top of page
Buscar

Guía SPDP sobre protección de datos desde el diseño y por defecto en Ecuador

  • Foto del escritor: Denisse Unda
    Denisse Unda
  • hace 5 días
  • 4 Min. de lectura

Cada nuevo proyecto, sistema o canal digital que maneja datos personales es una fuente potencial de riesgo… o una oportunidad para demostrar cumplimiento y confianza. Consciente de ello, la Superintendencia de Protección de Datos Personales (SPDP) expidió, mediante Resolución No. SPDP-SPD-2025-0040-R publicada el 13 de noviembre de 2025, la Guía de Protección de Datos Personales desde el Diseño y por Defecto (la “Guía”), que orienta a las empresas sobre cómo integrar la protección de datos desde la fase de planificación.

¿Qué significa “Protección de Datos desde el Diseño y por Defecto”?

 Aunque el término suene técnico, la idea es muy concreta:

  1. Desde el diseño:

Cada nuevo proyecto que use datos personales (plataformas digitales, procesos internos, apps, software, etc.) debe pensar en la privacidad desde la fase de planificación. No se trata de “parchar” después, sino de evitar desde el inicio que se generen riesgos innecesarios.

  1. Por defecto:

Las configuraciones de los sistemas deben venir predefinidas para proteger al usuario:

  • Se recolecta solo lo estrictamente necesario.

  • Los accesos son limitados por defecto.

  • Las funciones que puedan exponer datos no se activan automáticamente.

Aplicar este enfoque reduce riesgos, facilita el cumplimiento de la normativa y, sobre todo, refuerza la confianza de clientes y usuarios en los servicios de la organización.

¿Qué establece la nueva Guía?

 La Guía propone un marco práctico basado en tres pilares que las organizaciones deben integrar para cumplir con la LOPDP y gestionar bien sus riesgos: DevPrivOps, DevSecOps y DevRiskOps.

Pilares

En qué consiste

 

DevPrivOps – Operaciones centradas en la privacidad

 

Define ocho principios que deben guiar cualquier tratamiento de datos personales:

  1. Minimizar: pedir solo los datos necesarios.

  2. Ocultar: aplicar mecanismos que impidan que los datos personales expongan directamente la identidad de los titulares.

  3. Separar: evitar bases de datos centralizadas que faciliten la identificación.

  4. Abstraer: reducir el nivel de detalle cuando no sea imprescindible.

  5. Informar: transparencia total con los titulares.

  6. Controlar: facilitar mecanismos a titulares para controlar el tratamiento de sus datos personales.

  7. Cumplir: implementar las obligaciones en la práctica, no solo en políticas.

  8. Demostrar: documentar, auditar y evidenciar cumplimiento.

 

DevSecOps – Seguridad en todas las fases del desarrollo

 

Para empresas que desarrollan, personalizan o implementan software, la Guía exige que la seguridad esté integrada en todo el ciclo de vida:

  1. Incorporar seguridad desde el inicio (“shift left”).

  2. Automatizar pruebas y controles.

  3. Integrar equipos de desarrollo, operaciones, seguridad y protección de datos.

  4. Monitorear el comportamiento del sistema de forma continua.

DevRiskOps – Gestión de riesgos alineada a la LOPDP

Todo proyecto o actividad que trate datos personales debe gestionarse bajo un enfoque de riesgo:

  1. Evaluar riesgos sobre los derechos de las personas.

  2. Integrar riesgos jurídicos y de seguridad de la información.

  3. Utilizar estándares de mejores prácticas

  4. Justificar criterios y decisiones (rationales).

  5. Evitar una “conformidad en papel” y aplicar controles reales.

  6. Realizar auditorías y evaluar continuamente los niveles de madurez

  7. Diseñar el proyecto desde el inicio pensando en reducir la probabilidad y el impacto de incidentes que afecten la confidencialidad, integridad o disponibilidad de la información personal.

Así, la Guía no solo explica “qué exige la ley”, sino cómo integrar privacidad, seguridad y gestión de riesgos en la operación diaria de la empresa.

