Blog - Detalles

La Superintendencia de Protección de Datos Personales (SPDP) acaba de aprobar su Plan Regulatorio Institucional 2026, marcando el rumbo de las regulaciones en protección de datos personales que toda empresa ecuatoriana debe conocer. Si tu organización maneja información personal, estos cambios normativos te afectarán directamente.

¿Qué es el Plan Regulatorio Institucional 2026?

El Plan Regulatorio Institucional 2026 SPDP es el documento estratégico que establece las normativas secundarias que se expedirán durante el año 2026 para fortalecer el ecosistema de protección de datos personales en Ecuador. Aprobado mediante Resolución Nº SPDP-SPD-2025-0050-R el 30 de diciembre de 2025, este plan fue elaborado tras un proceso de socialización pública que recibió aportes ciudadanos durante agosto de 2025.

Las 5 Normativas Clave del Plan Regulatorio 2026  Tabla Resumen de Regulaciones SPDP 2026

1. Reforma al Reglamento de Atención de Consultas

Fecha de aprobación: Febrero 2026
Responsable: Intendencia General de Regulación de Protección de Datos Personales

¿Qué cambia?

Esta reforma normativa SPDP 2026 optimizará los plazos, procedimientos y sujetos involucrados en el proceso de consultas ante la autoridad de protección de datos. Las empresas que requieran orientación sobre el cumplimiento de la LOPDP tendrán procesos más ágiles y claros.

Impacto para las empresas:

✅ Reducción de tiempos de respuesta institucional
✅ Mayor claridad sobre quién puede presentar consultas
✅ Procedimientos simplificados para obtener criterios técnicos

2. Procedimiento de Queja para Delegados de Protección de Datos (DPO)

Fecha de aprobación: Febrero 2026
Responsable: Intendencia General de Control y Sanción

Protección reforzada para los DPO en Ecuador

Esta norma general sobre DPO en Ecuador establece por primera vez un mecanismo formal para que los Delegados de Protección de Datos puedan presentar quejas ante la SPDP cuando sufran:

• Remoción injustificada de su cargo
• Sanciones disciplinarias por cumplir sus funciones
• Presiones indebidas del responsable del tratamiento
• Limitaciones a su independencia funcional

¿Por qué es importante?

Garantiza la independencia del Delegado de Protección de Datos, elemento fundamental establecido en la Ley Orgánica de Protección de Datos Personales. Los DPO podrán ejercer sus funciones sin temor a represalias empresariales.

Obligaciones para las empresas:

⚠️ Respetar la independencia funcional del DPO
⚠️ No remover sin causa justificada
⚠️ Permitir comunicación directa con la SPDP
⚠️ Evitar sanciones por cumplimiento de deberes legales

3. Reforma al Plan Anual de Auditorías (PAA)

Fecha de aprobación: Febrero 2026
Responsable: Intendencia General de Control y Sanción

Nueva normativa de control y auditorías SPDP

La reforma al Plan Anual de Auditorías 2026 establecerá lineamientos claros sobre cómo la SPDP ejecutará sus controles y verificaciones de cumplimiento en organizaciones públicas y privadas.

¿Qué deben esperar las empresas?

📋 Criterios objetivos de selección para auditorías
📊 Metodologías estandarizadas de verificación
⏱️ Plazos definidos para procesos de auditoría
📝 Protocolos claros de presentación de evidencias

Sectores prioritarios para auditorías:

1. Instituciones financieras y bancarias
2. Empresas de telecomunicaciones
3. Plataformas digitales con usuarios masivos
4. Entidades de salud y seguros
5. Organizaciones que manejan datos sensibles

4. Normativa sobre Uso de Datos Biométricos

Fecha de aprobación: Marzo 2026
Responsables: Intendencia de Regulación + Intendencia de Innovación Tecnológica

La regulación más esperada: datos biométricos en Ecuador

Esta normativa sobre datos biométricos 2026 establecerá por primera vez reglas específicas para el uso de:

• 👤 Reconocimiento facial
• 🖐️ Huellas dactilares
• 👁️ Reconocimiento de iris
• 🗣️ Reconocimiento de voz
• 🚶 Patrones de comportamiento

Elementos clave de la regulación:

Parámetros técnicos

• Estándares de calidad de captura
• Requisitos de cifrado y seguridad
• Protocolos de almacenamiento seguro
• Límites de retención temporal

Parámetros jurídico-organizativos

• Bases de legitimación aplicables
• Derechos reforzados de los titulares
• Obligaciones especiales del responsable
• Transferencias internacionales restringidas

Criterios de proporcionalidad

• Test de necesidad: ¿Es indispensable usar biometría?
• Test de idoneidad: ¿Es la medida más adecuada?
• Test de proporcionalidad estricta: ¿Los beneficios superan los riesgos?

