomía administrativa, técnica, operativa y financiera, cuyo máximo titular es, de acuerdo con el inciso primero del artículo 76 ídem, el Superintendente de Protección de Datos Personales;
Que el artículo 1 de la LOPDP declara que aquella tiene por objeto y finalidad “(…) garantizar el ejercicio del derecho de protección de datos personales, que incluye el acceso y decisión sobre información y datos de ese carácter, así como su correspondiente protección”, para lo cual este cuerpo legal “regula, prevé y desarrolla principios, derechos, obligaciones y mecanismos de tutela” ;
Que el artículo 76 de la LOPDP establece que “[l]a Autoridad de Protección de Datos Personales es el órgano de control y vigilancia encargado de garantizar a todos los ciudadanos la protección de sus datos personales, y de realizar todas las acciones necesarias para que se respeten los principios, derechos, garantías y procedimientos previstos en la [Ley Orgánica de Protección de Datos Personales]”;
Que el numeral 5 de ese mismo artículo 76 de la LOPDP le confiere a la SPDP funciones, atribuciones y facultades para “[e]mitir normativa general o técnica, criterios y demás actos que sean necesarios para el ejercicio de sus competencias y la garantía del ejercicio del derecho a la protección de datos personales” ;
Que el artículo 9 del Reglamento General de la Ley Orgánica de Protección de Datos Personales (“RGLOPDP”) establece que: “(…) [u]na vez cumplida la o las finalidades del tratamiento y cuando no exista disposición legal o reglamentaria o no incurra la necesidad de mantener los datos en virtud del interés legítimo del responsable, o por cumplimiento de una obligación legal que establezca lo contrario, el responsable deberá proceder a la eliminación, bloqueo o anonimización de los datos en su posesión”, sin perjuicio de que el responsable establezca los “procedimientos para la conservación, revisión periódica, eliminación de los datos personales (…)” ;
Que mediante resolución N° SPDP-SPDP-2024-0001-R del 2 de agosto del 2024, publicada en el Tercer Suplemento del Registro Oficial N° 624 del 19 de agosto del 2024, el Superintendente de Protección de Datos Personales aprobó el Estatuto Orgánico de Gestión Organizacional por Procesos de Arranque de la Superintendencia de Protección de Datos Personales;
Que la letra b), numeral 2 del artículo 10 de la resolución N° SPDP-SPDP-2024-0001-R establece que a la Intendencia General de Regulación de Protección de Datos Personales (“IRD”) le corresponde, entre otras atribuciones y responsabilidades, “[d]irigir y proponer la elaboración de las propuestas o proyectos normativos para crear, reformar o derogar los actos normativos, sean estos políticas, directrices, reglamentos, resoluciones, lineamientos, normas técnicas, oficios circulares, etcétera, necesarios para el ejercicio de todas las competencias y atribuciones propias de la Superintendencia de Protección de Datos Personales, con los previos informes técnicos de las unidades administrativas sustantivas y adjetivas relacionadas con el ámbito de aplicación de tales normas; así como, todos aquellos actos normativos relacionados con el ejercicio, tutela y procedimientos administrativos de gestión que garanticen a las personas naturales la plena vigencia de sus derechos y deberes previstos en dicha ley y su reglamento (…)” ;
Que la letra c), numeral 2 del artículo 10 de la resolución N° SPDP-SPDP-2024-0001-R, establece, entre las atribuciones y responsabilidades de la IRD, la de “[d]irigir y proponer la presentación al Superintendente de Protección de Datos Personales de las propuestas de normas, reglamentos, directrices, resoluciones, normas técnicas, oficios circulares, etcétera, vinculados con la regulación de protección de datos personales, para su expedición (…)” ;
Que a través de la letra a) del artículo 4 de la resolución N° SPDP-SPD-2025-0001-R del 31 de enero del 2025, publicada en el Registro Oficial N° 750 del 24 de febrero del 2025, mediante la cual se expidieron las disposiciones, delegaciones de facultades y atribuciones a las autoridades, funcionarios y servidores públicos de la SPDP, se le delegó al Intendente General Regulación de Protección de Datos Personales, entre otras, la responsabilidad de “[e]mitir normativa general o técnica, criterios y demás actos que sean necesarios para el ejercicio de sus competencias y la garantía del ejercicio del derecho a la protección de datos personales (…)” ;
