La Ley Orgánica de Protección de Datos Personales (LOPDP )fue publicada el 26 de mayo de 2021¹ estableciendo normas obligatorias para la protección de datos personales en las entidades públicas y privadas² y creó un órgano técnico de vigilancia para garantizar el cumplimiento de la ley: la Superintendencia de Datos Personales (SPDP).

Si bien la misma ley otorgó dos años de vacatio legis, por la cual, “Las disposiciones relacionadas con las medidas correctivas y el régimen sancionatorio entrarán en vigencia en dos años”³ otorgando al empresariado dos años para que se ajusten a ella ( hasta mayo de 2023) no es menos cierto que, en términos prácticos, la ley se inauguraba con este órgano técnico para que enfuerce su cumplimiento.

La institucionalidad comenzó tarde, pero inició con firmeza regulatoria y determinación de construir autoridad técnica desde bases administrativas inexistentes

No obstante, el Estado se tomó varios meses en designar al Superintendente de Datos personales, hasta marzo de 2024, quien, una vez posesionado con todas las cualificaciones para el cargo⁴ fue denominado el “Superintendente sin superintendencia”⁵, dado que no existían recursos para el funcionamiento del órgano y asumió el reto de estructurar la institución desde cero.

Hoy, luego de notables esfuerzos de su Superintendente, la entidad ha iniciado sus actividades emitiendo principalmente normativa para viabilizar un sistema de protección de datos personales en el Ecuador y su imposición al sector público y privado⁶, sin dejar de lado el impulso de procesos administrativos de investigación y sanción. Las sanciones a las empresas se calculan según el volumen de los negocios (ingresos anuales).

Por tanto, es de interés general conocer los desafíos que esta ley así como su inaugurada Superintendencia plantean para el sector privado y empresarial. Este artículo intenta abordar estos desafíos: el qué, quien, como, cuando y porqué.

¿Qué?

El primer desafío es aproximarse al “dato personal”. Es todo dato sin importar el soporte en que se encuentre (físico o electrónico) que identifique o haga identificable a una persona natural, a sí misma o sus bienes. La ley excluye de forma expresa a los datos de las personas jurídicas y aquellos anonimizados, es decir, aquellos que no es posible identificar su titular.⁷

Una vez entendido que es toda imagen, información o dato de las personas naturales, el segundo paso es aceptar que en cada relación jurídica el empresario -en alguna medida- tiene acceso o utiliza la información o datos personales de sus clientes, proveedores, y cualquier persona con la que establezca alguna relación en su negocio, inclusive datos sensibles o relativos a la salud de las personas⁸. De ahí que deviene aceptar que los empresarios son típicamente aquellos que incurren en el “tratamiento de datos personales” y por tanto les aplica directamente la ley de la materia⁹.

¿Quién?

Dicho lo anterior, el empresario debe comprender e interiorizar que la ley lo ha denominado como “responsable”¹⁰, con el propósito de limitar sus actuaciones y hacer que encarne una suerte de garantía institucional para la protección de datos personales, de tal manera que, cuando incurra en el “tratamiento de datos personales”  debe ser con una finalidad específica y en el marco de la ley.

Inclusive, se reconoce que en el marco del giro de la empresa, es posible que el tratamiento de datos se extienda a terceras personas, denominadas “encargado del tratamiento de datos personales”¹¹, con el propósito que aun siendo una persona distinta al empresario, este último en calidad de “responsable” asuma las consecuencias de las actuaciones que esta otra entidad realice a nombre y por cuenta del empresario.

¿Cómo?

Hasta este punto, tanto la ley, como la jurisprudencia de la Corte Constitucional del Ecuador han ampliado el concepto de “dato personal” y de su “tratamiento”¹² para depositar en el empresario – por el efecto horizontal de los derechos¹³– la responsabilidad de proteger los datos personales; así, la ley ha previsto limitaciones concretas. Explicar el cómo lo ha logrado la ley, implica algunos detalles:

Bases legitimadoras

Una de las más evidentes es crear el concepto de “bases legitimadoras”, es decir, los presupuestos legales que deben necesariamente cumplirse para que el tratamiento sea “legítimo y lícito” conforme al artículo 7 de la ley de la materia. Así, para que un empresario que trate datos personales debe contar con al menos una de estas bases , entre otros, que legitimen dicho tratamiento:

• El consentimiento de titular de la información para una finalidad específica
• El cumplimiento de una obligación legal
• La observancia de una orden judicial
• Para el cumplimiento de obligaciones contractuales, etc.

