La Superintendencia de Protección de Datos Personales (SPDP) de Ecuador presentó en marzo de 2026 la segunda versión de la Guía de Gestión de Riesgos y Evaluación de Impacto del Tratamiento de Datos Personales, un documento técnico que redefine los estándares de cumplimiento de la Ley Orgánica de Protección de Datos Personales (LOPDP) en el país.
Metodologías Avanzadas para la Gestión de Riesgos
El instrumento normativo, elaborado por el Intendente General de Innovación Tecnológica y Seguridad de Datos Personales, Luis Enríquez Álvarez, y editado por Vanessa Hervás Novoa, establece un cambio paradigmático en la forma en que las organizaciones deben abordar la protección de datos personales.
La guía detalla cinco etapas obligatorias para la mitigación de contingencias: establecimiento del contexto, identificación, análisis, evaluación y tratamiento de vulnerabilidades. Un aspecto fundamental de esta nueva versión es su rechazo explícito a las tradicionales listas de verificación documentales, impulsando en su lugar el desarrollo de modelos precisos, la construcción de métricas cuantificables y la calibración de dictámenes de expertos.
«El cumplimiento de la ley exige prescindir de listas de verificación documentales para dar paso al desarrollo de modelos precisos, construcción de métricas y calibración de dictámenes de expertos, con el objetivo de reducir la incertidumbre epistemológica frente a escenarios de amenaza.»
El Enfoque Legaltech: Tecnología Aplicada a la Privacidad
La directriz técnica introduce un componente innovador al disponer la integración sistemática entre áreas jurídicas, departamentos de seguridad de la información y delegados de protección de datos. Esta convergencia interdisciplinaria busca aprovechar tecnologías de vanguardia como:
- Herramientas de aprendizaje automático (machine learning)
- Analítica predictiva legal
- Jurimetría (estudio cuantitativo del derecho)
- Procesamiento de lenguaje natural (NLP)
Estas tecnologías permiten sustentar tanto estimaciones cuantitativas como cualitativas, habilitando el monitoreo continuo de incidentes relacionados con la confidencialidad, integridad y disponibilidad de los registros .
La Universidad Andina Simón Bolívar, donde Enríquez Álvarez se desempeña como profesor, ha sido pionera en esta área a través de su Laboratorio Permanente de Justicia Predictiva, que desde 2021 desarrolla metodologías de predicción legal cuantitativa y explora las aplicaciones del aprendizaje automático en el ámbito jurídico .
Salvaguardas y Protección de Grupos Vulnerables
El texto oficial establece un principio rector fundamental: ante cualquier conflicto entre normas o principios operativos, prevalecerá la protección de los derechos y libertades de los titulares de la información. En este sentido, la guía exige identificar a grupos de usuarios especialmente vulnerables y demanda la ejecución de auditorías jurídicas, técnicas y organizacionales permanentes .
Estas auditorías tienen como objetivo certificar:
- La legitimidad del consentimiento inequívoco
- La transparencia corporativa
- La aplicación del principio de minimización en la recolección de información ciudadana
Perfil del Autor: Un Enfoque Técnico y Académico
La guía lleva la firma de Luis Enríquez Álvarez, un profesional con una trayectoria que combina sólidos conocimientos jurídicos y técnicos. El Intendente General de Innovación Tecnológica y Seguridad de Datos Personales es Ph.D. en Derecho Público por la Université de Lille (Francia) y LL.M. en Derecho de Tecnologías de la Información por la Leibniz Universität Hannover (Alemania) .
Su perfil incluye certificaciones técnicas de alto nivel como:
- Open FAIR Certified (análisis cuantitativo de riesgos)
- ISO/IEC 27701 Lead Implementer (sistemas de gestión de privacidad)
- CEH (Ethical Hacking)
- ECIH (respuesta a incidentes)
Además, es miembro permanente del FAIR Institute y OWASP, comunidades internacionales de referencia en seguridad de la información .
Próximos Pasos para las Organizaciones
Las entidades públicas y corporaciones privadas sujetas a esta regulación deberán incorporar estas exigencias metodológicas en sus políticas de gobernanza. Los procesos de adaptación legal requerirán el uso de estándares internacionales y marcos de control corporativo para fundamentar documentadamente cada escenario de vulnerabilidad, asegurando la resiliencia técnica de los sistemas y la eficacia en el resguardo de la privacidad .
La publicación de esta segunda versión representa un hito en la implementación de la LOPDP en Ecuador, alineando al país con las mejores prácticas internacionales en materia de protección de datos y estableciendo un estándar técnico exigente para responsables y encargados del tratamiento de información personal.
Bibliografía (APA 7ª edición)
Superintendencia de Protección de Datos Personales. (2026). Guía de Gestión de Riesgos y Evaluación de Impacto del Tratamiento de Datos Personales (Versión 2). Ecuador.
Enríquez Álvarez, L. (2026, marzo 26). La seguridad de datos es inversión, no gasto [Publicación de LinkedIn]. LinkedIn. https://es.linkedin.com/posts/luisenriqueza_la-seguridad-de-datos-es-inversi%C3%B3n-no-gasto-activity-7252396755827191808-SySB
Universidad Andina Simón Bolívar. (s.f.). Laboratorio permanente de justicia predictiva. Observatorio de Inteligencia Artificial y Derecho. Recuperado el 30 de marzo de 2026, de https://www.uasb.edu.ec/oiad/laboratorio-permanente-de-justicia-predictiva/