Política de Protección de Datos Personales del SERCOP: qué exige y cómo impacta a proveedores

Sheyla Cuenca
19 sept
3 Min. de lectura

Qué es y por qué importa

El SERCOP expidió la Política de Protección de Datos Personales (Resolución R.I-SERCOP-2025-0003, agosto de 2025), obligatoria para:

entidades públicas,
proveedores y
terceros que participan en el Sistema Nacional de Contratación Pública.

Este marco regula el tratamiento de datos personales en la contratación, fija derechos claros para los titulares y exige medidas técnicas alineadas con ISO 27001 e ISO 27701.

Objetivo	Ámbito de aplicación
Proteger los datos personales en los procesos de contratación pública, garantizando transparencia y seguridad.	Comprende todos los datos gestionados a través del portal institucional, el Sistema Oficial de Contratación Pública (SOCE) y los procesos presenciales o virtuales del SERCOP.

Fuente: Registro Oficial, Segundo Suplemento N.º 112 (28 de agosto de 2025).

Responsables y funciones

Rol	Función
Director General del SERCOP	Responsable del tratamiento de datos personales; supervisa la aplicación integral de la política.
Delegado de protección de datos	Enlace con la Autoridad de Protección de Datos Personales y supervisor del cumplimiento normativo.
Coordinación de TIC	Implementa y mantiene los controles técnicos.
Coordinación General de Asesoría Jurídica	Asegura la adecuación normativa y la atención efectiva de los derechos de los titulares.
Principios aplicables: Los principios son transversales y aplican a todos los actores que tratan datos personales	El tratamiento se rige por los siguientes principios: Licitud: tratar datos con base legal. Lealtad: uso honesto y coherente, sin sorpresas. Transparencia: informar qué datos se tratan, para qué y cómo. Finalidad: utilizarlos solo para el fin declarado. Proporcionalidad: solicitar y conservar solo lo necesario. Confidencialidad: limitar el acceso a personal autorizado. Seguridad: aplicar controles técnicos y organizativos. Responsabilidad: poder demostrar el cumplimiento. Favorabilidad al titular: ante dudas, priorizar sus derechos.

Tabla de aterrizaje: política, alcance y tareas

Aspecto	Qué dice la política	Acción práctica
Definición de responsabilidades	Responsable del tratamiento: director general del SERCOP. Delegado de protección de datos: enlace con la autoridad y supervisor del cumplimiento.	Designar/ratificar al Responsable y nombrar al Delegado; documentar sus funciones y relación con la Autoridad.
Tipología de datos	La política menciona 4 grupos: (1) Identificativos: nombres, cédula, RUC. (2) Contacto. (3) Proveedores: certificaciones, datos financieros y contractuales. (4) Técnicos de acceso: IP, geolocalización, navegador.	Identificar y listar qué datos de cada grupo se tratan en portal, SOCE y procesos; separarlos por categoría (identificativos, contacto, proveedores, técnicos).
Finalidades	Los datos se usan para: administración de la contratación, verificación de requisitos legales/técnicos, comunicación institucional, transparencia y trazabilidad, y seguridad de sistemas/resguardo.	Vincular cada dato a su finalidad correspondiente y limitar el uso a dichos fines.
Derechos de titulares	Derechos: acceso, rectificación, actualización, oposición, cancelación y eliminación (LOPDP). Plazo de respuesta del SERCOP: 15 días.	Establecer un flujo para recibir solicitudes y responder en 15 días; registrar fecha de ingreso y respuesta.
Seguridad y confidencialidad	Medidas exigidas: HTTPS, cifrado de contraseñas, controles de acceso por roles, monitoreo de eventos, planes de recuperación de desastres, e implementación del EGSI bajo ISO 27001/27701.	Implementar HTTPS y cifrado de contraseñas; configurar accesos por roles; habilitar monitoreo; documentar y probar planes de recuperación; dejar evidencia de cada control.
Transferencias internacionales	Permitidas, incluso fuera de Ecuador, si hay nivel adecuado de protección. Si no lo hay, el destinatario debe adoptar medidas que aseguren confidencialidad, integridad y resiliencia.	Verificar el nivel de protección del destino o exigir contractualmente medidas que garanticen confidencialidad, integridad y resiliencia.

Disposiciones generales (quién hace qué)

Dirección General del SERCOP: supervisa la aplicación integral de la política.
Coordinación de TIC: implementa y mantiene los controles técnicos.
Coordinación General de Asesoría Jurídica: asegura la adecuación normativa y la atención efectiva de los derechos de los titulares.

Conclusiones

Carácter obligatorio: la Resolución R.I-SERCOP-2025-0003 rige para todas las entidades y proveedores del sistema de contratación pública.
Reconocimiento de derechos: se garantiza el ejercicio de acceso, rectificación, actualización, oposición, cancelación y eliminación, con respuesta en 15 días por parte del SERCOP.
Seguridad y estándares: se contemplan protocolos seguros, cifrado, accesos por rol, monitoreo, planes de recuperación y adopción del EGSI bajo ISO 27001/27701.}

Mini-guía de aplicación (según el texto)

Designar/confirmar responsable (Dirección General) y delegado de protección de datos.
Identificar datos tratados en portal, SOCE y procesos presenciales/virtuales.
Aplicar principios (licitud, transparencia, finalidad, proporcionalidad, etc.) a cada proceso de tratamiento.
Implementar medidas: HTTPS, cifrado de contraseñas, acceso por roles, monitoreo y planes de recuperación.
Establecer un flujo para responder en 15 días a los derechos de titulares.
Verificar que las transferencias internacionales cuenten con nivel adecuado o medidas que aseguren confidencialidad, integridad y resiliencia.