La Superintendencia de Protección de Datos Personales de Ecuador ha aprobado la Norma General de Transferencias o Comunicaciones Nacionales e Internacionales de Datos Personales. Esta normativa tiene como objeto regular los procedimientos y requisitos técnicos y jurídicos para garantizar el ejercicio de los derechos de protección de datos en el flujo de información, tanto dentro como fuera del territorio ecuatoriano.

Nota: Esta norma es de cumplimiento obligatorio para responsables del tratamiento, así como para encargados que realicen transferencias a nombre de un responsable.

Conceptos clave

Transferencia o comunicación nacional: Entrega de datos personales a un tercero dentro del territorio nacional, donde el destinatario asume la calidad de responsable del tratamiento.

Flujo transfronterizo de datos: Transferencia o comunicación internacional realizada a un destinatario situado en un país distinto al de origen, independientemente del soporte o medio utilizado.

Garantías adecuadas: Medidas implementadas (como cláusulas contractuales o certificaciones) cuando el país de destino no cuenta con un nivel adecuado de protección reconocido.

Condiciones para la transferencia de datos

Para que una transferencia (nacional o internacional) sea lícita, debe cumplir con:

Finalidad: Debe ser lícita, legítima y determinada.

Legitimación: Contar con una base legal según la LOPDP.

Consentimiento: Debe ser previo, libre, específico, informado e inequívoco, salvo excepciones legales.

Seguridad: Implementación de mecanismos seguros, como el cifrado, para preservar la integridad y confidencialidad.

Mecanismos para Transferencias Internacionales

Declaratoria de Nivel Adecuado: La Superintendencia puede declarar que un país u organismo ofrece un nivel de protección equivalente al ecuatoriano. Estas resoluciones tienen una vigencia máxima de 4 años y revisión anual.

Garantías Adecuadas: Incluyen:

Cláusulas Contractuales Tipo: La SPDP reconoce como propias las cláusulas modelo de la Red Iberoamericana de Protección de Datos (RIPD).

Normas Corporativas Vinculantes: Para transferencias dentro de un mismo grupo empresarial.

Códigos de Conducta y Certificaciones: Instrumentos que acreditan el cumplimiento de estándares de protección.

Obligaciones del Responsable y Destinatario

Documentación: Se debe mantener por al menos 3 años la documentación que acredite la legalidad de la transferencia (contratos, evaluaciones de impacto, etc.).

Notificación de derechos: Si un titular ejerce derechos de rectificación o supresión, el responsable debe notificar al destinatario para que este también los aplique.

Responsabilidad del destinatario: El receptor de los datos debe respetar las finalidades originales y abstenerse de realizar transferencias ulteriores sin legitimación.

Disposiciones Transitorias (Regularización)

Las organizaciones que realizaban transferencias antes de esta norma tienen 12 meses para regularizarlas mediante la notificación a la SPDP y la presentación de un plan de adecuación.

Importante: El incumplimiento de los procesos de regularización o la realización de transferencias sin las garantías debidas estará sujeto a las sanciones previstas en la Ley.

Para obtener más detalles sobre el Reglamento, contacte a nuestro equipo de Protección de Datos Personales.

Este documento no constituye opinión legal, es tan solo un informativo general.