Servicios Equipo Publicaciones
Responsabilidad Social Corporativa Sobre Nosotros Únete a PBP Contáctenos Family Office
ES

Buscar

agosto 08, 2025

Nueva regulación sobre el ciclo de vida de los datos personales en Ecuador

Publicaciones internas

Protección de Datos Personales

Resolución Nº SPDP-SPD-2025-0030-R – Superintendencia de Protección de Datos Personales

 

El 7 de agosto de 2025, la SPDP emitió el Reglamento para la Seudonimización, Anonimización, Bloqueo, Suspensión y Eliminación de Datos Personales, que establece medidas técnicas obligatorias y plazos de respuesta para todas las organizaciones que traten datos personales en Ecuador.        

 

Estas obligaciones cubren todo el ciclo de vida del dato, desde su tratamiento activo hasta su eliminación definitiva, y fijan reglas claras para el ejercicio de derechos por parte de los titulares.

 

Seudonimización

  • ¿Qué es? Sustitución de los datos personales por seudónimos, de forma que no puedan vincularse a un titular sin información adicional separada y protegida.
  • ¿Cuándo se aplica?
    • Prestación de servicios o productos cuando no sea imprescindible conocer la identidad.
    • Procesos de investigación científica, histórica o estadística, incluido el ámbito sanitario, aplicando el principio de minimización.
    • Auditorías internas, pruebas de sistemas o análisis de seguridad.
  • Requisitos:
    • Análisis de gestión de riesgos previo a su aplicación.
    • Control estricto de la información que permitiría reidentificar al titular.
    • Registro obligatorio de cualquier acción de reidentificación.
  • Importante: Los datos seudonimizados siguen siendo datos personales y mantienen las obligaciones de la LOPDP.

 

Anonimización

  • ¿Qué es? Medida técnica que elimina la posibilidad de identificar o reidentificar al titular, incluso combinando datos con otras fuentes.
  • Alcance:
    • Aplicable a todas las categorías de datos personales.
    • Para datos sensibles se requiere metodología y análisis de riesgos adaptados a la naturaleza y contexto del tratamiento.
  • Datos de salud:
    • Debe priorizarse siempre que sea posible para evitar la identificación del titular.
    • Requiere autorización previa de la SPDP antes de su tratamiento.
  • Beneficio: Si los datos están debidamente anonimizados, pueden transferirse o comunicarse sin el consentimiento del titular.

 

Bloqueo

  • ¿Qué es? Medida que inhabilita el acceso a los datos personales para que no puedan ser objeto de tratamiento activo.
  • ¿Cuándo se aplica?
    • Una vez cumplida la finalidad del tratamiento, pero existiendo obligación legal o base legítima para conservarlos.
    • Como respaldo seguro por un periodo definido según la normativa sectorial.
  • Condiciones:
    • Acceso limitado y restringido.
    • Evaluación previa de riesgos para justificar su mantenimiento.

 

Suspensión

  • ¿Qué es? Limitación temporal del tratamiento de datos personales a solicitud del titular.
  • Plazo de respuesta:
    • El responsable debe suspender el tratamiento en máximo 3 días desde la solicitud.
    • Si hay encargados, deben suspenderlo también en 3 días contados desde la notificación.
  • Excepciones: El tratamiento puede continuar si es necesario para:
    • Formular, ejercer o defender reclamaciones del titular.
    • Proteger derechos de terceros, aplicando análisis de ponderación.
    • Cumplir con interés público previsto en ley.
    • Atender obligaciones legales vigentes.

Eliminación

  • ¿Qué es? Supresión definitiva de datos personales, impidiendo su acceso o recuperación.
  • Aplicación:
    • Todas las categorías de datos, incluidos los de personas fallecidas (a través de herederos acreditados).
    • Puede afectar la totalidad o solo parte de los datos de un tratamiento.
  • Plazos y obligaciones:
    • Encargados y terceros deben eliminarlos en máximo 3 días desde la notificación.
    • El responsable debe entregar al titular un documento que acredite la eliminación y las medidas adoptadas (físicas y digitales).
  • Relación con la portabilidad:
    • Tras transferir los datos a otro responsable, el original debe eliminarlos, salvo que exista base legal de conservación (no se admite interés legítimo).
  • Contratos con encargados: Deben incluir cláusulas específicas para garantizar la devolución o eliminación de datos al finalizar la relación.

 

Recomendaciones de PBP

  1. Actualizar políticas internas y manuales para incluir estos cinco procedimientos.
  2. Revisar contratos con encargados y terceros, asegurando el cumplimiento de plazos y obligaciones.
  3. Implementar protocolos documentados para seudonimización, anonimización, bloqueo, suspensión y eliminación.
  4. Capacitar a los equipos internos para cumplir con plazos de 3 días y mantener trazabilidad de acciones.

 

En Pérez Bustamante & Ponce ofrecemos asesoría integral para adaptar su empresa a esta nueva normativa, reduciendo riesgos regulatorios y fortaleciendo la confianza de sus clientes.

 

Consejo Editorial

Compartir artículo