top of page
Buscar

Nueva Normativa sobre el Uso del Interés Legítimo en el Tratamiento de Datos Personales en Ecuador

  • Foto del escritor: Denisse Unda
    Denisse Unda
  • hace 16 horas
  • 5 Min. de lectura

En el Primer Suplemento del Registro Oficial se publicó la Normativa general para la aplicación del interés legítimo como base de legitimación para el tratamiento de datos personales ( Resolución No. SPDP-SPD-2025-0041-R de la Superintendencia de Protección de Datos Personales). Su entrada en vigor marca un cambio sustancial en la forma en que las organizaciones deben justificar tratamientos de datos personales sin consentimiento del titular.


Esta normativa desarrolla y operacionaliza los artículos 7 y 9 de la Ley Orgánica de Protección de Datos Personales (LOPDP), estableciendo criterios obligatorios, verificables y documentales para el uso del interés legítimo en el sector privado.


Finalidad y alcance de la normativa

El objetivo principal de la Resolución es:

  • Evitar el uso indiscriminado del interés legítimo.

  • Garantizar que esta base legal no vulnere los derechos y libertades fundamentales de los titulares.

  • Introducir un enfoque de responsabilidad proactiva, proporcionalidad, transparencia y gestión de riesgos.


La normativa es de aplicación obligatoria para todos los responsables y encargados del tratamiento que invoquen el interés legítimo como base de legitimación.


Concepto de interés legítimo según la SPDP

El interés legítimo no opera de manera automática y no puede presumirse. Su uso requiere siempre una justificación previa y documentada.


La normativa define el interés legítimo como una base de legitimación que permite el tratamiento de datos personales sin requerir el consentimiento del titular, siempre que:

  • El interés del responsable sea:

    • Lícito

    • Real y concreto

    • Proporcional

  • El tratamiento sea compatible con las expectativas razonables del titular.

  • No prevalezcan los derechos y libertades fundamentales del titular de los datos.


Evaluación de ponderación: requisito esencial

  1. Naturaleza obligatoria

Todo tratamiento basado en interés legítimo debe contar, antes de su inicio, con una evaluación de ponderación:

  • Previa

  • Motivada

  • Documentada

  • Disponible para el titular y para la SPDP


La ausencia de esta evaluación constituye una infracción grave conforme a la LOPDP.


  1. Contenido mínimo de la evaluación

La evaluación de ponderación debe analizar, como mínimo:

  • Idoneidad del tratamiento para alcanzar el fin propuesto.

  • Necesidad, verificando si existen alternativas menos invasivas.

  • Proporcionalidad, evaluando el impacto en los derechos del titular.

  • Naturaleza de los datos tratados.

  • Categorías de titulares afectados.

  • Contexto del tratamiento y expectativas razonables.

  • Volumen y alcance del tratamiento.

  • Riesgos identificados.

  • Medidas de mitigación técnicas, organizativas y legales.

  • Conclusión expresa sobre la admisibilidad del tratamiento.


  1. Evaluación simplificada

La normativa admite una evaluación simplificada únicamente cuando el tratamiento sea:

  • De bajo riesgo

  • Recurrente

  • Estandarizado


Incluso en estos casos, la evaluación debe existir por escrito y basarse en las plantillas previstas en el Anexo de la Resolución.


Supuestos habilitantes para el uso del interés legítimo

La normativa delimita expresamente los casos en los que puede invocarse esta base legal, siempre que se supere la evaluación de ponderación.


  1. Mercadotecnia directa

Permitida únicamente cuando:

  • Exista una relación contractual previa o expectativa razonable de contacto.

  • No se utilicen datos sensibles ni datos de menores.

  • Se realicen segmentaciones o perfiles no significativos.

  • Exista un mecanismo de oposición claro, gratuito e inmediato.


  1. Prevención y reporte de fraudes y delitos

    • El tratamiento debe limitarse a datos estrictamente necesarios.

    • Se permite el uso de listas de bloqueo con plazos definidos.

    • Debe justificarse la proporcionalidad del tratamiento.


  1. Comunicación interna dentro de grupos empresariales

    • Debe acreditarse la existencia del grupo empresarial.

    • Las transferencias deben ser proporcionales y transparentes.

    • Las transferencias internacionales deben cumplir con reglas de adecuación o garantías.


  1. Seguridad de redes y sistemas TIC

Incluye:

  • Ciberseguridad

  • Controles técnicos

  • Tecnologías de mejora de la privacidad (PETs)

  • Privacidad desde el diseño y por defecto


  1. Sistemas de videovigilancia

Permitidos exclusivamente para fines de seguridad de:

  • Personas

  • Bienes

  • Instalaciones

Prohibiciones expresas:

  • Videovigilancia en zonas sensibles (baños, vestidores, lactarios).

  • Grabación de audio en cualquier circunstancia.


Prohibiciones expresas

El interés legítimo no puede utilizarse cuando:

  • Se traten datos sensibles, salvo excepciones con garantías reforzadas.

