personales a gran escala
En un paso significativo para la protección de la privacidad en la era digital, la Superintendencia de Protección de Datos Personales (SPDP) de Ecuador puso en vigencia la Norma General sobre el Tratamiento de Datos Personales a Gran Escala, a través de la Resolución N.º SPDP-SPD-2026-0005-R, publicada en el Registro Oficial el 2 de febrero de 2026 . La normativa establece un marco técnico y jurídico obligatorio para identificar y gestionar el manejo masivo de información, protegiendo los derechos de los titulares frente a los riesgos del big data .
Un modelo técnico para determinar el «gran escala»
El corazón de la nueva resolución es la creación del Modelo Técnico de Gran Escala (MTGE) . Se trata de un instrumento de puntuación que permite a las organizaciones evaluar de manera objetiva si sus actividades de tratamiento califican como «a gran escala», activando así un régimen de obligaciones reforzadas .
El MTGE analiza seis variables fundamentales, asignando un puntaje específico a cada una según su magnitud :
Número de titulares: Desde 1 punto para 0 a 1.000 titulares, hasta 4 puntos para 100.001 o más.
Volumen de datos por titular: Desde 0,5 puntos (hasta 10 tipos de datos) hasta 3 puntos (101 o más tipos).
Categorías de datos: Desde 0,5 puntos para datos básicos, hasta 3 puntos si incluye múltiples categorías especiales o datos de grupos vulnerables.
Frecuencia del tratamiento: Desde 0,5 puntos para tratamientos puntuales, hasta 2 puntos para los continuos o en tiempo real.
Permanencia del tratamiento: Desde 0,5 puntos para tratamientos ocasionales, hasta 2 puntos para los prolongados.
Alcance geográfico: Desde 1 punto para alcance local, hasta 3 puntos para alcance global o transfronterizo.
La norma establece un umbral claro: si la suma total de puntos es igual o superior a 6, el tratamiento se considera de gran escala y la organización debe cumplir con las nuevas disposiciones .
Calificación directa: Supuestos automáticos de alto riesgo
La resolución también identifica una lista de supuestos que se consideran tratamientos a gran escala de forma directa y obligatoria, sin necesidad de aplicar el MTGE . Estos incluyen actividades con especial potencial de riesgo para los derechos de los ciudadanos, como:
Tratamientos de datos de salud o de categorías especiales de datos .
Videovigilancia sistemática en espacios públicos .
Tratamiento de datos biométricos o de geolocalización .
Perfilamiento automatizado que produzca efectos jurídicos o afecte significativamente a los titulares .
Tratamiento sistemático de datos de niñas, niños y adolescentes .
Transferencias sistemáticas de datos, como flujos continuos o estructurales de información .
Servicios de mensajería acelerada, expresa o courier .
Nuevas obligaciones para responsables y encargados
Una vez que un tratamiento es calificado como de gran escala, ya sea por el MTGE o por calificación directa, los responsables y encargados del tratamiento deberán implementar una serie de medidas de cumplimiento reforzado :
Designación de un Delegado de Protección de Datos (DPO): Será obligatorio contar con esta figura y registrarla ante la SPDP .
Registro de Actividades de Tratamiento (RAT): Deberá mantenerse actualizado con información detallada sobre estos tratamientos .
Evaluaciones de Impacto: Será preceptivo realizar análisis de riesgo previos al tratamiento .
Privacidad desde el Diseño: Aplicar medidas técnicas y organizativas que garanticen la protección de datos desde la concepción de cualquier proyecto .
Auditorías Anuales: Someterse a auditorías internas o externas al menos una vez cada doce (12) meses, conservando los informes por un mínimo de cinco años .
Transparencia: Las políticas de privacidad deberán identificar expresamente los tratamientos a gran escala que se realizan .
Plazo de adaptación para nuevas obligaciones
La disposición transitoria de la norma otorga un plazo de 90 días desde su entrada en vigencia para que los responsables o encargados que, tras aplicar los nuevos criterios, identifiquen que realizan tratamientos a gran escala, designen y registren a sus delegados de protección de datos. Este plazo no aplica a quienes ya estaban obligados previamente por el reglamento general de la ley .
Con esta normativa, Ecuador se alinea con los estándares internacionales de protección de datos, buscando equilibrar el desarrollo de la economía digital con salvaguardas sólidas para la privacidad de los ciudadanos .
Bibliografía
Allende & Brea. (2026, febrero 11). Ecuador adopta normas para regular las transferencias y tratamientos a gran escala de datos personales. https://allende.com/privacidad-y-ciberseguridad/ecuador-adopta-normas-para-regular-las-transferencias-y-tratamientos-a-gran-escala-de-datos-personales-02-11-2026/
Compliance Latam. (2026, febrero 4). Ecuador | Nuevas resoluciones emitidas por la Superintendencia de Protección de Datos Personales: Norma General sobre el Tratamiento de Datos Personales a Gran Escala; y, Norma General para el Tratamiento de Datos Personales en Actividades Familiares o Domésticas. https://compliancelatam.legal/ecuador-nuevas-resoluciones-emitidas-por-la-superintendencia-de-proteccion-de-datos-personales-norma-general-sobre-el-tratamiento-de-datos-personales-a-gran-escala-y-norma-general-para-el-tratami/
NMS Law. (2026, febrero 9). La SPDP emite nueva norma general sobre el tratamiento de datos personales a gran escala. https://nmslaw.com.ec/blog/2026/02/09/ecuador-spdp-tratamiento-datos-personales-gran-escala/
Pérez Bustamante & Ponce (PBP). (2026, febrero 5). Nueva norma sobre tratamiento de Datos Personales a gran escala en Ecuador. https://www.pbplaw.com/publicaciones/nueva-norma-sobre-tratamiento-de-datos-personales-a-gran-escala-en-ecuador/
UHY Ecuador. (2026, febrero 10). Normas Generales sobre el Tratamiento de Datos Personales a Gran Escala y las Transferencias de Datos en Ecuador. https://www.uhyecuador.ec/blogs/dolor-lorem-sed