top of page
Buscar

Cómo Transferir Datos Personales dentro y fuera del Ecuador: Resolución SPDP-SPD-2026-0004-R

  • Foto del escritor: Denisse Unda
    Denisse Unda
  • hace 45 minutos
  • 5 Min. de lectura

La Superintendencia de Protección de Datos Personales (SPDP) emitió la Norma General de Transferencias o Comunicaciones Nacionales e Internacionales de Datos Personales (Resolución N.º SPDP-SPD-2026-0004-R), publicada en enero de 2026.


Este nuevo instrumento aterriza, con criterios operativos, lo previsto en la LOPDP y su Reglamento: define cuándo puede transferirse o comunicarse datos personales, con qué salvaguardas y bajo qué condiciones, tanto dentro del Ecuador como en transferencias al exterior.


En la práctica, la Resolución fija el estándar obligatorio de cumplimiento al detallar mecanismos habilitantes, procedimientos y controles, y deja claro que estas operaciones quedan sujetas a supervisión directa de la SPDP.


OBJETO  DE LA NORMA Y SUJETOS OBLIGADOS

La Norma General tiene por objeto regular los procedimientos y requisitos técnicos y jurídicos aplicables a las transferencias o comunicaciones de datos personales, garantizando el ejercicio efectivo de los derechos de los titulares.


Es de cumplimiento obligatorio para:

  • Responsables del tratamiento que transfieran o comuniquen datos personales.

  • Encargados del tratamiento que actúen por cuenta del responsable.

  • Transferencias nacionales e internacionales, independientemente del medio o soporte utilizado, ni los tratamientos que se realicen.


La obligación incluye la conservación de evidencia documental que demuestre la legalidad y legitimidad de la transferencia por al menos tres (3) años.



TRANSFERENCIAS NACIONALES DE DATOS PERSONALES

Para las transferencias o comunicaciones dentro del territorio ecuatoriano, la Norma exige el cumplimiento concurrente de:


  • Finalidad lícita, legítima y determinada, vinculada a las funciones del responsable y del tercero.

  • Existencia de una base de legitimación conforme a la LOPDP.

  • Consentimiento informado del titular, salvo que aplique una causal legal de excepción.


Adicionalmente, se establecen obligaciones claras para el destinatario, quien asume la calidad de responsable del tratamiento, quedando sujeto íntegramente a la normativa ecuatoriana de protección de datos personales.



TRANSFERENCIAS INTERNACIONALES: TRES ESCENARIOS REGULADOS

La Norma organiza las transferencias internacionales de datos personales en tres vías. La regla general es simple: mientras menos “seguro” sea el destino, más obligaciones y controles se exigen.


1) Destinos con “nivel adecuado” de protección

La SPDP puede declarar (de oficio o a pedido) que un país, organización internacional o persona jurídica ofrece un nivel de protección equivalente o superior al ecuatoriano.

Qué implica esa declaratoria

  • Dura hasta 4 años, con revisión anual y posible revocatoria.

  • Debe constar en el Registro Nacional de Protección de Datos Personales.

Obligaciones para quien transfiere (responsable o encargado)

  • Verificar que el destinatario esté en el listado vigente y que la declaratoria no esté revocada.

  • Implementar medidas contractuales y técnicas para asegurar cumplimiento de la LOPDP.

  • Mantener registros actualizados de las transferencias.

  • Informar a los titulares sobre estas comunicaciones internacionales.

Obligaciones del destinatario

  • Cumplir permanentemente la normativa aplicable.

  • Respetar estrictamente las finalidades del tratamiento.

  • No hacer transferencias ulteriores sin una base legal válida.

Situación actual

  • Hasta hoy, la SPDP no ha emitido declaratorias de nivel adecuado.


2) Transferencias con “garantías adecuadas” (cuando no hay nivel adecuado)

Si no existe declaratoria de nivel adecuado, la transferencia solo es válida si se implementan garantías adecuadas reconocidas por la Norma. Ejemplos principales:

2.1. Cláusulas contractuales tipo

  • La SPDP acepta como válidas las cláusulas modelo-tipo de la RIPD para transferencias internacionales entre responsables.

2.2. Normas corporativas vinculantes (BCR), aprobadas por la SPDP

  • Se regula un esquema formal: procedimiento de aprobación, contenidos mínimos, plazos, revisión y causales de revocatoria.

  • Requisito relevante: designar obligatoriamente un delegado de protección de datos a nivel de grupo.

  • Son especialmente útiles para grupos empresariales o estructuras multinacionales con transferencias recurrentes.

2.3. Códigos de conducta sectoriales (autorregulación supervisada)

  • La Norma fija un procedimiento para aprobar códigos de conducta bajo supervisión de la SPDP.

  • Deben incluir, entre otros:

    • Supervisión independiente

    • Auditorías periódicas

    • Canales de atención a titulares

    • Medidas correctivas y régimen disciplinario interno

  • Una vez aprobados, son vinculantes y ayudan a demostrar responsabilidad proactiva.

  • Vigencia: 4 años.

