top of page
Buscar

Filtración de datos en la ANT: lo que debes saber sobre tus derechos y las obligaciones legales en juego

  • Foto del escritor: Ab. Denisse Unda
    Ab. Denisse Unda
  • hace 5 días
  • 4 Min. de lectura

El 3 de abril de 2026, la plataforma estadounidense de ciberseguridad VECERT Analyzer reportó haber detectado una presunta filtración de datos "sin precedentes" vinculada a la Agencia Nacional de Tránsito (ANT). Según ese reporte, un usuario identificado como "GordonFreeman" habría publicado en un foro de la darkweb una base de datos de 4 GB en formato CSV con 17 millones de registros, que incluiría nombres completos, números de cédula, RUC, correo electrónico, placa, chasis, marca, modelo y año del vehículo —y también, según VECERT, direcciones de domicilio, números de telefonía fija, celular y cantones de residencia.


El reporte se viralizó el 27 de abril, el mismo día en que la ANT advirtió públicamente sobre estafas mediante correos y mensajes de texto fraudulentos con enlaces de pago en sitios no autorizados (ver noticia en Primicias).


¿Qué dijo la ANT? 

El 28 de abril, la institución emitió un comunicado indicando que desde el 6 de abril activó protocolos de seguridad ante el "supuesto intento de comercialización" de esa base de datos. En el Informe Técnico Nro. 062-DTI-ANT-2026, la entidad concluyó que "no existen evidencias de vulneración directa a los sistemas institucionales durante la presente administración", aunque aclaró que "se evalúan posibles fuentes externas, como registros históricos o integraciones con terceros". La ANT descartó que la información provenga de accesos directos a su infraestructura.


¿Y la Superintendencia? 

René Orbe, Intendente General de Control y Sanción de la Superintendencia de Protección de Datos Personales (SPDP), confirmó a Primicias que la entidad no ha recibido ninguna notificación de vulneración por parte de la ANT. Tampoco la Arcotel, a través de su Centro de Respuesta a Incidentes Informáticos (EcuCERT), fue notificada. No obstante, Orbe reconoció que el comunicado de la ANT sobre "posibles fuentes externas" sugiere que "existirían otras maneras en que personas u otros grupos estarían tratando de incursionar en algunos de los sistemas". La SPDP, por su parte, ya había emitido un comunicado solicitando a la ANT que certifique si sufrió alguna vulneración, recordando sus atribuciones de control y sanción.


El caso permanece abierto. A continuación, un análisis de lo que está en juego desde el punto de vista de la Ley Orgánica de Protección de Datos Personales (LOPDP).


¿Qué principios y obligaciones estarían en juego?

Aunque la ANT descartó una vulneración directa a sus sistemas, el caso sirve como punto de partida para analizar qué obligaciones y consecuencias contempla la LOPDP ante un escenario de este tipo.

  • Sobre la legitimación del tratamiento. Todo tratamiento de datos personales requiere una base válida: consentimiento del titular, cumplimiento de una obligación legal o ejercicio de competencias públicas, entre otras. Si bien la ANT puede tratar ciertos datos en el marco de sus funciones, cualquier acceso por parte de un tercero sin esa base es ilícito. Y si la información fue comunicada voluntariamente, la LOPDP también exige que esa transferencia esté justificada y cumpla con principios y reglas específicas.


  • Sobre el deber de seguridad. La normativa impone al responsable del tratamiento —en este caso, la ANT— la obligación de garantizar la seguridad de los datos mediante medidas técnicas y organizativas adecuadas. Esto abarca evaluaciones de riesgo, controles de acceso, sistemas de protección frente a ciberataques y políticas internas. Una brecha de la magnitud especulada sugiere, al menos preliminarmente, posibles deficiencias en el cumplimiento de los principios de confidencialidad, seguridad y responsabilidad proactiva.


  • Sobre la gestión del incidente. La LOPDP también establece obligaciones concretas frente a brechas de seguridad: notificar a la Superintendencia dentro de los plazos establecidos, comunicar a los titulares cuando exista un riesgo relevante para sus derechos, y adoptar medidas inmediatas para mitigar los efectos. Incumplir estos deberes no solo agrava la afectación a las personas, sino que puede configurar una infracción adicional sancionable.