Que la disposición transitoria del Reglamento para la Elaboración y Aprobación del Plan Regulatorio Institucional de la SPDP —expedido mediante resolución Nº SPDP-SPDP-20240018-R del 30 de octubre del 2024, publicada en el Segundo Suplemento del Registro Oficial Nº 679 del 8 de noviembre del 2024— establece que “(…) el PRI correspondiente a los años fiscales 2024 y 2025 no seguirá el procedimiento establecido en este reglamento y, por ende, se elaborará únicamente a base de los informes técnicos emitidos por las Unidades Administrativas correspondientes; validados por la [IRD]; aprobados por el Superintendente o su delegado; y, finalmente, publicado en los portales oficiales de la SPDP cuando estén habilitados” ;
Que mediante la resolución N° SPDP-SPD-2025-0002-R del 3 de febrero del 2025 se aprobó el Plan Regulatorio Institucional del año 2025, dentro del cual se ha establecido la necesidad de establecer los lineamientos para la aplicación de las medidas de seudonimización, anonimización, bloqueo, suspensión y eliminación de datos personales;
Que la Intendencia General de Control y Sanción (“ICS”), a través del informe técnico Nº INF-SPDP-ICS-2025-0011 del 16 de abril del 2025, justificó la necesidad de regular los lineamientos para delimitar y determinar cuándo y cuáles son los datos personales que deben ser anonimizados, bloqueados o eliminados, lo que permitiría garantizar lo establecido en la LOPDP y el RGLOPDP; informe técnico que, en su parte pertinente, identificó que la emisión de “(...)
[l]a [G]uía [para la Anonimización, Bloqueo, Suspensión y Eliminación de Datos Personales] proporcionará un marco normativo claro y accesible, fortaleciendo la confianza en el sistema de protección de datos personales y promoviendo una cultura de cumplimiento y responsabilidad en el tratamiento de la información (...)” ;
Que, mediante memorando N° SPDP-ICS-2025-0036-M suscrito el 16 de abril de 2025, la ICS remitió el informe técnico de necesidad N° INF-SPDP-ICS-2025-0011 a la Intendencia General de Regulación de Protección de Datos Personales (“IRD”);
Que la IRD, a través del informe técnico Nº INF-SPDP-IRD-2025-0022 del 30 de abril del 2025, justificó la pertinencia y la necesidad de determinar los lineamientos generales para la aplicación de las medidas de anonimización, bloqueo, suspensión y eliminación de datos personales, en concordancia con el ciclo de vida del dato, así como para el ejercicio de los derechos reconocidos en la LOPDP y el RGLOPDP; informe técnico que, en su parte pertinente, señala: “(…) La SPDP en ejercicio de sus funciones y atribuciones está facultada de conformidad con el numeral 5 del artículo 76 de la LOPDP para emitir el Reglamento para la
[Seudonimización,] Anonimización, Bloqueo, Suspensión y Eliminación de Datos Personales.” ; y, recomendó: “(…) iniciar con el proceso de socialización del proyecto de Reglamento para la
[Seudonimización,] Anonimización, Bloqueo, Suspensión y Eliminación de Datos Personales, en cumplimiento con lo dispuesto por la Resolución N° SPDP-SPDP-2024-0022-R para que en el término de veinte (20) días la ciudadanía pueda realizar sus aportes” ;
Que por medio del memorando N° SPDP-IRD-2025-0069-M, suscrito el 30 de abril del 2025, la IRD puso en conocimiento de la Dirección de Asesoría Jurídica (“DAJ”) tanto el proyecto normativo denominado Reglamento para la [Seudonimización,] Anonimización, Bloqueo, Suspensión y Eliminación de Datos Personales, como el informe técnico N° INF- SPDP-IRD-2025-0022, para que, dentro del término de diez días, se pronuncie sobre la concordancia con la normativa y la legalidad, de conformidad con lo dispuesto en la resolución N° SPDP-SPDP-2024-0022-R del 31 de diciembre del 2024, que contiene el Reglamento para la Creación, Modificación y Derogatoria de la Normativa de la Superintendencia de Protección de Datos Personales, publicado en el Registro Oficial N° 734 del 31 de enero del 2025;
