NUEVA RESOLUCIÓN PARA LA PROTECCIÓN DE DATOS PERSONALES

Nueva Resolución sobre Seudonimización, Anonimización, Bloqueo y Eliminación de Datos Personales en Ecuador

El 7 de agosto de 2025, la Superintendencia de Protección de Datos Personales (SPDP) emitió la Resolución SPDP-SPD-2025-0030-R, un hito normativo que regula de forma detallada las medidas de seudonimización, anonimización, bloqueo, suspensión y eliminación de datos personales. Esta resolución tiene como objetivo fortalecer la protección de los derechos de los titulares de datos, conforme a lo establecido en la Ley Orgánica de Protección de Datos Personales (LOPDP) y su reglamento.

¿Qué regula esta resolución?

La norma establece lineamientos técnicos y jurídicos para aplicar estas medidas de seguridad a lo largo del ciclo de vida del dato, desde su recolección hasta su eliminación definitiva. Es de aplicación obligatoria para todos los actores del sistema de protección de datos personales en Ecuador, incluyendo responsables y encargados del tratamiento de datos. 

Definiciones clave y condiciones de aplicación

La resolución define con precisión los siguientes conceptos:

• Seudonimización: Sustitución de datos personales por identificadores indirectos (seudónimos), permitiendo su reidentificación solo bajo condiciones controladas. Se aplica en contextos como auditorías, pruebas de sistemas, investigaciones científicas o prestación de servicios donde no es necesario conocer la identidad del titular. Requiere análisis de riesgos y registro obligatorio de toda reidentificación.
• Anonimización: Técnica que elimina cualquier posibilidad de identificar al titular, incluso combinando datos con otras fuentes. Es prioritaria en el tratamiento de datos sensibles, especialmente en el sector salud, y permite la transferencia de datos sin consentimiento si se realiza correctamente. Requiere autorización previa de la SPDP en ciertos casos. 

• Bloqueo: Inhabilita el acceso a los datos una vez cumplida su finalidad, pero permite su conservación segura por razones legales o contractuales. Debe estar respaldado por una base legitimadora y una evaluación de riesgos. 

• Suspensión: Derecho del titular a solicitar la detención temporal del tratamiento de sus datos. El responsable debe ejecutarla en un plazo máximo de tres días. Existen excepciones para continuar el tratamiento, como la defensa de derechos o el cumplimiento de obligaciones legales. 

• Eliminación: Supresión definitiva de los datos, incluidos los de personas fallecidas. Puede ser total o parcial y debe realizarse en un plazo máximo de tres días por parte de encargados o terceros. El responsable debe emitir un documento que acredite la eliminación y notificar a todos los involucrados. 

Obligaciones adicionales para responsables y encargados

La resolución impone nuevas responsabilidades, entre ellas:

• Documentar y justificar cada medida aplicada.
• Actualizar contratos con encargados para incluir cláusulas específicas sobre devolución o eliminación de datos.
• Capacitar al personal sobre los procedimientos y plazos establecidos.
• Implementar protocolos internos para garantizar trazabilidad y cumplimiento normativo 

Próximos pasos

En un plazo máximo de seis meses desde la publicación de la resolución, la SPDP deberá emitir una Guía Técnica que complemente estos lineamientos con criterios operativos y metodológicos.

Esta resolución marca un avance significativo en la consolidación del ecosistema de protección de datos en Ecuador, alineando la normativa nacional con estándares internacionales y fortaleciendo la confianza de los ciudadanos en el tratamiento responsable de su información personal.

RESOLUCIÓN COMPLETA DISPONIBLE AQUÍ

Realizado por:

HLB Ecuador