2.4. Certificaciones reconocidas

  • La certificación puede funcionar como garantía adecuada para transferencias internacionales, respecto de operaciones, sistemas o procesos específicos (para responsables y encargados).

  • No reemplaza las obligaciones legales: no exime de cumplir la LOPDP.

  • Queda condicionada a requisitos de la SPDP y supone supervisión permanente de la Superintendencia, además de auditorías de organismos certificadores acreditados.

3) Autorización previa de la SPDP (vía alternativa)


Si la transferencia no está cubierta por:

  • una declaratoria de nivel adecuado, ni

  • garantías adecuadas reconocidas,


entonces solo puede realizarse con autorización expresa previa de la SPDP, solicitada por quien ejecuta la transferencia.


Qué revisa la SPDP para autorizar

  • Justificación legal y técnica

  • Análisis de riesgos

  • Evaluación de impacto

  • Medidas de seguridad

  • Instrumento contractual

  • Evidencia del consentimiento del titular, cuando aplique

Características de la autorización

  • Vigencia limitada: máximo 1 año.

  • Puede ser revocada en cualquier momento.

  • Implica supervisión y control permanente sobre el responsable.


ASPECTOS GENERALES A TOMAR EN CUENTA


1) Régimen especial intra-CAN:

Las transferencias de datos personales hacia países de la Comunidad Andina están permitidas y se consideran realizadas hacia países con nivel adecuado de protección, sin autorización previa; no obstante, el responsable debe informar al titular, documentar las medidas de cumplimiento y cumplir con las obligaciones de registro, quedando sujeto a control posterior por parte de la SPDP.


2) Acuerdos de entendimiento con universidades

la SPDP celebrará acuerdos de entendimiento con universidades para la elaboración de informes técnicos sobre niveles adecuados de protección.


3) Transparencia y trazabilidad

Los responsables deben mantener información clara, documentada y disponible sobre transferencias internacionales, finalidades, destinatarios y mecanismos de protección aplicables.


4) Regularización de transferencias previas

Las transferencias realizadas antes de la vigencia de la LOPDP o de la Norma General deben notificarse y regularizarse dentro de los 12 meses siguientes, mediante un plan de adecuación. Durante este plazo no se impondrán sanciones, siempre que se cumpla con la notificación, el plan de adecuación y su ejecución.


5) Riesgo post-transitorio

Una vez concluido el plazo, las transferencias que no hayan sido regularizadas pasan a estar plenamente expuestas a sanciones y a medidas correctivas.


6) Registro Nacional

Se prevé la implementación del Registro Nacional de Protección de Datos Personales y su portal electrónico dentro de los 12 meses posteriores a la vigencia de la Norma General. Sin perjuicio de esto, las empresas deben tener consolidado su Registro.



IMPACTO PRÁCTICO Y RECOMENDACIONES

Esta Norma General eleva de forma significativa el estándar de cumplimiento en materia de transferencias de datos personales y refuerza la capacidad de control y sanción de la SPDP.


Recomendamos a las organizaciones:

  • Mapear y documentar todas las transferencias nacionales e internacionales de datos.

  • Revisar contratos, cláusulas y acuerdos con terceros.

  • Identificar y evaluar previamente el mecanismo aplicable para cada transferencia internacional de datos personales, en conformidad con lo dispuesto en la norma general de transferencias y la LODPP.

  • Actualizar registros, evaluaciones de riesgo y políticas internas.

  • Capacitar a las áreas legal, compliance, TI y seguridad de la información.


Mgtr. Denisse Unda Saldivia, Jefa del Departamento De Compliance y Protección de Datos Personales.
Mgtr. Denisse Unda Saldivia, Jefa del Departamento De Compliance y Protección de Datos Personales.

Si su organización realiza transferencias nacionales o internacionales de datos personales (por ejemplo, con proveedores, matrices, filiales o servicios en la nube), nuestro equipo puede apoyarles con el mapeo de transferencias, la definición del mecanismo aplicable (garantías adecuadas o autorización previa), la actualización contractual y la preparación del paquete documental de cumplimiento.


Para coordinar una reunión o solicitar una revisión preliminar, escríbannos a info@lmzabogados.com


aviso legal

Aviso Legal

El contenido de este blog se proporciona únicamente con fines informativos y educativos y no debe considerarse como asesoramiento legal.

 

La normativa en Ecuador está sujeta a modificaciones y actualizaciones que pueden afectar la aplicabilidad y precisión de los contenidos publicados aquí.

 

No garantizamos que la información presentada sea precisa, completa o actualizada en el momento de su lectura. Por lo tanto, no se debe interpretar que los posts pasados reflejan necesariamente la normativa vigente.

 

Recomendamos encarecidamente la consulta con nuestros abogados calificados para obtener asesoramiento específico y personalizado.

Oficinas

Quito y Guayaquil

Teléfono

+59322232720

Email

info@lmzabogados.com

Conecta con nosotros

  • LinkedIn
  • Facebook
  • Instagram
  • https://twitter.com/MZAbogadosEC
bottom of page