Fecha: febrero 4, 2026

La Superintendencia de Protección de Datos Personales (SPDP) emitió la Resolución No. SPDP-SPD-2026-0004-R, mediante la cual expidió la Norma General de Transferencias o Comunicaciones Nacionales e Internacionales de Datos Personales. Esta norma establece el marco regulatorio para los flujos de datos personales tanto dentro como fuera del Ecuador ampliando así lo establecido en la Ley Orgánica de Protección de Datos Personales y su Reglamento.

A continuación, se presentan los aspectos más relevantes de esta nueva normativa:

1. Ámbito de Aplicación:
• La norma es obligatoria para todos los responsables y encargados del tratamiento que realicen transferencias o comunicaciones de datos personales dentro del Ecuador o hacia el exterior.

2. Principales aspectos:
• Las transferencias deben cumplir con una finalidad lícita y determinada, así como contar con una de las bases de legitimación de tratamiento y por regla general, el consentimiento informado del titular salvo excepciones legales.
• El destinatario de los datos personales asume la calidad de responsable del tratamiento y, como tal, debe respetar las finalidades, abstenerse de transferir nuevamente los datos sin legitimación correspondiente, entre otros aspectos.

3. Transferencias Internacionales de Datos:
La norma establece tres vías principales para transferir datos fuera del Ecuador:

a) Transferencia a destinos con nivel adecuado de protección:
• La SPDP puede declarar, de oficio o a petición de parte, que un país u organización ofrece un nivel de protección adecuado. En este caso, los países miembros de la Comunidad Andina (CAN) se consideran automáticamente como destinos con nivel adecuado con el Régimen Especial Intra-CAN.
• Las declaraciones de adecuación tienen una vigencia máxima de 4 años, con revisión anual. El responsable debe verificar que el destino figure en el listado oficial, adoptar medidas contractuales y técnicas, informar a los titulares y cumplir con el registro.

b) Transferencias mediante Garantías Adecuadas:

• Cuando el destinatario garantice un nivel adecuado, la transferencia debe ampararse en “garantías adecuadas”.
• La Norma señala que las mismas pueden consistir en:
  o Cláusulas contractuales modelo reconocidas o adoptadas por la SPDP, organismos internacionales u otros entes de control.
  o Mecanismos de certificación, normas corporativas vinculantes o códigos de conducta, siguiendo sus respectivas formalidades.
  • De igual manera, la garantía debe incluir la sumisión expresa del destinatario extranjero a la jurisdicción y normativa ecuatoriana.

c) Autorización caso por caso por la SPDP:

• Para transferencias que no cuenten con nivel adecuado ni garantías adecuadas reconocidas, se requiere una autorización expresa de la SPDP. Para ello el interesado debe realizar una solicitud que deberá incluir una evaluación de impacto. La SPDP resolverá dentro de los 3 meses de presentada y la autorización tendrá una vigencia máxima de 1 año y nunca será indefinida.

4. Obligaciones de Registro y Transparencia:

• La Norma establece que todas las transferencias internacionales deben inscribirse en el Registro Nacional de Protección de Datos a cargo de la SPDP, tanto de manera individual como en el Reporte Anual Consolidado.
• En el caso de las inscripciones individuales aplica para transferencias basadas en autorización expresa o bajo el régimen interno de la Comunidad Andina (CAN). Esta debe realizarse con mínimo 10 días de anticipación.
• En el caso del reporte anual consolidado, se aplica para para transferencias a destinos con nivel adecuado o que utilicen garantías adecuadas.

5. Disposiciones transitorias:

• Los obligados tienen 12 meses contados desde el 28 de enero de 2026 para cumplir con las nuevas obligaciones relativas a transferencias internacionales.
• Durante este periodo (enero 2026 y enero 2027) los llamados a cumplir deberán notificar a la SPDP la existencia de estas transferencias preexistentes y presentar un plan de adecuación para alinearlas con uno de los mecanismos legales.
• En los siguientes 12 meses no se impondrán sanciones por incumplimiento de esta obligación siempre que se cumpla con la notificación y el plan de adecuación.

Resulta indispensable iniciar, a la brevedad, un trabajo orientado a dar cumplimiento a esta nueva disposición, partiendo por la identificación y levantamiento de todos los casos en los que existan transferencias de datos personales, tanto a nivel nacional como internacional, a fin de delimitar su alcance, revisar su legitimación y condiciones, y ejecutar las acciones correctivas y de implementación que correspondan en cada supuesto. Este enfoque permitirá mitigar riesgos, evitar incumplimientos y reducir la exposición a potenciales sanciones y contingencias reputacionales.

 

Para mayor información escríbenos a info@lexvalor.com