NUEVA OBLIGACIÓN LEGAL: INCLUSIÓN DE CLÁUSULAS DE PROTECCIÓN DE DATOS EN CONTRATOS

Nueva Obligación Legal: Inclusión de Cláusulas de Protección de Datos en Contratos

La Superintendencia de Protección de Datos Personales (SPDP) ha emitido la Resolución Nº SPDP-SPD-2025-0006-R, que establece de manera obligatoria la incorporación de cláusulas de protección de datos personales en todos los contratos celebrados dentro del Ecuador que impliquen el tratamiento de datos personales. 

 

¿A quién aplica? 

Esta obligación alcanza a todas las entidades públicas y privadas que, en el marco de una relación contractual: 

• Traten datos personales de empleados, clientes, proveedores u otros terceros. 

• Actúen como responsables, encargados o destinatarios del tratamiento. 

 

Abarca sectores como: 

• Financiero y asegurador 

• Comercial e industrial 

• Salud, tecnología, educación y servicios profesionales 

• Auditoría, outsourcing, consultoría, entre otros 

 

¿Qué deben contener las cláusulas? 

Las cláusulas de protección de datos deben incluir, al menos: 

• Finalidad específica del tratamiento de los datos 

• Base legal o legitimadora: consentimiento, contrato, obligación legal, interés legítimo 

• Plazo de conservación de los datos 

• Medidas de seguridad aplicadas al tratamiento 

• Identidad del responsable y del encargado 

• Derechos del titular: acceso, rectificación, oposición, eliminación, portabilidad, entre otros 

• Condiciones de transferencia a terceros, si aplica 

 

Prohibido incluir cláusulas ambiguas, con fines no legítimos, sin transparencia o que restrinjan indebidamente los derechos de los titulares. 

 

Principios rectores 

• Legitimación: Toda actividad de tratamiento debe basarse en una base legal válida. 

• Transparencia: Los titulares deben ser informados clara y oportunamente. 

• Limitación: Prohibida la recolección excesiva o uso no justificado de los datos. 

• Responsabilidad compartida: Cada actor debe cumplir sus deberes y permitir auditorías, responder ante incidentes, y asumir consecuencias por incumplimientos. 

 

¿Qué deben hacer las organizaciones? 

Revisión y actualización contractual: 

• Verificar si los contratos actuales incluyen cláusulas válidas según la LOPDP. 

• Incluir cláusulas nuevas en todos los contratos futuros que impliquen tratamiento de datos. 

 

Gestión documental y trazabilidad: 

• Documentar el consentimiento o la base legal que legitima el tratamiento. 

• Establecer procedimientos para responder a solicitudes de los titulares. 

 

Capacitación interna: 

• Sensibilizar a las áreas jurídicas, de cumplimiento, comercial y operativa sobre estas obligaciones. 

 

Modelos referenciales de cláusulas 

El reglamento incluye un Anexo I con cláusulas modelo referenciales (no obligatorias), aplicables a las siguientes relaciones: 

• Responsable y Titular de los datos 

• Responsable y Encargado de tratamiento 

• Responsable y Destinatario 

• Responsables conjuntos 

Estas plantillas sirven de guía para estandarizar contratos internos y externos, asegurando el cumplimiento legal. 

 

Vigencia 

La resolución entró en vigencia desde el 30 de abril de 2025. 

 

DESCARGA LA RESOLUCIÓN COMPLETA AQUÍ

 

 

Realizado por:

HLB Ecuador