top of page
Buscar

La Superintendencia de Protección de Datos aprieta el paso: tres novedades normativas de mayo 2026

  • Foto del escritor: Ab. Denisse Unda
    Ab. Denisse Unda
  • hace 1 día
  • 3 min de lectura

En menos de diez días, la Superintendencia de Protección de Datos Personales (SPDP) publicó tres resoluciones que refuerzan el marco de cumplimiento de la LOPDP. Si tu organización trata datos personales, esto te afecta directamente.

El Delegado de Protección de Datos tiene ahora un canal formal de denuncia — y más respaldo institucional

Resolución N.º SPDP-SPD-2026-0022-R — vigente desde el 29 de mayo de 2026

La SPDP aprobó la Norma General para la Presentación y Trámite de Denuncias del Delegado de Protección de Datos Personales (DPD), que va mucho más allá de regular un canal de quejas.

El mensaje de fondo es claro: designar formalmente a un DPD no es suficiente. La organización debe garantizar que ese delegado pueda ejercer sus funciones con independencia real, sin presiones ni represalias por señalar riesgos o incumplimientos internos.

Algunos puntos clave de esta norma:

  • El DPD no representa a la organización: actúa como garante del cumplimiento de la LOPDP y de los derechos de los titulares de datos.

  • Su rol es orientar, monitorear y recomendar — no ejecutar ni asumir responsabilidad operativa sobre las decisiones de tratamiento. Mantener esa distinción es esencial para preservar su independencia.

  • Una denuncia presentada por el DPD puede derivar en un procedimiento administrativo sancionador contra la organización, con todas las garantías del debido proceso.

¿Tu organización está realmente garantizando la independencia de su DPD, o su designación es solo formal?

Las auditorías de la SPDP ahora tienen un procedimiento claro — y más estructura

Resolución No. SPDP-SPD-2026-0020-R — vigente desde el 22 de mayo de 2026

La reforma al Reglamento del Plan Anual de Auditorías (PAA) incorpora, por primera vez, un procedimiento detallado para la ejecución de las auditorías de cumplimiento que realiza la Superintendencia. El proceso contempla nueve etapas:

  1. Planificación: definición de alcance, objetivos y sujeto auditado.

  2. Notificación de inicio al responsable o encargado.

  3. Requerimiento de información y documentación.

  4. Ejecución: revisión técnica, jurídica y organizacional del tratamiento.

  5. Verificación y contraste de la información obtenida.

  6. Informe preliminar con hallazgos iniciales.

  7. Descargos por parte del auditado.

  8. Informe final con conclusiones y, de ser el caso, recomendaciones o hallazgos de incumplimiento.

  9. Seguimiento a la implementación de medidas correctivas.

¿Qué implica esto en la práctica?

Que el entorno regulatorio es ahora más exigente y predecible a la vez. Las organizaciones saben cómo se desarrollará una auditoría, pero también que deberán tener documentación actualizada, evidencias verificables y niveles reales de cumplimiento para responder en cada etapa.

¿Tienes la documentación y las evidencias necesarias para responder a cada etapa de una auditoría de la SPDP?

Consultas a la SPDP: nuevos requisitos de forma y contenido

Resolución No. SPDP-SPD-2026-0021-R — vigente desde el 22 de mayo de 2026

La reforma al Reglamento de Atención de Consultas precisa los requisitos, contenido y formalidades que deben cumplir las consultas presentadas ante la SPDP.

En un contexto de rápida evolución normativa y técnica, responsables, encargados y DPDs necesitan criterios interpretativos claros. Esta reforma busca que las consultas sean más precisas y que las respuestas de la autoridad sean más útiles y aplicables.

¿Estás aprovechando el mecanismo de consultas para obtener criterios interpretativos que reduzcan tu riesgo regulatorio?

¿Qué tienen en común estas tres resoluciones?

Las tres apuntan en la misma dirección: la SPDP está consolidando un modelo de supervisión más robusto, más estructurado y con mayores exigencias para las organizaciones.

No basta con tener políticas de protección de datos en papel. Lo que la autoridad verificará — y ahora con procedimientos más claros — es si esas políticas se aplican efectivamente, si la gobernanza interna funciona y si la documentación respalda el cumplimiento real.


Mgtr. Denisse Unda Saldivia — Jefa del Departamento de Compliance y Protección de Datos Personales 
Mgtr. Denisse Unda Saldivia — Jefa del Departamento de Compliance y Protección de Datos Personales 

¿Tu organización está preparada para este nuevo escenario regulatorio?


En Meythaler & Zambrano Abogados acompañamos a empresas en la implementación y revisión de sus programas de cumplimiento en protección de datos personales: desde la designación y respaldo institucional del DPD, hasta la preparación para auditorías de la SPDP y la presentación de consultas ante la autoridad.


Escríbenos y evaluamos juntos el estado de cumplimiento de tu organización 📩 info@lmzabogados.com



aviso legal

Aviso Legal

El contenido de este blog se proporciona únicamente con fines informativos y educativos y no debe considerarse como asesoramiento legal.

 

La normativa en Ecuador está sujeta a modificaciones y actualizaciones que pueden afectar la aplicabilidad y precisión de los contenidos publicados aquí.

 

No garantizamos que la información presentada sea precisa, completa o actualizada en el momento de su lectura. Por lo tanto, no se debe interpretar que los posts pasados reflejan necesariamente la normativa vigente.

 

Recomendamos encarecidamente la consulta con nuestros abogados calificados para obtener asesoramiento específico y personalizado.

Oficinas

Quito y Guayaquil

Teléfono

+59322232720

Email

info@lmzabogados.com

Conecta con nosotros

  • LinkedIn
  • Facebook
  • Instagram
  • https://twitter.com/MZAbogadosEC
  • Whatsapp
bottom of page