  • Se realicen perfiles automatizados con efectos jurídicos o significativos, excepto en sectores regulados bajo condiciones estrictas.

  • Se involucren datos de niñas, niños y adolescentes, salvo justificación basada en el interés superior del niño.

  • Se ejecuten tratamientos masivos, reutilización de datos o finalidades incompatibles.


Derechos del titular y obligaciones del responsable

  1. Derechos del titular

    • Derecho de oposición en cualquier momento.

    • La oposición debe producir efectos inmediatos, salvo justificación legal.


  1. Obligaciones del responsable

    • Mantener un registro actualizado de evaluaciones de ponderación.

    • Entregar la evaluación al titular o a la SPDP cuando sea requerido.

    • Redactar la información en lenguaje claro y accesible.

    • Revisar y actualizar la evaluación:

      • Al menos una vez al año.

      • Cada vez que cambien las condiciones del tratamiento.


Impacto práctico y riesgos de incumplimiento

La normativa eleva significativamente el estándar de cumplimiento. El uso incorrecto del interés legítimo puede derivar en:

  • Sanciones administrativas.

  • Órdenes de suspensión del tratamiento.

  • Riesgos reputacionales.

  • Exposición a reclamaciones de titulares.


Recomendaciones para las organizaciones

Se recomienda a las organizaciones:

  1. Auditar sus actividades actuales de tratamiento.

  2. Identificar tratamientos basados (o potencialmente basados) en interés legítimo.

  3. Elaborar evaluaciones de ponderación completas y trazables.

  4. Ajustar políticas de privacidad y mecanismos de oposición.

  5. Capacitar a áreas legales, de cumplimiento, marketing, TI y RR.HH.


Mgtr. Denisse Unda Saldivia, Jefa del Departamento De Compliance y Protección de Datos Personales
Mgtr. Denisse Unda Saldivia, Jefa del Departamento De Compliance y Protección de Datos Personales

Nuestro equipo está disponible para asesorarle en la identificación de tratamientos basados en interés legítimo, la elaboración de evaluaciones de ponderación y la adecuación de sus políticas internas conforme a la nueva normativa de la SPDP.






Preguntas frecuentes

¿Qué es el interés legítimo en la normativa ecuatoriana de protección de datos?

Es una base de legitimación que permite el tratamiento de datos personales sin consentimiento del titular, siempre que el responsable demuestre que su interés es lícito, real y proporcional, que no prevalecen los derechos y libertades del titular, y que se haya realizado una evaluación de ponderación previa, motivada y documentada.

¿Qué exige la evaluación de ponderación en Ecuador?

La evaluación de ponderación debe analizar la idoneidad, necesidad y proporcionalidad del tratamiento, los riesgos para los derechos del titular, la naturaleza y contexto de los datos tratados, así como las medidas de mitigación aplicables. Su omisión constituye una infracción grave.

¿Cuándo se puede usar el interés legítimo para mercadotecnia directa?

Puede utilizarse únicamente cuando exista una relación contractual previa o una expectativa razonable de contacto con el titular. Está prohibido el uso de datos sensibles o de niñas, niños y adolescentes, y debe garantizarse un mecanismo de oposición claro, gratuito e inmediato.

¿Cuáles son las principales prohibiciones en el uso del interés legítimo?

El interés legítimo no puede aplicarse cuando se traten datos sensibles, salvo excepciones con garantías reforzadas; cuando se involucren datos de niñas, niños y adolescentes, salvo justificación basada en su interés superior; en tratamientos masivos o reutilización de datos con finalidades incompatibles; ni en la elaboración de perfiles automatizados que produzcan efectos jurídicos o significativamente similares, salvo en los casos expresamente regulados por la normativa.

¿Quién regula el uso del interés legítimo en Ecuador?

El uso del interés legítimo es regulado y fiscalizado por la Superintendencia de Protección de Datos Personales (SPDP), mediante la Resolución No. SPDP-SPD-2025-0041-R, en desarrollo de la Ley Orgánica de Protección de Datos Personales.


ree


aviso legal

Aviso Legal

El contenido de este blog se proporciona únicamente con fines informativos y educativos y no debe considerarse como asesoramiento legal.

 

La normativa en Ecuador está sujeta a modificaciones y actualizaciones que pueden afectar la aplicabilidad y precisión de los contenidos publicados aquí.

 

No garantizamos que la información presentada sea precisa, completa o actualizada en el momento de su lectura. Por lo tanto, no se debe interpretar que los posts pasados reflejan necesariamente la normativa vigente.

 

Recomendamos encarecidamente la consulta con nuestros abogados calificados para obtener asesoramiento específico y personalizado.

Oficinas

Quito y Guayaquil

Teléfono

+59322232720

Email

info@lmzabogados.com

Conecta con nosotros

  • LinkedIn
  • Facebook
  • Instagram
  • https://twitter.com/MZAbogadosEC
bottom of page