Dicho de otra manera, para que un empresario “responsable” trate datos personales debe contar ya sea con el consentimiento del titular, la autorización de la ley, una orden judicial o un soporte contractual para que se justifique el tratamiento. Particularmente, el consentimiento, debe ser “libre”, “específico”, “informado” “inequívoco” y “revocable”¹⁴ conforme a la ley; por lo cual, además, de tener el consentimiento del titular de los datos este debe haber sido previo al tratamiento, sin presiones, con base en información disponible para el titular, inequívoco y siempre con la posibilidad que el titular lo revoque.

Sin base legitimadora válida, todo tratamiento de datos personales se convierte en infracción susceptible de investigación y sanción administrativa.

Los derechos de los titulares de la información

En esta misma línea, del cómo enforzar la carga al empresario, como “responsable” debe hacer posible los derechos del titular de la información, específicamente, el derecho al acceso a la información personal¹⁵, el derecho a la rectificación y actualización de datos personales¹⁶,  el derecho a la eliminación de datos personales¹⁷, el derecho a oponerse al tratamiento de sus datos¹⁸, el derecho a la portabilidad de sus datos¹⁹, el derecho a solicitar la suspensión del tratamiento de datos²⁰, el derecho a no ser objeto de una decisión basada únicamente o parcialmente en valoraciones automatizadas²¹, entre otros.   

Medidas de seguridad e implementación de la protección desde el diseño por defecto

Según la ley de la materia, el “El responsable o encargado del tratamiento de datos personales según sea el caso, deberá sujetarse al principio de seguridad de datos personales”²², y deberán tomar medidas para mitigar los riesgos en el tratamiento de información tales como la anonimización, seudonomización o cifrado de datos personales dentro de la organización.

El responsable además, debe cuidar la confidencialidad de la información con contratos o cláusulas de confidencialidad²³ y asegurarse que el encargado también implemente medidas de seguridad en el tratamiento de datos²⁴. Inclusive la Superintendencia impuso a todos los responsables la obligatoriedad de incorporar “cláusulas de protección de datos personales” en las relaciones jurídico-contractuales que se generaren entre los diferentes actores del sistema, para así cumplir la LOPDP²⁵ acompañando modelos específicos de estas cláusulas²⁶.

La protección desde el diseño exige integrar la privacidad en cada proceso empresarial, no como reacción, sino como principio estructural.

Aunado a ello, los responsables deben implementar “Protección de datos personales desde el diseño y por defecto”, esto es, interiorizar que determinados tipos de tratamientos de datos personales entrañan una serie de riesgos para los derechos de los titulares y hacer frente a los riesgos con medidas específicas, sean medidas técnicas, organizativas y de cualquier otra índole, con miras a garantizar el cumplimiento de las obligaciones en materia de protección de datos, en los términos del reglamento.

La misma ley, hace hincapié en que  “La protección de datos por defecto” hace referencia a que el responsable “debe aplicar las medidas técnicas y organizativas adecuadas con miras a que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines del tratamiento”²⁷.

El delegado de datos personales

Para asegurar que el sistema opere en la forma prevista en la ley, además, se ha impuesto la obligación de que los empresarios “responsables” cuenten con un “delegado de Datos Personales” (DPO), para asesorarlos en el cumplimiento de las obligaciones que la ley impone, para que supervise al empresario responsable y su encargado,  para cooperar con la autoridad de datos personales (la Superintendencia) y las demás funciones que la ley prevé.

La Superintendencia, aclaró cuando debe forzosamente designarse a un DPO, precisando que en el sector privado esto ocurre cuando se traten de actividades de educación (inicial, básica, bachillerato, superior), actividades financieras,  seguros y relacionados, publicidad, salud, sector farmacéutico, seguridad privada, federaciones y asociaciones deportivas, empresas de videovigilancia, concesionarios de servicios públicos, entre otros²⁸. El nombramiento de DPO debe ser además inscrito en la Superintendencia, plazo que feneció el 31 de diciembre de 2025²⁹.

¿Cuándo?

Como se dijo, la ley dio un periodo de vacatio legis de 2 años, hasta mayo de 2023 para que los empresarios responsables se ajusten a la ley y no se les realizaría ni medidas correctivas ni procedimientos de investigación y sanción. No obstante, la Superintendencia arrancó operaciones en el año 2024 y sus procedimientos de investigación y sanción han dado lugar a sanciones desde el mes de diciembre de 2025. Las primeras sanciones según boletín oficial de la misma Superintendencia, se expidieron en diciembre de 2025 y enero de 2026.