Que a través del informe jurídico N° INF-SPDP-DAJ-2025-0011, remitido a la IRD mediante memorando N° SPDP-DAJ-2025-0041-M suscrito el 30 de abril del 2025, la DAJ determinó que el Reglamento para la [Seudonimización,] Anonimización, Bloqueo, Suspensión y Eliminación de Datos Personales, es congruente con los principios establecidos en la LOPDP, por cuanto no transgrede o contradice normas matrices, cumple con el principio de legalidad y, por ello, recomiendó que “(…) [l]a IRD debe solicitar a quien corresponda la publicación a través de la página web institucional e informar su publicación a través de las redes sociales institucionales, con la finalidad de que la ciudadanía, las organizaciones de la sociedad civil o interesados en general, de manera motivada, puedan remitir sus observaciones
o realizar aportes respecto del contenido (…)” ;
Que mediante el memorando N° SPDP-IRD-2025-0072 suscrito el 30 de abril del 2025, la IRD solicitó a las unidades administrativas de la SPDP que procedan con las acciones pertinentes, a fin de que publiquen el borrador del Reglamento para la [Seudonimización,] Anonimización, Bloqueo, Suspensión y Eliminación de Datos Personales, en la página web institucional y en las redes sociales de la SPDP, para que el proyecto de normativa esté disponible para la ciudadanía, las organizaciones de la sociedad civil o los interesados en general desde el 30 de abril al 30 de mayo del 2025, inclusive, con el objeto de poder recibir sus observaciones o aportes, siempre que estuvieren debidamente motivados;
Que, para cumplir con la resolución Nº SPDP-SPDP-2024-0022-R, se ejecutó el proceso de socialización del Reglamento para la Seudonimización, Anonimización, Bloqueo, Suspensión y Eliminación de Datos Personales, dentro del término de veinte días, de conformidad con el artículo 12 de dicha resolución; y, como resultado de ese proceso, se redefinió la denominación del proyecto como Reglamento para la Seudonimización, Anonimización, Bloqueo, Suspensión y Eliminación de Datos Personales;
Que a través del informe técnico Nº INF-SPDP-IRD-2025-0057, la IRD incorporó las observaciones y aportes que se consideraron relevantes y adecuados, previa justificación de las modificaciones realizadas al proyecto normativo;
Que mediante memorando Nº SPDP-IRD-2025-0149-M del 4 de agosto del 2025, la IRD remitió todo el expediente al suscrito Superintendente de Protección de Datos Personales para que realice las observaciones correspondientes o, en su caso, para que lo apruebe;
Que mediante memorando N° SPDP-SPD-2025-0107-M del 5 de agosto de 2025, el suscrito Superintendente de Protección de Datos Personales comunicó a la IRD las observaciones que realizó al Reglamento para la Seudonimización, Anonimización, Bloqueo, Suspensión y Eliminación de Datos Personales; y, además, solicitó que aquellas sean revisadas de conformidad con el artículo 14 del Reglamento para la Creación, Modificación y derogatoria de la Normativa de la Superintendencia de Protección de Datos Personales;
Que mediante memorando N° SPDP-IRD-2025-0153-M del 7 de agosto de 2025, la IRD puso en conocimiento del Superintendente de Protección de Datos Personales el Reglamento para la Seudonimización, Anonimización, Bloqueo, Suspensión y Eliminación de Datos Personales debidamente subsanado, de conformidad con el artículo 14 del aludido Reglamento para la Creación, Modificación y derogatoria de la Normativa de la Superintendencia de Protección de Datos Personales;
EN EJERCICIO de sus atribuciones constitucionales, legales y reglamentarias,
EXPEDIR EL REGLAMENTO PARA LA SEUDONIMIZACIÓN, ANONIMIZACIÓN, BLOQUEO Y
ELIMINACIÓN DE DATOS PERSONALES
Este reglamento tiene por objeto establecer los lineamientos generales para: 1.1. La aplicación de las medidas de seudonimización, anonimización, bloqueo, suspensión y eliminación de datos personales, en concordancia con el ciclo de vida del dato; y, 1.2. El ejercicio de los derechos reconocidos en la Ley Orgánica de Protección de Datos Personales y en su Reglamento General.
Este reglamento es de aplicación obligatoria para todos los integrantes del sistema de protección de datos personales.
