Nueva guía obligatoria sobre gestión de riesgos y evaluación de impacto en protección de datos personales

Mediante Resolución No. SPDP-SPD-2025-0003-R, de 29 de abril de 2025, la Superintendencia de Protección de Datos Personales de Ecuador expidió la Guía de Gestión de Riesgos y Evaluación de Impacto del Tratamiento de Datos Personales. La guía busca establecer lineamientos para que los responsables y encargados del tratamiento de datos personales puedan identificar, analizar y gestionar los riesgos asociados a los tratamientos que realizan, en cumplimiento con los artículos 40 y 42 de la Ley Orgánica de Protección de Datos Personales (LOPDP) y los artículos 29 a 32 de su Reglamento General (RGLOPDP).

Obligatoriedad

El Capítulo I es de cumplimiento obligatorio, mientras que el Capítulo II es referencial y orientativo, permitiendo a los sujetos obligados adoptar metodologías propias, siempre que se cumpla con la obligación legal de realizar una gestión de riesgos y evaluación de impacto.

Estructura de la guía

La guía se divide en dos grandes bloques temáticos:

  • Capítulo I: Principios fundamentales. Desarrolla los conceptos clave que sustentan la gestión de riesgos desde una perspectiva de protección de derechos y libertades. Incluye:
    • Fundamentos y objetivos de la gestión de riesgos.
    • Integración entre riesgos de seguridad de la información y riesgos en protección de datos personales.
    • Rol de los estándares de mejores prácticas.
    • Justificación y uso de rationales cuantitativos y cualitativos.
    • Principios de auditoría y conformidad.
    • Tipos y características de vulneraciones a la seguridad de los datos personales.

  • Capítulo II: Procedimientos por etapas. Detalla, de forma técnica y estructurada, las fases operativas de la gestión de riesgos, incluyendo:
    • Establecimiento del contexto y criterios de evaluación.
    • Identificación de datos, amenazas y vulnerabilidades.
    • Modelado y análisis cuantitativo y cualitativo de riesgos.
    • Evaluación de impacto del tratamiento de datos personales.
    • Tratamiento, monitoreo y control de riesgos.

El documento incluye además un anexo con un ejemplo práctico de formato de evaluación de impacto.

Revisión técnica y normativa futura

La guía será objeto de revisión técnica por parte de la Intendencia de Innovación Tecnológica en un plazo de un año contado desde su publicación en el Registro Oficial. La SPDP, además, emitirá normativa técnica complementaria sobre riesgos y evaluación de impacto, conforme a las resoluciones Nos. SPDP-SPDP-2024-0020-R y SPDP-SPDP-2024-0022-R.

Entrada en vigencia

La resolución entró en vigencia desde su suscripción, sin perjuicio de su publicación en el Registro Oficial.

Guía de Gestión de Riesgos y Evaluación de Impacto del Tratamiento de Datos PersonalesDescargar
Resolución No. SPDP-SPD-2025-0003-RDescargar

Suscríbete a nuestro boletín semanal para recibir noticias de actualidad legal:
Suscribirse
Conectemos en:

04.05.2025

BLOG & NOTICIAS

Lo más reciente.

22.09.2025

La SPDP aclara el alcance de la obligación de designar a un delegado en el contexto del tratamiento de datos de niños, niñas y adolescentes

22.09.2025

Dictamen de la Corte Constitucional avala la vía de Asamblea Constituyente para la propuesta del Ejecutivo

14.09.2025

Recordatorio sobre la obligación de registro ante la UAFE vinculada al RUC

14.09.2025

Superintendencia de Compañías fija nuevos umbrales para la auditoría externa

La Firma

Servicios

Equipo

Publicaciones

Contacto

Política de privacidad

Trabaje con nosotros

Home

La Firma

Equipo de Trabajo

Servicios

Publicaciones

Contacto