¿Qué derechos se verían afectados?

Los titulares de los datos podrían ver comprometidos:

  • El derecho a la protección de datos personales, reconocido en el artículo 66 numeral 19 de la Constitución y desarrollado en la LOPDP, por la exposición de nombres, cédulas y placas sin autorización.

  • El derecho a la información, que garantiza a los titulares conocer los incidentes que comprometan sus datos.

  • El derecho a la oposición y a la eliminación, que permite exigir la supresión o bloqueo de datos cuando estos estén siendo utilizados para fines ilegítimos.


¿Qué pueden hacer los ciudadanos afectados?

Si tus datos podrían estar comprometidos, tienes varias vías de acción:

  1. Presentar un reclamo ante la Superintendencia de Protección de Datos Personales, como autoridad de control, para hacer valer tus derechos.

  2. Solicitar información directamente al responsable sobre qué datos fueron comprometidos, qué medidas se adoptaron y cuáles son los riesgos asociados.

  3. Iniciar acciones judiciales, de ser el caso.


El papel de la Superintendencia

La autoridad de control tiene competencia para auditar e investigar el incidente, determinar si existió incumplimiento de la normativa e imponer sanciones administrativas en caso de infracción.


¿Qué sanciones contempla la ley?

La LOPDP establece un régimen sancionatorio escalonado según la gravedad de la infracción:

  • Multas económicas calculadas entre el 0,1% y el 0,7% sobre el volumen de negocio del ejercicio económico inmediatamente anterior.

  • Medidas correctivas obligatorias, como la implementación de mejores controles de seguridad.

  • Suspensión temporal de tratamientos de datos.

  • Responsabilidad administrativa de los funcionarios involucrados, en el caso de entidades públicas.


Si se comprobara negligencia en la adopción de medidas de seguridad o en la notificación del incidente, las infracciones podrían catalogarse como graves o muy graves.


Reflexión final

Este caso pone de relieve algo que muchas organizaciones aún subestiman: la protección de datos personales no es solo una obligación legal, es un componente crítico de la gestión de riesgos. La LOPDP impone estándares claros que deben integrarse de forma transversal en los procesos de cualquier organización —públicas y privadas por igual.


Implementar políticas internas, sistemas de gestión de riesgos, controles de seguridad efectivos y herramientas tecnológicas adecuadas no es reaccionar ante incidentes: es adoptar un enfoque preventivo que protege a las personas, cuida la reputación institucional y reduce la exposición a sanciones económicas significativas.


Contar con asesoría especializada permite tomar decisiones informadas sobre el tratamiento de datos, diseñar procesos alineados con la normativa y responder adecuadamente frente a eventuales brechas de seguridad.


Mgtr. Denisse Unda Saldivia — Jefa del Departamento de Compliance y Protección de Datos Personales 
Mgtr. Denisse Unda Saldivia — Jefa del Departamento de Compliance y Protección de Datos Personales 

¿Tienes dudas sobre el cumplimiento de tu organización?

Si quieres saber si tu empresa está adecuada a la LOPDP o necesitas asesoría frente a un incidente de seguridad, escríbenos: 📩 info@lmzabogados.com





aviso legal

Aviso Legal

El contenido de este blog se proporciona únicamente con fines informativos y educativos y no debe considerarse como asesoramiento legal.

 

La normativa en Ecuador está sujeta a modificaciones y actualizaciones que pueden afectar la aplicabilidad y precisión de los contenidos publicados aquí.

 

No garantizamos que la información presentada sea precisa, completa o actualizada en el momento de su lectura. Por lo tanto, no se debe interpretar que los posts pasados reflejan necesariamente la normativa vigente.

 

Recomendamos encarecidamente la consulta con nuestros abogados calificados para obtener asesoramiento específico y personalizado.

Oficinas

Quito y Guayaquil

Teléfono

+59322232720

Email

info@lmzabogados.com

Conecta con nosotros

  • LinkedIn
  • Facebook
  • Instagram
  • https://twitter.com/MZAbogadosEC
  • Whatsapp
bottom of page