Newsletter: Resumen de la Guía de Gestión de Riesgos y Evaluación de Datos Personales

Esta Guía de Gestión de Riesgos, publicada por la Superintendencia de Protección de Datos Personales, ofrece un marco metodológico para cumplir con la Ley Orgánica de Protección de Datos Personales en Ecuador. El documento enfatiza que la protección de la privacidad no debe ser un simple trámite administrativo, sino un proceso basado en la reducción de la incertidumbre mediante datos confiables y modelos métricos. Se detallan las etapas esenciales para el manejo de amenazas, incluyendo la identificación, el análisis y la evaluación de impactos bajo criterios tanto cuantitativos como cualitativos.

VR LAW

4/1/20262 min read

En VR LAW, nos mantenemos a la vanguardia de la normativa de protección de datos para asegurar que su organización no solo cumpla con la ley, sino que construya una infraestructura de seguridad resiliente. En esta edición, analizamos los puntos clave de la nueva "Guía de Gestión de Riesgos y Evaluación de Impacto – Versión 2 (2026)" emitida por la SPDP.

1. Más allá del "Cumplimiento en Papel"

Uno de los mensajes centrales de la autoridad es claro: la gestión de riesgos no se trata de elaborar simples listas de chequeo o reportes extensos sin sustancia. Para la SPDP, el cumplimiento real implica construir una "cultura de la conformidad", donde se utilicen datos confiables, métricas significativas y se calibren las opiniones de expertos para proteger los derechos y libertades de los titulares.

2. Las 5 Etapas Obligatorias del Proceso

Para que un análisis de riesgos sea válido bajo la LOPDP, su organización debe cumplir rigurosamente con estas etapas:

  1. Establecimiento del contexto: Definir criterios de evaluación según el tipo de datos (ej. sensibles) y grupos vulnerables.

  2. Identificación de riesgos: Localizar amenazas (cibercriminales, empleados, desastres naturales) y vulnerabilidades técnicas o jurídicas.

  3. Análisis de riesgos: Calibrar la probabilidad y el impacto.

  4. Evaluación de riesgos: Comparar los niveles obtenidos con la tolerancia al riesgo de la empresa.

  5. Tratamiento de riesgos: Implementar medidas de seguridad eficientes para mitigar lo hallado.

3. El Valor de los "Rationales"

Un concepto fundamental introducido es el Rationale: el razonamiento de respaldo que sustenta cualquier valor de entrada en la gestión de riesgos. Ya sea mediante métodos cuantitativos (como el análisis de Monte Carlo o el modelo FAIR) o cualitativos (métodos Delphi o Lens), los responsables están obligados a justificar por qué consideran que un riesgo tiene cierta probabilidad o impacto.

4. Integración DPD + CISO: Un trabajo interdisciplinario

La Guía enfatiza que el cumplimiento de la LOPDP no es solo una tarea del departamento legal. Es vital la sincronización entre el Delegado de Protección de Datos (DPD) y el Oficial de Seguridad de la Información (CISO). Todo riesgo de seguridad de la información vinculado a datos personales se convierte en un probable riesgo contra los derechos y libertades de los ciudadanos.

¿Está su empresa lista para una auditoría?

En VR LAW le ayudamos a transitar de una lógica binaria de "cumple/no cumple" a una gestión probabilística avanzada. La inversión en seguridad no debe verse como un gasto, sino como un mecanismo para evitar sanciones que, según la métrica de la autoridad, podrían alcanzar niveles de impacto "Muy Altos" si afectan a grandes volúmenes de datos sensibles.

Contáctenos para una evaluación de impacto (DPIA) alineada a los nuevos estándares de la SPDP.

VR LAW – Protegiendo lo que más importa: la confianza de sus clientes.

Contacto

Estamos aquí para ayudarte con tus consultas legales.

Email

Teléfono

contacto@vrlaw.com

0982359926

© 2025. All rights reserved.