Medidas obligatorias

Sectores más afectados:

🏢 Control de acceso corporativo con reconocimiento facial
🏦 Banca y fintech con autenticación biométrica
🏥 Salud con identificación de pacientes
🎓 Educación con control de asistencia biométrico
🚔 Seguridad privada con videovigilancia inteligente

5. Normativa Técnica sobre Notificación de Vulneraciones

Fecha de aprobación: Abril 2026
Responsables: Tres Intendencias (Regulación, Innovación Tecnológica, Control)

Protocolo obligatorio de notificación de brechas de seguridad

Esta normativa técnica de notificación de vulneraciones desarrolla el artículo 46 de la LOPDP, estableciendo procedimientos claros cuando ocurre una brecha de seguridad que afecta datos personales.

Plazos establecidos

⏰ Máximo 72 horas (3 días hábiles) para notificar a la SPDP
⏰ Sin dilación injustificada para notificar a los titulares afectados

Contenido obligatorio de la notificación

La normativa definirá formatos estándar que deben incluir:

1. Descripción de la naturaleza del incidente
• Tipo de vulneración (ransomware, acceso no autorizado, pérdida de dispositivos)
• Fecha y hora del incidente
• Fecha de detección
2. Datos afectados
• Categorías de datos comprometidos
• Número aproximado de titulares afectados
• Sensibilidad de la información
3. Consecuencias probables
• Riesgos para los derechos y libertades de los titulares
• Posible uso fraudulento de los datos
• Impacto en la privacidad
4. Medidas adoptadas
• Acciones inmediatas de contención
• Medidas de mitigación de riesgos
• Plan de remediación
5. Datos de contacto del DPO
• Nombre del Delegado de Protección de Datos
• Contacto directo para consultas

Excepciones a la notificación

La normativa establecerá criterios claros sobre cuándo NO es necesario notificar:

✓ Datos cifrados con estándares robustos y llave no comprometida
✓ Medidas técnicas que hagan ininteligibles los datos para terceros
✓ Riesgo mínimo para derechos y libertades demostrado objetivamente

Sanciones por incumplimiento

⚠️ No notificar dentro del plazo: Infracción grave
⚠️ Ocultar deliberadamente la vulneración: Infracción muy grave
⚠️ Información incompleta o falsa: Agravante de responsabilidad

¿Cómo Prepararse para las Nuevas Regulaciones?

Acciones inmediatas para empresas

1️⃣ Para febrero 2026:

• Revisar si tu DPO cuenta con las garantías de independencia
• Preparar documentación para posibles auditorías
• Actualizar procedimientos de consulta a la SPDP

2️⃣ Para marzo 2026:

• Auditar todos los usos de datos biométricos en tu organización
• Iniciar evaluaciones de impacto específicas para biometría
• Revisar bases de legitimación para tratamientos biométricos
• Implementar protocolos reforzados de consentimiento

3️⃣ Para abril 2026:

• Establecer un plan de respuesta a incidentes de seguridad
• Designar responsables de notificación de vulneraciones
• Crear plantillas de notificación conformes con la nueva normativa
• Implementar sistemas de detección temprana de brechas

Proceso de Elaboración del PRI 2026

El Plan Regulatorio Institucional 2026 fue desarrollado mediante un proceso participativo:

1. Febrero 2025: Solicitud de insumos a todas las intendencias
2. Abril-Julio 2025: Elaboración de informes técnicos justificativos
3. Agosto 2025: Socialización pública (30 días)
4. Septiembre-Noviembre 2025: Incorporación de observaciones ciudadanas
5. Diciembre 2025: Aprobación final mediante Resolución SPDP-SPD-2025-0050-R

Este proceso garantiza que las regulaciones respondan tanto a necesidades técnicas como a aportes de la sociedad civil y el sector empresarial.

2026, Año de Consolidación Normativa

El Plan Regulatorio Institucional 2026 representa la maduración del ecosistema de protección de datos personales en Ecuador. Con estas cinco normativas, la SPDP complementa el marco establecido por la LOPDP, brindando claridad operativa a empresas y organizaciones.