Las palabras, siglas y acrónimos enlistados a continuación tendrán los siguientes significados: 3.1. Anonimización: Medida de seguridad técnica dirigida a impedir la identificación o reidentificación de una persona natural, sin esfuerzos desproporcionados. 3.2. Bloqueo: Medida técnica que inhabilita el acceso a los datos personales, de forma que no puedan ser objeto de tratamiento. 3.3. Eliminación: Supresión definitiva de los datos personales de las bases de datos, de manera que aquellos ya no sean accesibles ni recuperables. 3.4. LOPDP: Ley Orgánica de Protección de Datos Personales. 3.5. RGLOPDP: Reglamento General de la Ley Orgánica de Protección de Datos Personales. 3.6. Seudonimización: Proceso mediante el cual los datos personales se sustituyen por seudónimos, de forma tal que, luego, no puedan atribuirse a un titular sin el uso de información adicional separada y debidamente protegida. 3.7. SPDP: Superintendencia de Protección de Datos Personales. 3.8. Suspensión: Limitación temporal que, sin conllevar la eliminación de datos personales, restringe o impide al responsable, de forma provisional, para que pueda llevar a cabo nuevas actividades de tratamiento por un lapso específico. 3.9. Tecnología de mejora de privacidad: Conjunto de herramientas tecnológicas y metodologías destinadas a reforzar la protección de los datos personales, mediante medidas tales como seudonimización, anonimización o cifrado de los datos objeto de tratamiento.
Para la aplicación de este reglamento se observarán, en todo momento, los principios y derechos establecidos en la Constitución de la República del Ecuador; en los tratados y convenios internacionales en materia de protección y privacidad de datos personales; en la LOPDP y en el RGLOPDP; y, en general, cualquier norma jurídica que, expedida de conformidad con la Constitución de la República, tenga o pudiere tener, como ámbito de aplicación material, el tratamiento de datos personales.
La seudonimización es una medida técnica que preserva la posibilidad de reidentificación de los datos personales objeto de tratamiento, bajo condiciones controladas y seguras, para lo cual será obligatorio que el responsable o el encargado del tratamiento ejecute un análisis de gestión de riesgos de acuerdo con lo dispuesto en la normativa de protección de datos personales. Los datos seudonimizados mantendrán el estatus de datos personales y continuarán sujetos a las obligaciones establecidas por la LOPDP, el RLOPDP y demás normativa aplicable en la materia.
La seudonimización podrá emplearse en los siguientes casos, siempre y cuando el responsable o el encargado del tratamiento contaren con una base de legitimación que legalmente se los permita y en la medida en que ¾de forma previa a la aplicación de esta medida de seguridad— se hubiere realizado un análisis de gestión de riesgos para evitar la identificación directa del titular sin afectar la finalidad del tratamiento: 6.1. Prestación de servicios o productos, cuando no sea imprescindible conocer la identidad del titular; 6.2. Procesos de investigación científica, histórica o estadística, incluido el ámbito sanitario, de acuerdo con el principio de minimización; y, 6.3. Auditorías internas, pruebas de sistemas o análisis de seguridad.
Si se realizare una acción de reidentificación, aquella deberá ser registrada a fin de garantizar la seguridad jurídica, así como para garantizar los principios y derechos de protección de datos personales establecidos en la LOPDP.
Todas las categorías de datos personales podrán ser objeto de la medida de seguridad técnica de anonimización. La anonimización deberá ser exhaustiva considerando todos los atributos que, directa o indirectamente, podrían llevar a la reidentificación, incluso al combinarse con otra información. Por ende, los responsables y los encargados del tratamiento estarán obligados a evaluar exhausitivamente las implicaciones de la anonimización en la adecuada prestación de servicios de salud y demás temas relacionados.
Los responsables o encargados del tratamiento de datos personales sensibles, para cumplir los principios establecidos en la LOPDP y de manera previa a la implementación de la medida de seguridad técnica de anonimización, deberán disponer de metodologías de análisis y gestión de riesgos adaptadas a la naturaleza de los datos personales que tratan; al estado de la técnica; a las particularidades del tratamiento, así como a las de las partes involucradas; y, además, habrán de verificar la posibilidad de implementarlas a fin de evitar inconformidades en la continuidad y calidad de los servicios que proveen.