¿Qué deben hacer las empresas ahora? (Recomendaciones prácticas)

A la luz de la Guía, las organizaciones deberían adoptar, al menos, las siguientes acciones inmediatas:

  • Mapear proyectos y procesos que usan datos personales: Incluye desarrollo de software, plataformas internas, sistemas educativos, médicos, de clientes, recursos humanos, servicios web y cualquier flujo que trate información personal.

  • Verificar si incorporan privacidad “desde el diseño”: Revisar si los proyectos integran controles desde la planificación y no solo en fases finales.

  • Actualizar políticas internas y modelos de gestión de riesgos: Incluir los principios DevPrivOps, DevSecOps y DevRiskOps en procedimientos, metodologías y estándares internos.

  • Evaluar si corresponde una Evaluación de Impacto (EIPD): Especialmente en proyectos nuevos, servicios digitales, automatizaciones o transformaciones tecnológicas donde el riesgo pueda ser alto.

  • Documentar y conservar evidencias de cumplimiento: Registros, auditorías, decisiones, análisis de riesgos, criterios técnicos y justificaciones deben estar disponibles y actualizados.

  • Prepararse para la próxima guía de controles de riesgo de la SPDP: La autoridad emitirá un documento adicional sobre controles y niveles de madurez que complementará la presente Guía, por lo que conviene tener procesos listos para alinearse rápidamente.

¿Por qué es importante para su organización?

El incumplimiento de estas obligaciones puede generar riesgos:

  • legales (sanciones y medidas correctivas),

  • reputacionales (pérdida de confianza de clientes, usuarios y socios) y

  • operativos (interrupción de servicios, costos de remediación e incident management).

Además, la Superintendencia avanza hacia un marco regulatorio cada vez más detallado y exigible, por lo que la capacidad de demostrar cumplimiento será clave en eventuales procesos de supervisión.

Implementar la protección de datos personales “desde el diseño y por defecto” no solo reduce estos riesgos, sino que también permite optimizar recursos, prevenir incidentes y fortalecer la seguridad organizacional a largo plazo, integrando privacidad, seguridad y gestión de riesgos en un mismo modelo de gobierno. Nuestro equipo está disponible para asesorarle en la aplicación práctica de esta nueva obligación regulatoria, incluyendo la revisión de proyectos, modelos de gobierno de datos, evaluaciones de impacto (EIPD) y esquemas de documentación para evidenciar cumplimiento ante la autoridad.


¿Qué es la protección de datos personales desde el diseño?

Es un enfoque que exige integrar la privacidad en la fase de planificación de cualquier sistema o proceso que trate datos personales.

¿Qué principios incluye el modelo DevPrivOps?

DevPrivOps incorpora ocho principios como minimizar, ocultar, separar, abstraer, informar, controlar, cumplir y demostrar el cumplimiento de la normativa.

¿A quién aplica la nueva Guía de la SPDP?

A todas las organizaciones que desarrollen o usen sistemas que traten datos personales en Ecuador, especialmente en sectores como tecnología, salud, educación y servicios financieros.

¿Qué riesgos existen por no aplicar la Guía?

Sanciones legales, pérdida de reputación, interrupciones operativas y costos de remediación ante incidentes de datos personales.

¿Qué es una Evaluación de Impacto en Protección de Datos (EIPD)?

Es un análisis previo para identificar y mitigar riesgos sobre los derechos de las personas antes de iniciar un tratamiento de datos personales.


aviso legal

Aviso Legal

El contenido de este blog se proporciona únicamente con fines informativos y educativos y no debe considerarse como asesoramiento legal.

 

La normativa en Ecuador está sujeta a modificaciones y actualizaciones que pueden afectar la aplicabilidad y precisión de los contenidos publicados aquí.

 

No garantizamos que la información presentada sea precisa, completa o actualizada en el momento de su lectura. Por lo tanto, no se debe interpretar que los posts pasados reflejan necesariamente la normativa vigente.

 

Recomendamos encarecidamente la consulta con nuestros abogados calificados para obtener asesoramiento específico y personalizado.

Oficinas

Quito y Guayaquil

Teléfono

+59322232720

Email

info@lmzabogados.com

Conecta con nosotros

  • LinkedIn
  • Facebook
  • Instagram
  • https://twitter.com/MZAbogadosEC
bottom of page