En diciembre de 2025, la Superintendencia sancionó a a la Liga Profesional de Fútbol del Ecuador (LIGAPRO) y a la Federación Ecuatoriana de Fútbol (FEF), por infracciones graves vinculadas con el tratamiento de datos personales en aplicaciones por la falta de implementación de medidas administrativas, técnicas, físicas, organizativas y jurídicas suficientes para garantizar un tratamiento adecuado y conforme con la normativa vigente. En el caso de LIGAPRO, la SPDP declaró su responsabilidad administrativa, impuso una multa de US$259,644.01, y, en el caso de la FEF, la SPDP determinó, igualmente, su responsabilidad administrativa e impuso una multa de US$194,856.16³⁰.

En el mes de enero de 2026, sancionó a LIGAPRO por no haber implementado la protección de datos personales desde el diseño y por defecto, en el tratamiento de datos personales biométricos, cuya sanción correspondió a cuya sanción corresponde a un rango entre el 0,1 % y el 0,7 % del volumen de negocio del ejercicio económico inmediatamente anterior, la SPDP impuso a LIGAPRO una multa administrativa de USD $95.502,63³¹.

Cumplir la LOPDP no solo evita multas: fortalece reputación, confianza corporativa y posicionamiento estratégico en mercados cada vez más regulados.

Asimismo, sancionó a la FEF por carecer de una metodología de análisis y gestión de riesgos en protección de datos personales que no estaba adaptada a la naturaleza de los datos personales. La SPDP impuso a la FEF una multa administrativa de USD $194.469,85³².

¿Por qué?

Las sanciones a los empresarios responsables, fueron impuestas por la Superintendencia de Datos Personales por incumplir con las medidas de seguridad para proteger datos personales o el sistema de análisis o gestión de riesgos. Es decir, se infringieron obligaciones que tanto la ley como la Superintendencia ha desarrollado con sus resoluciones, pese a haber sido establecidas en normas claras, previas, públicas y aplicadas por autoridad competente conforme al principio de seguridad jurídica prevista por el artículo 82 de la Constitución.

El porqué de estas sanciones, justamente, el efecto horizontal de los derechos y la encarnación del empresariado como una garantía institucional de la protección de datos personales.

Conclusión.

El último paso, después de conocer el qué, como, quien, cuando y por qué, es el hacer.

La entrada en vigor de la Ley Orgánica de Protección de Datos Personales y la operación de la Superintendencia de Protección de Datos Personales marcan un hito en la regulación de la privacidad en Ecuador, imponiendo desafíos significativos pero necesarios para el sector empresarial. Los empresarios, en su rol de «responsables» del tratamiento de datos, deben asumir un compromiso proactivo con la protección de la información personal, no solo para evitar sanciones económicas, sino para construir relaciones de confianza con sus clientes, colaboradores y demás sujetos en sus relaciones jurídicas.

El camino hacia el cumplimiento requiere una comprensión profunda de los conceptos de dato personal, bases legitimadoras, derechos de los titulares y medidas de seguridad, así como la implementación de estructuras organizativas que garanticen el respeto a la normativa. La designación de un delegado de Protección de Datos (DPO) y la adopción de cláusulas de protección en contratos son pasos esenciales, especialmente en sectores de alto riesgo como el financiero, salud y educación.

Las primeras sanciones impuestas por la Superintendencia, como las aplicadas a la LIGAPRO y la FEF, demuestran que el incumplimiento tiene consecuencias tangibles. Sin embargo, también representan una oportunidad para que las empresas revisen y fortalezcan sus procesos, adoptando un enfoque de protección de datos desde el diseño y por defecto.

En un mundo donde la información es un activo valioso, la protección de datos personales no debe verse como una carga, sino como una inversión en reputación, legalidad y sostenibilidad. El desafío para el sector empresarial ecuatoriano es claro: adaptarse a la LOPDP no es solo una obligación legal, sino una ventaja competitiva que diferencia a las organizaciones comprometidas con la ética y la transparencia.

El momento de actuar es ahora. Las empresas que anticipen y aborden estos desafíos no solo cumplirán con la ley, sino que también se posicionarán como líderes en un mercado cada vez más consciente de la importancia de la privacidad.

Fuentes.