Para el tratamiento de datos personales de salud se priorizará la anonimización, siempre que fuere posible, con el objeto de evitar la identificación de los titulares y siempre de forma previa a la realización de un análisis de riesgos por parte del responsable o del encargado del tratamiento, según corresponda. Todo tratamiento de datos de salud anonimizados requerirá la autorización previa de la SPDP, de conformidad con la LOPDP.
Si los datos personales estuvieren debidamente anonimizados, no se requerirá del consentimiento del titular para su transferencia o comunicación.
Cumplida la finalidad del tratamiento por parte del responsable o del encargado, los datos personales podrán ser conservados durante el plazo que estuviere determinado por ley, únicamente si existiere una base de legitimación que lo habilite para el efecto.
El bloqueo implica que los datos se mantendrán de forma segura con acceso limitado y restringido, como forma de respaldo, por un periodo que fuere el pertinente según el sector que corresponda.
La decisión de bloquear los datos tras el cumplimiento de la obligación legal dependerá de la evaluación del riesgo y la necesidad de mantenerlos accesibles para otras finalidades legítimas por parte del responsable.
El derecho a la suspensión es aplicable a todos los tratamientos de datos personales, siempre que se cumplieren con los requisitos y procedimientos establecidos en la normativa vigente.
El titular de datos personales tiene la facultad de solicitarle al responsable del tratamiento que detenga temporalmente una determinada actividad de tratamiento, siempre y cuando se cumplan los supuestos establecidos en la LOPDP. En dichos casos, el responsable del tratamiento deberá suspender el tratamiento en un término no mayor de tres (3) días; y, en caso de que el tratamiento hubiese sido objeto de encargo, el responsable se lo deberá notificar al encargado del tratamiento, quien, obligatoriamente, deberá suspenderlo en un término no mayor de tres (3) días contados a partir de la notificación.
El responsable del tratamiento, a pesar de la suspensión solicitada por el titular, podrá tratar los datos personales en los siguientes supuestos: 17.1. Para la formulación, el ejercicio, la defensa de reclamaciones y/o solicitudes presentadas por el titular de datos personales, con la finalidad de poder seguir los procedimientos establecidos; 17.2. Para proteger los derechos de otra persona natural o jurídica, para lo cual se tendrá que realizar un análisis de ponderación de derechos, en cuyo caso se deberá optar por la decisión menos gravosa; 17.3. Por razones de interés público establecidas en una norma con rango de ley, para lo cual se deberá cumplir con las condiciones de proporcionalidad y necesidad, en cuyo caso se respetarán, en todo momento, los principios de limitación, minimización y seguridad de los datos; y, 17.4. Por obligaciones legales previamente establecidas, las cuales deberán en todo momento respetar los principios de limitación, minimización y seguridad de los datos.
En caso de que el titular de los datos personales ejerciere el derecho de suspensión
el responsable deberá, de forma obligatoria, suspender o cesar aquellas actividades de tratamiento que se estén llevando a cabo sobre los datos personales del titular en un término no mayor a tres (3) días.
El derecho de eliminación es aplicable a todas las categorías de datos personales, siempre que se cumplan los requisitos y procedimientos establecidos en la normativa vigente. Se podrá eliminar o solicitar la eliminación de la totalidad de los datos de un tratamiento o solo de determinados datos personales, salvo que el responsable del tratamiento cuente con una base de legitimación que le permitiere conservarlos de acuerdo con la normativa de protección de datos personales. La eliminación de datos personales se extiende a los de las personas fallecidas, en cuyo caso el derecho será ejercido por los titulares de los derechos sucesorios, siempre y cuando lo pudieren acreditar legalmente. Los titulares de datos crediticios tienen el derecho de exigir la eliminación de dicha información ante las fuentes correspondientes, de conformidad con la LOPDP.
En caso de que el titular ejerciere el derecho de eliminación ante el responsable o ante el encargado del tratamiento, deberá el primero de los nombrados entregarle al titular un documento que acredite la eliminación de los datos personales objeto de tratamiento, inclusive de las medidas de seguridad implementadas, tanto de repositorios físicos y/o digitales. El mismo documento que acredite la eliminación de los datos personales objeto de tratamiento deberá ser entregado por el encargado al responsable del tratamiento, una vez finalizada la relación jurídica celebrada.
