Intranet
Escríbanos Aquí
(5932) 450 5535

Puente & Asociados

Norma general sobre el tratamiento de datos personales a gran escala

25 Feb 2026
0

Ponemos en tu conocimiento que la Superintendencia de Protección de Datos Personales (SPDP) expidió la Resolución N.º SPDP-SPD-2026-0005-R, mediante la cual se aprueba la Norma General sobre el Tratamiento de Datos Personales a Gran Escala. 

 La Norma General tiene por objeto establecer directrices y criterios técnicos para identificar y gestionar los tratamientos de datos personales a gran escala, garantizando su realización conforme a la LOPDP y al Reglamento General, en observancia de los principios de legalidad, proporcionalidad, necesidad y responsabilidad proactiva. 

Sus disposiciones son de cumplimiento obligatorio para todos los responsables y encargados del tratamiento que realicen tratamientos de datos personales a gran escala, tanto dentro del territorio ecuatoriano como fuera de él, cuando resulten aplicables los criterios de territorialidad previstos en la normativa vigente. 

 

  1. Criterios para la identificación del tratamiento a gran escala 

Con la finalidad de determinar cuándo un tratamiento de datos personales debe considerarse a gran escala, la Norma General establece la evaluación conjunta de criterios cuantitativos y cualitativos, los cuales deberán constar de manera expresa y verificable en el Registro de Actividades de Tratamiento (RAT). Entre los principales criterios se incluyen: 

  • Número de titulares de datos personales, calculado sobre un período referencial de doce (12) meses, considerando cada titular una sola vez. 
  • Volumen de datos personales tratados, en función de la cantidad y diversidad de datos asociados a cada titular. 
  • Categorías de datos personales, distinguiendo entre datos básicos y categorías especiales de datos, incluidos datos sensibles, biométricos, de salud, de niñas, niños y adolescentes, o de naturaleza penal. 
  • Frecuencia del tratamiento, ya sea puntual, periódica o continua. 
  • Permanencia del tratamiento, clasificada como ocasional, temporal o prolongada. 
  • Alcance geográfico del tratamiento, pudiendo ser local, nacional, transfronterizo o global. 

Estos criterios permiten identificar el nivel de riesgo del tratamiento y determinar la aplicación de las obligaciones reforzadas previstas en la normativa de protección de datos personales. 

 

   2.  Modelo Técnico de Gran Escala (MTGE) 

La Norma General incorpora el Modelo Técnico de Gran Escala (MTGE) como un instrumento técnico-jurídico que permite determinar, mediante un sistema de puntuación, si un tratamiento alcanza el umbral para ser calificado como de gran escala. 

El tratamiento será considerado de gran escala cuando el puntaje total obtenido sea igual o superior a seis (6) puntos, activándose así las obligaciones reforzadas previstas en la LOPDP y en esta norma general. 

 

    3. Casos de calificación directa obligatoria 

Sin necesidad de aplicar el MTGE, se considerarán tratamientos de datos personales a gran escala de manera directa, entre otros: 

  • Tratamientos de datos de salud y otras categorías especiales de datos personales. 
  • Tratamientos de datos biométricos o de geolocalización. 
  • Videovigilancia y monitoreo sistemático en espacios de acceso público. 
  • Tratamientos sistemáticos de datos de niñas, niños y adolescentes. 
  • Tratamientos en sistemas de información crediticia o financiera. 
  • Transferencias sistemáticas de datos personales, nacionales o internacionales. 

  

   4. Obligaciones derivadas 

Los responsables y encargados que realicen tratamientos de datos personales a gran escala deberán cumplir, entre otras, con las siguientes obligaciones específicas: 

  • Mantener actualizado el Registro de Actividades de Tratamiento (RAT), incorporando información detallada sobre los tratamientos de gran escala. 
  • Realizar evaluaciones de impacto en protección de datos personales cuando corresponda. 
  • Designar y registrar un Delegado de Protección de Datos Personales, conforme a la LOPDP. 
  • Aplicar medidas de privacidad desde el diseño y por defecto durante todo el ciclo de vida del tratamiento. 
  • Someterse a auditorías internas o externas, al menos una vez cada doce (12) meses, y conservar los informes respectivos por un período mínimo de cinco (5) años. 
  • Identificar expresamente los tratamientos de gran escala en sus políticas de privacidad, garantizando que estas sean claras, accesibles y fácilmente comprensibles para los titulares. 
  • Elaborar y conservar informes anuales de cumplimiento, los cuales deberán estar disponibles para la SPDP en el ejercicio de sus facultades de control.  

 

   5. Marco sancionatorio  

La falta de actualización del Registro de Actividades de Tratamiento (RAT), así como el incumplimiento de las obligaciones vinculadas al tratamiento a gran escala incluida la aplicación del MTGE, la realización de evaluaciones de impacto, auditorías y la adopción de medidas de control y seguridad constituye una infracción sancionable conforme a la LOPDP y su normativa, y puede generar responsabilidades administrativas bajo la supervisión de la Superintendencia de Protección de Datos Personales. 

 

Disposiciones relevantes:  

Los responsables y encargados que identifiquen que realizan tratamientos de datos personales a gran escala dispondrán de noventa (90) días, contados desde la vigencia de la norma, para designar y registrar a su Delegado de Protección de Datos Personales, salvo en los casos en que dicha obligación ya hubiese sido exigible con anterioridad. 

  

Acciones recomendadas 

En este contexto, se recomienda que las empresas que operan en sectores como; salud, educación, turismo, financiero, automotriz y seguridad prioricen la realización de un diagnóstico en sus tratamientos de datos personales, actualicen su RAT y validen si se encuentran obligadas:  

  • Revisar y actualizar el Registro de Actividades de Tratamiento, identificando posibles tratamientos que puedan calificarse como de gran escala. 
  • Aplicar el Modelo Técnico de Gran Escala (MTGE) para verificar el cumplimiento del umbral establecido. 
  • Evaluar la necesidad de realizar evaluaciones de impacto y de designar o registrar un Delegado de Protección de Datos Personales. 
  • Adecuar políticas internas, contratos y procedimientos de gestión de datos personales a las obligaciones reforzadas previstas en la Norma General. 
  • Solicitar asesoría especializada para prevenir contingencias administrativas y eventuales sanciones por incumplimiento de la normativa de protección de datos personales. 

 

Para PUENTE & ASOCIADOS Estudio Jurídico es un gusto mantenerte informado y ofrecerte los servicios legales derivados de esta Circular, puedes contactar a gpuente@puenteasociados.com y a mishells@puenteasociados.com 

Atentamente, 

PUENTE & ASOCIADOS 

Soluciones Jurídicas Para Personas Jurídicas 

, , , ,
Puente & Asociados
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.