1. Registro Oficial Quinto Suplemento. No. 459 del 26 de mayo de 2021. ↩︎
2. Disposición transitoria primera, Ley Orgánica de Protección de
   Datos Personales. ↩︎
3.  Entrevista  Fabrizio Peralta Díaz (2024, 14 de mayo)  https://www.youtube.com/watch?v=f7Bk4Jf-3QE ↩︎
4. Primicias. (2024, 28 de marzo). Fabrizio Peralta Díaz, designado primer Superintendente de Datos. https://www.primicias.ec/noticias/politica/fabrizio-peralta-diaz-superintendencia-datos-cpccs/ ↩︎
5. ↩︎
6. Resoluciones Superintendencia de Datos Personales, 2024-2026 (https://spdp.gob.ec/resoluciones_spdp/) ↩︎
7. Art. 2 literales c) y g) de la Ley Orgánica de Protección de Datos Personales. ↩︎
8. El artículo 4 de la la Ley Orgánica de Protección de Datos Personales, define a la los datos sensibles como: “Datos relativos a: etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos y libertades fundamentales”; y a los datos relativos a la salud: “datos personales relativos a la salud física o mental de una persona, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud”. ↩︎
9. Art. 3 Ley Orgánica de Protección de Datos Personales. El artículo 4 de la misma ley define de forma amplia el tratamiento de datos personales como “Cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos técnicos de carácter automatizado, parcialmente automatizado o no automatizado, tales como: la recogida, recopilación, obtención, registro, organización, estructuración, conservación, custodia, adaptación, modificación, eliminación, indexación, extracción, consulta, elaboración, utilización, posesión, aprovechamiento, distribución, cesión, comunicación o transferencia, o cualquier otra forma de habilitación de acceso, cotejo, interconexión, limitación, supresión, destrucción y, en general, cualquier uso de datos personales”. ↩︎
10. El artículo 4 de la Ley Orgánica de Protección de Datos Personales,  define al: “ responsable de tratamiento de datos personales: persona natural o jurídica, pública o privada, autoridad pública, u otro organismo, que solo o conjuntamente con otros decide sobre la finalidad y el tratamiento de datos personales”. ↩︎
11. El artículo 4 de la Ley Orgánica de Protección de Datos Personales,  define al “Encargado del tratamiento de datos personales: Persona natural o jurídica, pública o privada, autoridad pública, u otro organismo que solo o conjuntamente con otros trate datos personales a nombre y por cuenta de un responsable de tratamiento de datos personales”. ↩︎
12. Corte Constitucional del Ecuador, sentencia 2064-14-EP/21, del 27 de enero de 2021, párrafos 77, 80, 82, 85. ↩︎
13. En palabras de la Corte Constitucional del Ecuador, “La posibilidad de que los derechos constitucionales influyan en las relaciones jurídicas privadas fue inicialmente desarrollada por el Tribunal Federal Alemán mediante la doctrina de unmittelbare Drittwirkung o efecto horizontal de los derechos. En Ecuador se reconoce un efecto horizontal directo que implica que los derechos constitucionales vinculan y regulan directamente a los actores privados, en las circunstancias previstas en la Constitución y en la ley”. Corte Constitucional del Ecuador, sentencia 832-20-JP/21, del 21 de diciembre de 2021, párrafo 81. ↩︎
14. Art. 8 Ley Orgánica de Protección de Datos Personales. ↩︎
15. Art. 13 Ley Orgánica de Protección de Datos Personales. ↩︎
16. Art. 14 ibidem. ↩︎
17. Art. 15 ibidem. ↩︎
18. Art. 16 ibidem. ↩︎
19. Art. 17 ibidem. ↩︎
20. Art. 19 ibidem. ↩︎
21. Art. 20 ibidem. ↩︎
22. Artículo 37 ibidem. ↩︎
23. Art. 47 numeral 10 Ley Orgánica de Protección de Datos Personales ↩︎
24. Art. 47 numeral 11 ibidem ↩︎
25. Resolución No. SPDP-SPD-2025-0006-R,  Superintendente de protección de datos personales, 30 de abril de 2025.  ↩︎
26. https://spdp.gob.ec/resolucion6/ ↩︎
27. Articulo 39 Ley Orgánica de Protección de Datos Personales ↩︎
28. RESOLUCIÓN Nº SPDP-SPD-2025-0028-R, 30 de julio de 2025 ↩︎
29. Ibidem, artículo 6 y disposición transitoria tercera. ↩︎
30. Boletín de Prensa No. 5, 1 de diciembre de 2025. https://spdp.gob.ec/prensa/ ↩︎
31. Boletín de Prensa No. 2, 20 de enero de 2026. https://spdp.gob.ec/prensa/ ↩︎
32. Boletín de Prensa No. 3, 20 de enero de 2026. https://spdp.gob.ec/prensa/    ↩︎