En lo que atañe a la solicitud de eliminación de datos personales presentada los titulares, así como en relación con las excepciones de eliminación, se estará a lo dispuesto en la normativa de protección de datos personales.
El derecho a la portabilidad faculta al titular a recibir, del responsable del tratamiento, sus datos personales, en un formato compatible, actualizado, estructurado, común, interoperable y de lectura mecánica, o a solicitar que se transmitan directamente a otro responsable del tratamiento de datos personales. Esta transferencia deberá realizarse cuando fuere técnicamente posible, sin que el responsable original pueda obstaculizarla de ninguna manera y bajo ningún concepto. Una vez que la transferencia de datos se hubiere completado de manera exitosa hacia el nuevo responsable del tratamiento, el responsable original quedará obligado a eliminar los datos transferidos de sus propios sistemas, salvo que, para su conservación, contare con una base legitimadora establecida en la LOPDP, con excepción del interés legítimo.
Cuando el titular ejerciere su derecho de eliminación ante el responsable del tratamiento, este último eliminará la información de sus propios registros y, además, deberá notificarles a todos los encargados de tratamiento y a los terceros a los que previamente encargó, transfirió o comunicó los datos personales, con la finalidad de que cada uno de aquellos eliminen los datos personales del titular de sus respectivos sistemas. Se entenderá que el derecho de eliminación deberá cumplirse de acuerdo con el plazo establecido en la LOPDP. Sin perjuicio de lo anterior, el encargado del tratamiento o el tercero deberán ejecutar el cumplimiento de la solicitud de eliminación en el término de tres (3) días. Los encargados o terceros podrán exceptuarse de eliminar los datos personales: 23.1. Si contaren con una base legitimadora para la conservación; o, 23.2. Si fueren a realizar un nuevo o distinto tratamiento de datos personales, en cuyo se pasarán a tener la calidad de responsables.
Al concluir la relación jurídica que vincula al encargado con el responsable del tratamiento de datos personales, el primero estará obligado a proceder con la devolución o, en su defecto, a eliminar los datos personales que hubiesen sido objeto de tratamiento durante la vigencia de dicha relación, para lo cual deberá actuar en estricto cumplimiento de las instrucciones formalmente emitidas por el responsable. El encargado del tratamiento deberá devolver los datos personales o, en su caso, eliminarlos dentro del término de cinco (5) días; y, además, deberá entregarle al responsable el documento que acredite la ejecución de dicha obligación. En todo contrato de encargo de datos personales se deberán establecer las cláusulas específicas necesarias que integren las condiciones que permitan ejecutar las acciones o los mecanismos que faciliten y garanticen la devolución y/o la eliminación de los datos personales al finalizar la relación jurídica. El encargado del tratamiento podrá conservar los datos personales, siempre y cuando contare con alguna de las bases de legitimación establecidas en la LOPDP, con excepción del interés legítimo.
En caso de incumplimiento de las disposiciones de la LOPDP o del RGLOPDP; de las directrices, los lineamientos o las regulaciones emitidas por la Superintendencia de Protección de Datos Personales y demás normativa aplicable en materia de protección de datos personales; o de transgresión de los principios que fundamentan este derecho, la SPDP estará facultada para dictar las medidas correctivas de eliminación de los datos personales, con el objetivo primordial de prevenir la continuación de la infracción y evitar su reiteración, sin perjuicio de la imposición de las sanciones administrativas que fueren pertinentes. DISPOSICIÓN GENERAL En un plazo de seis (6) meses contados a partir de la publicación de esta resolución en el Registro Oficial, la Intendencia General de Innovación Tecnológica y Seguridad de Datos Personales presentará a la Intendencia General de Regulación de Protección de Datos Personales, para su aprobación, la Guía Técnica de Seudonimización, Anonimización, Bloqueo, Suspensión y Eliminación en Protección de Datos Personales. DISPOSICIÓN FINAL Esta resolución entrará en vigencia a partir de su suscripción, sin perjuicio de su publicación en el Registro Oficial. Dada y firmada en Quito, D. M., el 7 de agosto del 2025. ``` Firmado electrónicamente por: FABRIZIO ROBERTO PERALTA DIAZ Validar únicamente con FirmaEC