Newsletter: Especial Regulación de Datos Personales-Absolución de Consulta

Estimados clientes y colaboradores

En VR Legal & Compliance, nos mantenemos a la vanguardia de la regulación digital. La reciente absolución de consulta de la Superintendencia de Protección de Datos (SPDP), mediante el Oficio N° SPDP-IRD-2026-0221-O, marca un hito en la forma en que las empresas ecuatorianas deben evaluar sus riesgos y obligaciones.

Esta resolución aclara definitivamente que la calificación de un tratamiento como "A Gran Escala" no es un juicio subjetivo, sino el resultado de un análisis técnico-jurídico obligatorio.

1. La Unidad de Análisis:Individualidad vs. Consolidación

La SPDP ha ratificado un principio operativo fundamental: el Modelo Técnico de Gran Escala (MTGE) se aplica a cada tratamiento de forma independiente.

• Implicación práctica: Un responsable puede realizar múltiples tratamientos (ej. RRHH, Clientes, Videovigilancia). No se deben sumar los titulares de todos ellos. Si cada uno, por separado, no alcanza el umbral de 6 puntos, el responsable no está obligado a las medidas reforzadas para esos tratamientos específicos.

2. Análisis de la Fórmula Matemática del MTGE

Para determinar si su empresa debe nombrar un Delegado de Protección de Datos (DPD) o realizar una Evaluación de Impacto (EIPD), la normativa establece la siguiente expresión matemática:

P=Ttitulares​+Tvolumen​+Tcategorías​+Tfrecuencia​+Tpermanencia​+Tgeografía

¿Cómo se desglosan estas variables?

Para que el tratamiento sea considerado "Gran Escala", el puntaje acumulado (P) debe ser igual o mayor a 6 puntos. Aquí explicamos qué evalúa cada variable según la Norma General:

• T (Titulares): Mide la cantidad única de personas afectadas en un periodo de 12 meses.

• T (Volumen): Evalúa la cantidad de puntos de datos o registros asociados a cada titular (a mayor profundidad de perfilamiento, mayor puntaje).

• T (Categorías): Diferencia entre datos básicos y categorías especiales (salud, menores, etnia, etc.).

• T (Frecuencia): Clasifica si el tratamiento es único, periódico o continuo.

• T (Permanencia): Mide el tiempo de vida del tratamiento (Ocasional, Temporal < 3 años, o Prolongado > 3 años).

• T (Geografía): Determina si el impacto es Local, Nacional, Transfronterizo o Global.

3. Los "Atajos" a la Gran Escala (Calificación Directa)

El Oficio también aclara que existen tratamientos que saltan la fórmula y se consideran Gran Escala de forma automática (Art. 14 de la Norma General):

• Biometría y Geolocalización: La SPDP confirma que son supuestos alternativos. No necesitan ocurrir juntos; si usted usa huella digital para control de acceso O rastreo GPS de flota, ya es un tratamiento a Gran Escala.

• Sector Salud: Solo los tratamientos en sistemas sanitarios o gestión de historias clínicas son automáticos. Otros datos sensibles deben pasar por el cálculo de la fórmula.

• Transferencias Sistemáticas: Se consideran Gran Escala si son parte de un "flujo estructural" (intercambios recurrentes y necesarios para el modelo de negocio).

💡 Nuestra Recomendación desde VR Legal & Compliance

El Oficio N° SPDP-IRD-2026-0221-O deja claro que la autoridad cuenta ahora con criterios objetivos para auditar a las empresas. Un error en el cálculo del MTGE podría significar que su empresa está operando sin un DPD o sin EIPDs obligatorias, lo cual es una infracción grave.

¿Su empresa ya aplicó el MTGE a su Registro de Actividades de Tratamiento (RAT)?

En VR Legal & Compliance, le ayudamos a ejecutar este análisis técnico con rigor legal para asegurar que su organización cumpla con los estándares de la SPDP.

VR Legal & Compliance

Expertos en Protección de Datos y Cumplimiento Normativo.

El contenido de este newsletter es informativo y no constituye asesoría legal para casos específicos.